以CCRC风险评估为例，这些规则你必须知道

CCRC从去年的改版到现在，也经历了很多的变化过程，近期的话也有了一些实施规则出来，今天擎标就以CCRC风险评估为例，给大家介绍一下。信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全整改措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障提供科学依据。

信息安全风险评估服务资质级别是衡量服务提供者服务能力的尺度。风险评估服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、风险评估服务的经验等综合评定。

对服务提供方的背景审查主要指客户投诉、违法违纪行为等；服务人员的背景审查主要指行业主管部门或使用单位对从事风险评估服务的人员进行必要的审查。

认证证书内容应至少包括以下方面：

1）认证证书名称；

2）证书编号；

3）认证委托人名称、地址；

4）信息安全服务提供者名称、地址；

5）认证依据标准；

6）类别和级别；

7）首次颁证日期、发证日期以及证书有效期。

证书内容发生变更时，认证委托人应向网安中心提出变更申请，并按照要求提 交相关资料。网安中心进行必要的审核、复核并做出认证决定。

认证证书的保持

证书有效期为3年。在有效期内，证书的有效性依赖网安中心的监督审核获得保持。

证书有效期届满前30天内，认证委托人未提出终止使用认证证书，且监督审核结果合格的，网安中心应换发新证书。

认证级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。申请一级资质时，要求需要取得信息安全服务（与申报类别一致）二级资质1年以上。（行业领头企业除外）。

三个等级通用要求：

法律地位：在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。

财务资信：近3 年经营状况良好，财务数据真实可信，应提供在中华人民共和国境内登记注册的会计师事务所出具的近3 年财务审计报告。

办公场所：拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。

人员素质与资质：

三级：

a) 组织负责人拥有2年以上信息技术领域管理经历。

b) 技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称，且从事信息安全技术工作2年以上。

c) 财务负责人具有财务系列初级以上职称。

d) 从事信息安全服务人员10名以上。

e) 拥有信息安全专业认证（与申报类别一致）人员2名以上。

f) 拥有项目管理资格证书人员1名以上。

二级：

a) 组织负责人拥有3年以上信息技术领域管理经历。

b) 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称，且从事信息安全技术工作5年以上。

c) 财务负责人具有财务系列中级以上职称。

d) 从事信息安全服务人员30名以上。

e) 拥有信息安全专业认证（与申报类别一致）人员6名以上。

f) 拥有项目管理资格证书人员2名以上。

一级：

a) 组织负责人拥有4年以上信息技术领域管理经历。

b) 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类高级职称，且从事信息安全技术工作8年以上。

c) 财务负责人拥有财务系列高级职称，或取得中级职称8年以上。

d) 从事信息安全技术服务人员50名以上。

e) 拥有信息安全专业认证人员（与申报类别一致）10名以上。

f) 拥有项目管理资格证书人员5名以上。

认证周期

1.从签订《信息安全服务资质测评委托协议》至信息安全服务资质证书颁发，周期为4-6个月。周期时间不包含由于申请单位原因（如资料补充、商务流程延误或申请方无法按照约定时间进行现场评审等）造成的延期。

2.信息安全服务资质证书的有效期为三年。

3.认证时间主要取决于审核时间及整改时间，上述办理周期供参考。

认证意义

有助于帮助企业梳理服务流程和操作规范,同时检验与标准要求的差距,促进企业持续改进。

1.跟踪、验证、挖掘信息安全漏洞的能力,在一定程度上对企业进行了筛选,拉开能力层次,凸显出企业的技术实力。

2.提升企业对风险评估的认识，尤其是风险评估与被评估对象的业务深度关联,识别关键业务功能、关键业务流程、关键数据、关键服务、关键单元和关键组件,能够提升最终客户对风险评估价值的认可。