一文解读：CCRC信息安全服务资质认证流程！

引言：

1. 信息系统安全集成服务资质

2. 安全运维服务资质

3. 风险评估服务资质

4. 应急处理服务资质

5. 软件安全开发服务资质

6. 信息系统灾难备份与恢复服务资质

7. 工业控制安全服务资质

8. 网络安全审计服务资质

1、需求调研：了解甲方公司体系、资质情况、项目情况、技术规范情况。充分解读甲方体系资料，为后续将该申请类别的准则条款要求形成规范，融合到现有体系中。

2、差距分析：根据需求调研结果，与信息安全相关申请类别评估准则核对，进行差距分析。确定需要增加、修订补充的技术规范、体系资料。在熟悉甲方体系资料的前提下，依据准则条款，规划出融合思路，并确定人员分工，谁负责融合、编写哪部分技术规范 。

3、申请书编写技术规范编写：各小组成员按照分工计划，编写技术规范、融合体系资料。

4、确定项目：根据建立的技术体系，至少选择项目1个，要覆盖整个申请类别相关级别评估准则条款，并且覆盖整个项目生命周期。此处选定项目后，要与项目经理沟通、规避不能拿出审核的项目风险，所以存在沟通协调的环节。

5、递交申请书：递交申请书，官方系统线上受理,并签约认证发受理单、走流程，等待安排现场审核时间。

6、补充项目资料：依据建立的技术体系、技术规范，结合现有的项目材料，补充完善项目资料。

7、培训模拟现场审核：确定甲方参加现场审核人员，并进行模拟现场审核，学习答辩技巧。

8、文审/整改：初次申请此资质，先进行一阶段审核(俗称文审)，针对文审提出的整改项，进行整改。整改通过后，进入现场审核阶段。

9、现场审核:配合现场审核。

10、审核整改：根据现场审核提出的整改项，进行整改，准备整改资料、纠正措施资料，并提交审核通过后，取得证书。

1、申请书

填写完整的 CCRC 信息安全服务资质认证申请书，包括机构基本信息、申请资质类别和级别等。

2、法律地位证明文件

提供营业执照副本、办公场所证明文件（房产证或办公场所租赁合同等）。

3、管理体系文件

服务管理流程、人员管理、文档管理、风险管理、保密管理、供应商管理等等方面的制度和程序以及体系运行的记录文件。

4、 服务能力证明材料

人员能力证明：技术人员的个人简历、学历证书、个人资格证书、培训证书、人员能力考核记录等，证明人员具备相应的专业能力。

项目经验证明：提供近 3 年内与申请服务类别一致的已完成项目合同、验收报告、中标通知书或者回款单等证明（三级需1个项目，二级需6个项目，一级需10个项目）、同时提供项目的过程实施材料按照CCRC标准条款整理完好。

技术工具清单及证明：列出开展信息安全服务所需的软硬件技术工具，并提供购买发票、使用说明等证明材料，证明工具的可用性和合规性。

其他相关材料：企业机构的组织架构图、企业简介、人员签署的保密协议等，根据具体申请情况可能还需提供其他补充材料。 

1、认证证书的注销

认证委托人有下列情形之一，网安中心进行必要的审核、复核并做出认证决定，注销认证证书，通知认证委托人，并予以公示：

1) 因自身原因申请注销；    

2) 认证依据标准、实施规则换版，认证委托人未按时提交换版申请；

3) 其他应注销认证证书的情况。

2、认证证书的暂停

认证委托人有下列情形之一，网安中心进行必要的审核、复核并做出认证决定，暂停认证证书，通知认证委托人，并予以公示：

1) 监督结果证明信息安全服务提供者/认证委托人不满足认证要求，但不需要立即撤销认证证书的；

2) 逾期未按规定接受监督；

3) 违规使用认证证书，且未造成不良影响；

4) 因自身原因申请暂停；

5) 其他应暂停认证证书的情况。

证书暂停期限最长为3个月。证书暂停期限内，认证委托人可向网安中心提出恢复申请，网安中心进行必要的审核、复核并做出认证决定。

3、认证证书的撤销

认证委托人有下列情形之一，网安中心进行必要的审核、复核并做出认证决定，撤销其认证证书，通知认证委托人，并予以公示：

1) 在认证证书暂停期限届满，认证委托人未提出认证证书恢复申请、未采取整改措施或整改后仍不合格的；

2) 因逾期未按规定接受监督被暂停认证证书后，仍拒绝接受监督的；

3) 违规使用认证证书，造成不良影响；

4) 信息安全服务提供者出现严重责任事故、被投诉且经核实，影响其继续有效提供服务；

5) 其他应撤销证书的情况。