CCRC信息服务安 全资 质申请流程

1、准备阶段

申请组织根据自身实际情况确定需要申请的服务资 质类型，登录中国信息安 全 认zhen g中 心网站《信息安 全服务资 质认zhen g自评估表-公共管理》、《信息安 全服务资 质认zhen g申请书》，实施自评估后（具体自评估表的填写方法可参考中 心网站上的《信息安 全服务资 质认zhen g自评估表填写指南》），将上述文档及自评估zhen g明材料提交中 心。

2、非现场审核及商务阶段（此阶段工作应在三周内完成，如需要申请组织补 充材料，应在五周内完成）

项目管理人员指派审核组长，协调审查员组建审核组；

审核组长编制《非现场审核计划》，通过项目管理人员发送给审核组全体成员；

审核组对申请组织提交的材料进行非现场审核工作，判断该组织目前对外提供的信息安 全服务管理及技术能力是否符合《信息安 全服务 规范》的要求。如满足要求，审核组长在通知项目管理人员向申请组织出具《受理通知单》（如申请组织有需求，也可签订《服务资 质认zhne g合同》）、收取认zhen g费用后，编写《非现场审核报告》，并汇总《信息安 全服务资 质认zhen g公共管理审核记录表》等审核材料提交中 心进行认zhne g决定；如不满足要求，审核组长通知申请组织补 充材料重新提交，并对补 充材料进行审核（如申请组织所补 充的材料仍无法满足要求，审核组长应将此情况告知项目管理人员，项目管理人员通知申请组织目前尚不能满足申请资 质的条件）。

3、认zhen g决定阶段（此阶段工作应在两周内完成）

中 心认zhen g决定人员对审核组长提交的审核材料进行认zhen g决定；

如认zhen g决定通过，则通知项目管理人员进行制zhen g；如认zhen g决定不通过，则通知申请组织不通过原因。

4、制zhen g阶段（此阶段工作应在一周内完成）

项目管理人员，并邮寄给申请组织。电子zhen g书可在中国网络安 全审查与认zhen g技术中 心网站进行查询，地址为：。（没有空格）

03

CCRC信息安 全服务资  质评价要求

CCRC信息安 全服务资 质评价要求分为通用评价要求和专 业评价要求，各申请企业需按照要求实施自评估，经整改合格后方可进行服务资 质申请。通用评价要求如下：

三级评价要求

一、法律地位要求

1、在中 华人民共和国境内注册的du立法人组织，发展历程清晰，产权关系明确。

2、遵循国家相关法律法规、标准要求，无违法违规记录，资 信状况良好。

二、财务资 信要求

组织经营状况正常，建立财务管理制度，可为安 全服务提供必要的财务支持。

三、办公场所要求

拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。

四、人员能力要求

1、组织负责人拥有2年以上信息技术领域管理经历。

2、技术负责人具备信息安 全服务（与申报类别一致）管理能力，经评价合格（与申报类别一致），评价要求见附录I。

3、项目负责人、项目工程师具备信息安 全服务（与申报类别一致）技术能力，经评价合格，评价要求见附录I。

五、业绩要求

1、从事信息安 全服务（与申报类别一致）4个月以上。

2、（监督审核时）近1年内签订并完成至少1个信息 安 全服务（与申报类别一致）项目。

六、服务管理要求

1、建立并运行人员管理程序，识别安 全服务人员的服务能力要求，明确安 全服务人员的岗位职责、技术能力要求，并通过评价zhen g明其能够胜任其承担的职责。

2、制 定服务人员能力培养计划，包括网络与信息安 全相关的技术、技能、管理、意识等内容，并执行计划，确保服务人员持续胜任其承3、建立并运行文档管理程序，包括组织管理、服务过程管理、质量管理等内容，明确项目产生、发布、保存、传输、使用（包括交付和内部使用）、废弃等环节的文档控制。

4、建立并运行项目管理程序，明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程，提供项目风险管理记录。

5、建立并运行保密管理程序，明确岗位保密责任，签订保密协议，并能够适时对相关人员进行保密教育。

6、建立与运行供应商管理程序，确保其供应商满足服务安 全要求（仅适用于安 全集成、安 全运维、灾难备份与恢复方向）。

7、建立合同管理程序，制 定统一合同模板，按照合同约定实施信息安 全服务项目。按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员了解客户的相关要求。

七、服务技术要求

1、建立信息安 全服务（与申报类别一致）要求的流程，并按照流程实施。

2、制 定信息安 全服务（与申报类别一致）要求的规范标准，并按照规范实施。

二 级评价要求

申请方可根据条件直接申请，或获得三级资 质一年以上可提出二 级申请，服务管理程序文件需建立、发布并运行半年以上。

一、法律地位要求

1、在中 华人民共和国境内注册的du立法人组织，发展历程清晰，产权关系明确。

2、遵循国家相关法律法规、标准要求，无违法违规记录，资 信状况良好。

二、财务资 信要求

组织经营状况正常，制 定并执行财务管理制度，可为服务提供必要的财务支持。

三、办公场所要求

拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。

四、人员能力要求

1、组织负责人拥有3年以上信息技术领域管理经历。

2、技术负责人具备信息安 全服务（与申报类别一致）管理能力，经评价合格（与申报类别一

致），评价要求见附录I。

3、项目负责人、项目工程师具备信息安 全服务（与申报类别一致）技术能力，经评价合格（与申报类别一致），评价要求见附录I。

五、业绩要求

1、从事信息安 全服务（与申报类别一致）3年以上，或取 得信息安 全服务（与申报类别一致）三级资 质1年以上。

2、近三年内签订并完成至少6个信息安 全服务（与申报类别一致）项目。

六、服务管理要求

1、建立并运行人员管理程序，识别安 全服务人员的服务能力要求，明确安 全服务人员的岗位

职责、技术能力要求，并通过评价zhen g明其能够胜任其承担的职责。

2、制 定服务人员能力培养计划，包括网络与信息安 全相关的技术、管理、意识等内容，并执

行计划，确保服务人员持续胜任其承担的职责。

3、建立并运行文档管理程序，包括组织管理、服务过程管理、质量管理等内容，明确产生、

发布、保存、传输、使用（包括交付和内部使用）、废弃等环节的文档控制。配备档案室

及高安 全性的文件服务器。

4、建立并运行项目管理程序，明确服务项目的组织、计划、实施、风险控制、交付等环节的

操作规程。

5、建立并运行保密管理程序，明确岗位保密责任，签订保密协议，并能够适时对相关人员进

行保密教育。

6、建立与运行供应商管理程序，明确供应和（或）外程中的风险，对供应商和（或）承包方的服务基本资格、服务过程控制、服务质量、服务交付等进行识别，确保其供应商或承包方满足服务安 全要求（仅适用于安 全集成、安 全运维、灾难备份与恢复方向、工业控制系统安 全方向）。

7、建立合同管理程序，制 定统一合同模板，按照合同约定实施信息安 全服务项目。按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员了解客户的相关要求。

8、参照国 际或国内标准，建立业务范围覆盖信息安 全服务（与申报类别一致）的质量管理体系，并有效运行半年以上。

9、参照国 际或国内标准，建立业务范围覆盖信息安 全服务（与申报类别一致）的信息安 全管理体系或信息技术服务管理体系，并有效运行半年以上。

七、技术工具要求

1、具备du立的测试环境及必要的软、硬件设备，用于技术培训和模拟测试。

2、具备承担信息安 全服务（与申报类别一致）项目所需的安 全工具，并对工具进行管理和版

本控制。

八、服务技术要求

1、建立信息安 全服务（与申报类别一致）要求的流程，并按照流程实施。

2、制 定信息安 全服务（与申报类别一致）要求的规范标准，并按照规范实施。

一级评价要求

申请方须获得二 级资 质一年以上可提出相同类别的一级申请，且服务管理程序文件需建立、发布并运行一年以上。

一、法律地位要求

1、在中 华人民共和国境内注册的du立法人组织，发展历程清晰，产权关系明确。

2、遵循国家相关法律法规、标准要求，无违法违规记录，资 信状况良好。

二、财务资 信要求

组织经营状况正常，具有财务管理制度，可为服务提供必要的财务支持。

三、办公场所要求

拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。

四、人员素质与资 质要求

1、组织负责人拥有4年以上信息技术领域管理经历。

2、技术负责人具备信息安 全服务（与申报类别一致）管理能力，经评价合格（与申报类别一致），评价要求见附录I。

3、项目负责人、项目工程师具备信息安 全服务（与申报类别一致）技术能力，经评价合格（与申报类别一致），评价要求见附录I。

五、业绩要求

1、从事信息安 全服务（与申报类别一致）5年以上。

2、近三年内签订并完成至少10个信息安 全服务（与申报类别一致）项目。

六、服务管理要求

1、建立并运行人员管理程序，识别安 全服务人员的服务能力要求，明确安 全服务人员的岗位职责、技术能力要求，并通过评价zhen g明其能够胜任其承担的职责。

2、制 定服务人员能力培养计划，包括网络与信息安 全相关的技术、管理、意识等内容，并执行计划，确保服务人员持续胜任其承担的职责。

3、建立并运行文档管理程序，包括组织管理、服务过程管理、质量管理等内容，明确产生、发布、保存、传输、使用（包括交付和内部使用）、废弃等环节的控制。配备档案室及高安 全性的文件服务器，至少近两年的项目在文件管理系统中进行管理。

4、建立并运行项目管理程序，明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程。

5、建立并运行保密管理程序，明确岗位保密责任，签订保密协议，并能够适时对相关人员进行保密教育。

6、建立与运行供应商管理程序，明确供应商和（或）外程中的风险，对供应商和（或）承包方的服务基本资格、人员、服务过程控制、服务质量、服务交付、服务安 全性等进行识别，确保其供应商或承包方满足服务安 全要求（仅适用于安 全集成、安 全运维、灾难备份与恢复、工业控制系统安 全方向）。

7、建立合同管理程序，制 定统一合同模板，按照合同约定实施信息安 全服务项目。按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员了解客户的相关要求。

8、参照国 际或国内标准，建立业务范围覆盖信息安 全服务（与申报类别一致）的质量管理体系，并有效运行一年以上。

9、参照国 际或国内标准，建立业务范围覆盖信息安  全服务（与申报类别一致）的信息安 全管理体系或信息技术服务管理体系，并有效运行一年以上。

10、建立信息安 全服务目录，签订服务级别协议。

七、技术工具要求

1、具备du立的测试环境及必要的软、硬件设备，用于技术培训和模拟测试。

2、具备承担信息安 全服务（与申报类别一致）项目所需的安 全工具，并对工具进行管理和版本控制。

八、服务技术要求

1、建立信息安 全服务（与申报类别一致）要求的流程，并按照流程实施。

2、制 定信息安 全服务（与申报类别一致）要求的规范标准，并按照规范实施。

专 业能力评价需参考《CCRC-ISV-C01:2018信息安 全服务规范》进行评估。

04CCRC信息安  全服务资 质资料要求

CCRC信息安 全服务资 质申请过程中，需要按照相关标准条款提交zhen g明材料，完成公共管理自评估表和信息安 全服务技术自评估表。其中，公共安 全管理部分申请材料基本相同，不同类别，等级的资 质zhen g书，信息安 全服务技术自评估内容差异较大