CCRC信息安全服务资质信息系统安全集成证书办理条件


发证单位:中国网络安全审查技术与认证中心(CCRC),分三级、二级、一级,一级不可直接申报,必须逐级升级;政务、军工、涉密配套集成项目普遍要求二级及以上。

依据标准:CCRC-ISV-C01:2021《信息安全服务规范》、CCRC-ISV-R01:2022《认证实施规则》

一、通用基础主体条件(三级/二级/一级均需满足)

1. 企业主体

   境内纯内资独立法人,无外资、境外股东、股权代持;营业执照有效存续,经营范围包含信息安全集成、网络安全系统建设、信息系统安全工程等相关字样。

   3年无网络安全重大行政处罚、无泄密事故、法人/实控人无严重失信黑名单。

2. 财务资信

   经营稳定,能提供财务报表;二级/一级需近3年会计师事务所审计报告。

3. 办公场地硬性要求(现场必查)

   固定商用办公场所,禁止住宅、虚拟孵化器挂靠地址,租赁期1年,提供产权+租赁合同;

   独立安全办公区域、资料存放专柜、视频监控(存储3个月);承接涉密配套项目需增设保密隔离工位;

   配套安全集成专业设备:漏洞扫描、防火墙测试、日志审计、渗透测试工具、网络测试仪,提供设备采购/授权台账。

4. 管理体系通用要求

   建立完整《安全集成服务管理体系》,包含:项目实施流程、需求方案设计、部署调试、测试验收、售后运维、客户保密、人员管理、工具管理、应急处置制度;

   体系试运行3个月,留存培训、内审、项目归档、演练全套记录;

   二级及以上强制持有ISO27001信息安全管理体系(CNAS标最优),体系运行满6个月。





CCRC信息安全应急处理三级.png.jpg

更多资质办理详情可直接在线与方圆盛世客服联系,或电话咨询官方热线:400-090-3278




二、分等级硬性量化标准(安全集成专项)

1)三级资质(入门级,可首次申报)

1)经营年限

企业注册满6个月。

2)人员配置(全部全职、连续3个月社保,不可兼职挂靠)

全员社保总人数6人;

CISAW(安全集成方向)/CISP-PTE/CISP集成类持证≥2人,证书注册单位为本公司;

组织负责人:2年以上IT/网络安全管理经验;

技术负责人:计算机/电子信息相关专业,2年以上安全集成实施经验,优先中级职称。

3)业绩要求

3年完成至少1个完整信息系统安全集成项目,全套材料齐全:合同、实施方案、测试报告、客户盖章验收单、发票、交付文档。

4)审核方式

可采用非现场文审,无强制上门现场核查。

2)二级资质(政企/涉密配套主流投标门槛,推荐办理)

1)前置门槛(二选一)

企业成立满3年;或已持有CCRC安全集成三级资质满1年。

2)人员配置

3个月社保总人数≥20人;

安全集成方向CISAW/CISP持证≥6人;建议配备1PMP项目管理人员;

组织负责人:3年以上信息技术企业管理经验;

技术负责人:电子信息类中级及以上职称,3年以上安全集成项目实施管理经验。

3)业绩要求

3年独立完成≥6个安全集成项目;

至少2个党政机关、国企、事业单位项目(涉密配套招标加分);

建议包含单合同100万中型集成项目,全套验收文档闭环可追溯。

4)体系强制要求

持有有效ISO27001认证,体系运行≥6个月,覆盖安全集成服务范围。

5)审核方式

必须二阶段现场审核,上门核查场地、工具、人员访谈、项目原始档案。

3)一级资质(最高级,不可初次申报)

1)前置门槛

企业成立满3+ 持有CCRC安全集成二级资质满1年。

2)人员配置

3个月社保总人数≥30人;

安全集成专项持证人员10人;

组织负责人4IT管理经验;技术负责人高级职称,5年大型安全集成项目经验。

3)业绩要求

3年≥10个大中型安全集成项目,含省级政务、金融、能源等关键信息基础设施集成案例。

4)体系

ISO27001长期有效运行,配套完善应急、灾备、保密专项管理制度。

三、人员证书关键说明(安全集成专用)

1. 认可证书:CISAW-安全集成(最优匹配)、CISPCISP-PTECISP-EVM

2. 证书硬性约束:证书注册单位必须是申报企业,外部挂靠、兼职证书不予采信;

3. 全员配套材料:劳动合同、近3个月社保清单、人员简历、员工保密承诺书、年度安全培训记录。

四、安全集成专项必备技术与制度文件(审核重点)

1. 项目全流程管控文件:安全集成需求调研、方案设计、设备部署、系统调试、安全测试、上线验收、售后维保标准流程;

2. 保密管理制度(涉密配套必备):客户涉密资料管控、现场实施保密规范、数据本地存储承诺、泄密应急预案;

3. 工具管理台账:安全测试设备、软件授权、版本管理、工具定期校准记录;

4. 项目文档归档规范:所有集成项目方案、拓扑、配置脚本、测试报告、验收报告统一存档;

5. 内部培训、内审、管理评审、安全攻防演练全套运行记录。

五、全套申报材料清单

1. 企业基础资质:营业执照、公司章程、股权穿透说明、法人身份证、场地租赁+产权证明、无外资承诺书;

2. 人员全套资料:社保花名册、劳动合同、CISAW/CISP证书、负责人简历、保密培训记录、保密承诺书;

3. 项目业绩:所有安全集成项目合同关键页、实施方案、测试报告、客户盖章验收单、发票;涉密项目附加甲方保密回执;

4. 体系文件:安全集成管理手册、全套程序文件、ISO27001证书、内审报告、管理评审报告、演练记录;

5. 技术支撑:安全设备清单、工具授权证明、机房/办公安防现场照片;

6. 官方申报表单:CCRC资质申请书、企业自评估报告、合规声明。

六、完整办理流程

1. 筹备阶段:考取CISAW安全集成证书、梳理项目业绩、搭建体系并试运行3个月、办理ISO27001(二级);

2. 线上提交申请+一阶段文件审核;

3. 二阶段现场审核(二级/一级必上门),不符合项限期整改闭环;

4. CCRC技术委员会终审、官网公示15个工作日;

5. 公示无异议发证,证书有效期3年,每年1次监督审核,到期前3个月再认证换证。

七、高频驳回扣分点(涉密配套企业重点规避)

1. 持证人员数量不足、证书非安全集成方向、证书挂靠;

2. 项目为纯硬件供货,无安全方案设计、部署调试等集成实施内容,业绩不被认可;

3. 无独立安全办公区、缺少保密管控制度,不符合涉密项目配套审核要求;

4. 二级缺少ISO27001体系证书;

5. 体系仅做文件,无3个月真实运行记录、内审/演练缺失;

6. 股权存在间接外资、法人有行政处罚记录。

发证单位:中国网络安全审查技术与认证中心(CCRC),分三级、二级、一级,一级不可直接申报,必须逐级升级;政务、军工、涉密配套集成项目普遍要求二级及以上。

依据标准:CCRC-ISV-C01:2021《信息安全服务规范》、CCRC-ISV-R01:2022《认证实施规则》

一、通用基础主体条件(三级/二级/一级均需满足)

1. 企业主体

   境内纯内资独立法人,无外资、境外股东、股权代持;营业执照有效存续,经营范围包含信息安全集成、网络安全系统建设、信息系统安全工程等相关字样。

   3年无网络安全重大行政处罚、无泄密事故、法人/实控人无严重失信黑名单。

2. 财务资信

   经营稳定,能提供财务报表;二级/一级需近3年会计师事务所审计报告。

3. 办公场地硬性要求(现场必查)

   固定商用办公场所,禁止住宅、虚拟孵化器挂靠地址,租赁期1年,提供产权+租赁合同;

   独立安全办公区域、资料存放专柜、视频监控(存储3个月);承接涉密配套项目需增设保密隔离工位;

   配套安全集成专业设备:漏洞扫描、防火墙测试、日志审计、渗透测试工具、网络测试仪,提供设备采购/授权台账。

4. 管理体系通用要求

   建立完整《安全集成服务管理体系》,包含:项目实施流程、需求方案设计、部署调试、测试验收、售后运维、客户保密、人员管理、工具管理、应急处置制度;

   体系试运行3个月,留存培训、内审、项目归档、演练全套记录;

   二级及以上强制持有ISO27001信息安全管理体系(CNAS标最优),体系运行满6个月。

二、分等级硬性量化标准(安全集成专项)

1)三级资质(入门级,可首次申报)

1)经营年限

企业注册满6个月。

2)人员配置(全部全职、连续3个月社保,不可兼职挂靠)

全员社保总人数6人;

CISAW(安全集成方向)/CISP-PTE/CISP集成类持证≥2人,证书注册单位为本公司;

组织负责人:2年以上IT/网络安全管理经验;

技术负责人:计算机/电子信息相关专业,2年以上安全集成实施经验,优先中级职称。

3)业绩要求

3年完成至少1个完整信息系统安全集成项目,全套材料齐全:合同、实施方案、测试报告、客户盖章验收单、发票、交付文档。

4)审核方式

可采用非现场文审,无强制上门现场核查。

2)二级资质(政企/涉密配套主流投标门槛,推荐办理)

1)前置门槛(二选一)

企业成立满3年;或已持有CCRC安全集成三级资质满1年。

2)人员配置

3个月社保总人数≥20人;

安全集成方向CISAW/CISP持证≥6人;建议配备1PMP项目管理人员;

组织负责人:3年以上信息技术企业管理经验;

技术负责人:电子信息类中级及以上职称,3年以上安全集成项目实施管理经验。

3)业绩要求

3年独立完成≥6个安全集成项目;

至少2个党政机关、国企、事业单位项目(涉密配套招标加分);

建议包含单合同100万中型集成项目,全套验收文档闭环可追溯。

4)体系强制要求

持有有效ISO27001认证,体系运行≥6个月,覆盖安全集成服务范围。

5)审核方式

必须二阶段现场审核,上门核查场地、工具、人员访谈、项目原始档案。

3)一级资质(最高级,不可初次申报)

1)前置门槛

企业成立满3+ 持有CCRC安全集成二级资质满1年。

2)人员配置

3个月社保总人数≥30人;

安全集成专项持证人员10人;

组织负责人4IT管理经验;技术负责人高级职称,5年大型安全集成项目经验。

3)业绩要求

3年≥10个大中型安全集成项目,含省级政务、金融、能源等关键信息基础设施集成案例。

4)体系

ISO27001长期有效运行,配套完善应急、灾备、保密专项管理制度。

三、人员证书关键说明(安全集成专用)

1. 认可证书:CISAW-安全集成(最优匹配)、CISPCISP-PTECISP-EVM

2. 证书硬性约束:证书注册单位必须是申报企业,外部挂靠、兼职证书不予采信;

3. 全员配套材料:劳动合同、近3个月社保清单、人员简历、员工保密承诺书、年度安全培训记录。

四、安全集成专项必备技术与制度文件(审核重点)

1. 项目全流程管控文件:安全集成需求调研、方案设计、设备部署、系统调试、安全测试、上线验收、售后维保标准流程;

2. 保密管理制度(涉密配套必备):客户涉密资料管控、现场实施保密规范、数据本地存储承诺、泄密应急预案;

3. 工具管理台账:安全测试设备、软件授权、版本管理、工具定期校准记录;

4. 项目文档归档规范:所有集成项目方案、拓扑、配置脚本、测试报告、验收报告统一存档;

5. 内部培训、内审、管理评审、安全攻防演练全套运行记录。

五、全套申报材料清单

1. 企业基础资质:营业执照、公司章程、股权穿透说明、法人身份证、场地租赁+产权证明、无外资承诺书;

2. 人员全套资料:社保花名册、劳动合同、CISAW/CISP证书、负责人简历、保密培训记录、保密承诺书;

3. 项目业绩:所有安全集成项目合同关键页、实施方案、测试报告、客户盖章验收单、发票;涉密项目附加甲方保密回执;

4. 体系文件:安全集成管理手册、全套程序文件、ISO27001证书、内审报告、管理评审报告、演练记录;

5. 技术支撑:安全设备清单、工具授权证明、机房/办公安防现场照片;

6. 官方申报表单:CCRC资质申请书、企业自评估报告、合规声明。

六、完整办理流程

1. 筹备阶段:考取CISAW安全集成证书、梳理项目业绩、搭建体系并试运行3个月、办理ISO27001(二级);

2. 线上提交申请+一阶段文件审核;

3. 二阶段现场审核(二级/一级必上门),不符合项限期整改闭环;

4. CCRC技术委员会终审、官网公示15个工作日;

5. 公示无异议发证,证书有效期3年,每年1次监督审核,到期前3个月再认证换证。

七、高频驳回扣分点(涉密配套企业重点规避)

1. 持证人员数量不足、证书非安全集成方向、证书挂靠;

2. 项目为纯硬件供货,无安全方案设计、部署调试等集成实施内容,业绩不被认可;

3. 无独立安全办公区、缺少保密管控制度,不符合涉密项目配套审核要求;

4. 二级缺少ISO27001体系证书;

5. 体系仅做文件,无3个月真实运行记录、内审/演练缺失;

6. 股权存在间接外资、法人有行政处罚记录。

分享
下一篇:这是最后一篇
上一篇:这是第一篇