企业信息安全服务认证——CCRC认证需知

CCRC 信息安全服务资质认证，是由中国网络安全审查技术与认证中心（原中国信息安全认证中心）开展的一项针对信息安全服务机构的认证。

该认证依据国家法律法规、标准规范，对机构的法律地位、资源状况、管理水平、技术能力等方面进行评价 ，在信息安全领域意义重大。

一、认证方向与级别

信息安全服务资质认证共分 8 个方向，涵盖安全集成、安全运维、风险评估、应急处理、软件安全开发、灾难备份与恢复、工业控制安全、网络安全审计。

每个方向的资质级别分一级、二级、三级，一级最高，三级最低。不同级别代表着机构在相应服务领域的不同能力水平。

更多办理详情可直接与在线客服联系，或电话咨询官方热线：400-090-3278

二、认证流程

1.认证申请与受理：申请单位需填写认证申请书，并提交独立法人资格证明、从事信息安全服务的相关资质证明、人员构成与素质证明、

项目管理制度文档、信息安全服务质量管理文件、项目案例及业绩证明等资格、能力方面的证明材料。

认证机构收到申请材料后进行初步审查，判断材料是否齐全、填写是否规范。

若材料有问题，会通知申请单位补充或修改。材料审核通过后，予以受理。

2.文档审核：认证机构对申请单位提交的文件进行详细审查，判断其是否符合相关认证标准和要求。

这一环节主要审查申请单位的管理制度、技术文档、服务流程等，确保其具备提供相应信息安全服务的能力。

3.现场审核：审核组前往申请单位的实际工作场所，对其人员、设备、工作环境、服务过程等进行实地考察和审核。

通过现场观察、询问员工、查阅记录等方式，验证申请单位在实际运营中是否按照所提交的文档和相关标准执行，

判断该组织目前对外提供的信息安全服务管理及技术能力是否符合《信息安全服务规范》的要求。

4.认证决定：认证机构根据文档审核和现场审核的结果，综合评估申请单位是否满足认证要求，作出认证决定。

若通过认证，将颁发认证证书；若未通过，则告知申请单位不通过的原因，申请单位可在整改后重新提交申请。

5.年度监督审核：获得认证的单位在证书有效期（3 年）内，每年都要接受监督审核。监督审核的内容包括认证单位的信息安全服务能力是否持续符合认证标准，

管理制度是否有效执行，服务过程是否规范等。若监督审核不通过，认证机构会根据情况要求认证单位限期整改、暂停或撤销认证证书 。