信息安全服務資質是信息安全服務機構提供安全服務的一種資格，包括法律地位、資源狀況、管理水平和技術能力，信息安全服務資質認證是根據國家法律法規、國家標準、行業標準和技術規范，以及基本認證規范和認證規則，對信息安全服務提供商的信息安全服務資質進行評估。通過信息安全服務分類分級資質認證，可以權威、客觀、公正地評價信息安全服務提供者的基本資質、管理能力、技術能力和服務過程能力，證明其服務能力，滿足社會對服務選擇的需求。

信息安全服務資質是市場上通行的服務資質認證的統稱，目前發證量最多、應用最廣、業內認可度較高的發證機構是中國網絡安全審查技術與認證中心（英文縮寫為：CCRC），本機構是根據《國家網絡安全法》及國家相關強制性產品認證和網絡安全管理規定，負責實施網絡安全審查認證的處級機構，在業務上接受中央網絡信息辦公室的指導。該機構頒發的信息安全服務資質證書在業內俗稱CCRC信息安全服務資質，分為三級：一級、二級和三級，其中一級最高，三級最低。

證書有效期為三年，需要在獲證之日起12-18月內進行一次監督審核。

CCRC安全服務資質的認證標準 

中國網絡安全審查技術與認證中心（CCRC）對服務資質認證規范及實施規則進行了修訂，于2021年10月15日發布了2021版CCRC-ISV-C01:2021《信息安全服務規范》、CCRC-ISV-R01:2021《信息安全服務資質認證實施規則》，并從發布之日起正式實施。自當日起，CCRC啟動按照新版認證實施規則的認證申請受理工作，不再按照舊版認證規則受理申請。

CCRC安全服務資質分類 

安全集成

安全集成服務是指從事計算機應用系統工程和網絡系統工程的安全需求界定、安全設計、建設實施、安全保證的活動。

安全運維

信息系統安全運維服務是指通過技術設施安全評估、技術設施安全加固、安全漏洞補丁通知，安全事件響應和信息安全運維咨詢。

風險評估

通過系統分析網絡和信息系統面臨的威脅及其脆弱性，評估安全事件一旦發生可能造成的危害，提出有針對性的防護對策和安全整改措施，抵御威脅，防范和消除信息安全風險，或將風險控制在可接受的水平。

應急處理

       制定應急計劃，以便對影響網絡和信息系統安全的安全事件做出及時響應，并在安全事件發生后對其進行識別、記錄、分類和處理，直至受影響的業務恢復正常運營的過程。

安全開發

將開發軟件的風險控制在可接受的水平。軟件安全開發資質認證是對軟件開發人員的基本資質、管理能力、技術能力和軟件安全過程能力的評估。安全軟件開發服務資格級別是對服務提供商的軟件安全開發服務資格和能力的衡量。

災難備份與恢復

災難備份與恢復是為備份信息系統的數據、數據處理系統、網絡系統、基礎設施、專業技術支持能力和運營管理能力，并在發生災害時將其恢復到正常運營狀態而設計和提供的活動，并將支持的業務功能從災難導致的異常狀態恢復到可接受狀態。

網絡安全審計

網絡安全審計機構對被審計單位計算機信息系統的安全性、可靠性和經濟性進行檢查和監督，通過獲取審計證據并對其進行客觀評估，開展系統的、獨立的和有文件記錄的活動。

5、資質申報流程 

準備階段

咨詢師根據資料收集企業基本數據和項目資料，包括但不限于公司簡介、信息安全人員名單、簡歷及相關證件、近三年財務審計報告、辦公用房租賃合同、項目合同、驗收報告、相應發票、項目工藝文件等，顧問指導企業編制資質申請材料。周期約為一個月。

審核階段

申報企業按照CCRC開具的收費單繳納審核費并上傳付款憑證，CCRC受理資質評估申請，之后進行審核方案策劃，并將審核任務分配到對應審核員，審核員依據評審方案對申請企業進行審核。現階段三級審核為遠程審核，二級和一級審核為現場審核。周期1-4個月不等。

整改階段

對于申請人和咨詢顧問在整改和審核過程中產生的不符合項，必要時上傳或提交評審和整改過程材料或整改證據。工作量和工作周期取決于審計階段的審計結果，通常約為一周。

出證階段

CCRC進行資料完備性審查，做出認證決定，制作證書并進行證書發放。大概需要2周的時間。

6、基礎申報條件

三級

申報條件

1.企業成立滿半年以上

2.近三個月為6人以上繳納社保

3.申報類別的安全項目不少于1個

4.CISAW證書申報類別2人或年審前培訓

5.組織負責人擁有2年以上信息技術領域管理經歷

二級

申報條件

1.企業成立滿三年或三級證書滿一年

2.近三個月為20人以上繳納社保

3.申報類別的安全項目6個及以上

4.CISAW證書申報類別6人或年審前培訓

5.組織負責人擁有3年以上信息技術領域管理經歷

6.通過ISO27001或20000，覆蓋范圍含信息安全服務

一級

申報條件

1.企業成立滿三年且二級證書滿一年

2.近三個月社保30人及以上

3.申報類別的安全項目10個及以上

4.CISAW證書申報類別10人或年審前培訓

5.組織負責人擁有4年以上信息技術領域管理經歷

6.通過ISO27001或ISO20000，覆蓋范圍包含信息安全服務