ISCCC/CCRC 八大资质简介

一、背景

原ISCCC即现CCRC；

随着我国信息安全保障作用日益突出和不断深入推进，加强和规范信息安全服务资质管理已成为信息安全管理的重要工作。

对特定类别的信息安全服务，有具体的评价标准。例如，信息安全应急处理服务资质认证的依据是《网络与信息安全应急处理服务资质评估方法》（YD/T 1799-2008），信息安全风险评估服务资质认证的依据是《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）与《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)。

二、介绍

信息安全服务资质是对信息系统安全服务提供者的技术、资源、法律、管理等方面的资质和能力，以及其稳定性、可靠性进行评估，并依据公开的标准和程序，对其安全服务保障能力进行认证的过程。

目前CCRC信息安全服务资质一共有八个类别，分别如下：

1、安全集成服务资质

     信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动；资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

2、安全运维服务资质

     通过技术设施安全评估，技术设施安全加固，安全漏洞补丁通告、安全事件响应以及信息安全运维咨询，协助组织的信息系统管理人员进行信息系统的安全运维工作； 资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

3、风险评估服务资质

     系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全整改措施，防范和消除信息安全风险；资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

4、应急处理服务资质

制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应，在安全事件一旦发生后进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程；应急处理服务资质分为三级，其中一级最高，三级最低。

5、软件安全开发服务资质

     对软件开发过程的控制，将开发的软件存在的风险控制在可接受的水平；资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

6、灾难备份与恢复服务资质

       将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计和提供的活动；资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

7、工业控制安全服务资质

系统集成、系统运维、应急处理、风险评估等工业控制系统安全服务，形成系统的、独立的、形成文件的过程；工业控制系统安全资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

8、网络安全审计服务资质

 对计算机信息系统的安全性、可靠性和经济性进行检查、监督；网络安全审计资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

三、价值

对于一个组织(企业、机构等)的信息安全保障无论是基于内部的信息安全团队还是借助业界信息安全的力量(产品与服务提供商、独立审计或测评机构等),信息安全最终的价值要体现在信息技术(IT)用户的业务上。