資質簡介：

       CCRC（中國網絡安全審查認證和市場監管大數據中心）風險評估服務資質是對企業開展信息系統安全風險評估能力的國家級認證，依據《GB/T 20984 信息安全技術 信息安全風險評估規范》等標準，覆蓋資產識別、威脅分析、脆弱性檢測、風險計算及處置建議全流程‌。

       CCRC信息系統風險評估服務資質聚焦于信息系統風險評估領域，評估企業在風險評估規劃、資產識別、威脅分析、脆弱性檢測、風險計算及處置建議等方面的技術能力。

       資質分為一級、二級、三級，其中一級為最高級別。分級標準基于企業的法律地位、資源狀況、技術水平及項目經驗，一級資質要求最嚴格，體現企業最高水平的風險評估服務能力。

       該資質是信息安全服務領域的重要認證，廣泛應用于政府、金融、電信、能源等行業。持有資質的企業在項目招標中更具競爭力，可滿足客戶對風險評估服務的選擇需求。

發證機構：

中國網絡安全審查認證和市場監管大數據中心

認證價值：

1、提升企業競爭力：證明企業具備專業的信息系統風險評估服務能力，增強客戶信任度。在政府、金融等行業招標中，持有資質的企業可獲得加分，提高中標率。

2、促進管理規范與技術提升：認證過程要求企業完善管理體系，提高服務質量和水平。推動企業采用先進的風險評估技術，提升風險評估的準確性和有效性。

3、拓展業務范圍與市場機會：資質是企業綜合實力的體現，有助于企業開拓新市場。持有資質的企業可承接更復雜、更高要求的信息系統風險評估項目。

認證流程：

1、自評估：企業根據CCRC提供的自評估表進行自我評價。

2、認證申請：提交申請書及相關材料，包括獨立法人資格證明、項目案例、人員資質等。

3、申請材料評審：CCRC對提交的材料進行詳細審閱。

4、現場審核：審核組對企業進行實地考察，驗證其風險評估能力。

5、認證決定：CCRC根據審核結果作出認證決定。

6、證書頒發：通過認證的企業獲得CCRC信息系統風險評估服務資質證書。

7、監督審核：定期對獲證企業進行監督審核，確保持續符合資質要求。

辦證周期：

3-6個月

申報條件與要求

1、法律地位與基本條件：

在中華人民共和國境內注冊的獨立法人組織，發展歷程清晰，產權關系明確。

遵循國家相關法律法規、標準要求，無違法違規記錄，資信狀況良好。

2、人員能力要求：

組織負責人需有2年以上信息技術領域管理經歷。

技術負責人應具備信息安全風險評估服務管理能力，并經評價合格。

項目負責人、項目工程師應具備信息安全風險評估服務技術能力，并經評價合格。

團隊成員需熟練掌握風險評估相關標準，如GB/T 20984《信息安全技術 信息安全風險評估規范》，并具備豐富的實際項目經驗。項目負責人必須主導完成過3個及以上同類項目。

3、項目經驗要求：

三級資質申請企業須從事信息安全風險評估服務4個月以上，近1年內完成至少1個信息安全風險評估項目。

二級資質申請企業須從事信息安全風險評估服務3年以上，或取得三級資質1年以上，近3年內完成至少6個信息安全風險評估項目。

一級資質申請企業須從事信息安全風險評估服務5年以上，或取得二級資質2年以上，近3年內完成至少10個信息安全風險評估項目。

4、管理體系要求：

建立并有效運行質量管理體系，如通過ISO 9001質量管理體系認證。

規范各項服務流程，包括項目管理流程、文檔控制流程以及客戶溝通機制等。

建立并運行保密管理程序，明確崗位保密責任，簽訂保密協議，并能夠適時對相關人員進行保密教育。

5、技術工具要求：

配備專業的風險評估工具，如漏洞掃描工具、風險分析平臺等。

軟硬件工具和設備的安全性應獲得第三方評價或者證明。