CCRC信息安全服务资质，CS信息系统建设和服务能力资质ITSS符合性评估流程您了解多少 曾红给您解答

北京中联旭诚科技有限公司

资质一般有两种：一种是经营资质，如企业法人营业执照、税务登记证、组织机构代码证、生产许可证等。另一种是能力资质和标准，如企业获得的由地方、国家、专业机构、行业协会颁发的相应资质证书：如CCRC信息安全服务资质，CS信息系统建设和服务能力资质，ITSS符合性评估......

"我项目投入上百人，24小时轮班轮岗不宕机“

“我企业资产过亿，实力雄厚”

"我能做集成，运维也不含糊，做信息安全也不在话下"

“我项目人员这也会，那也会 ...**选手”

哇喔 真的？拿什么来

证明，

企业做资质 贯彻标准的作用：

1、提高获证方的市场竞争力

2、规范企业的技术能力、管理能力

3、降低企业的运营风险

4、减少企业的经营成本

5、为企业带来多的同台竞技的机会

资质和标准就是在投标中就是亮剑，就是粮草，企业做资质，贯彻标准，让投标的人员底气十足，让实施的人员有据可依。

资质和标准这么重要，我简单说下以下三个：CCRC- ITSS-CS

CCRC信息安全服务资质：

信息安全服务是信息安全服务提供方提供安全服务的一种能力，包括法律地位、资源状况、管理水平、 技术能力等方面的要求。

信息安全服务认证是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供安全服务提供方的信息安全服务能力进行评价。

服务认证方式组合分为三种：

非现场审核

非现场审核+现场审核

非现场审核+现场审核+现场见证

认证申请的流程：

申请前的准备：

1、理解《信息安全服务 规范》

2、梳理/建立组织的服务管理体系

3、寻找/开展服务项目实现技术要求

4、对安全服务管理体系进行持续改进

申请中的工作：

1、登录业务系统，注册账号；

2、填写认证申请书，**信息真实；

3、下载对应类别的自评价表进行自评价，并整理证明材料；

4、在业务系统提交自评价表及证明材料。

申请中的配合工作：

1、非现场审核阶段

联系人保持电话畅通、关注项目进展；

解答审核组长提出与审核相关的问题，必要时提供证据；

对于不符合项或影响现场审核的问题，及时采取纠正措施（时限不**过20个工作日）。

2、现场审核阶段

关注业务系统中的项目进度；

协助安排审核组现场审核时间、地点；

协调公司高层、相关人员配合审核，并准备相关佐证材料；

安排审核组的交通、食宿（参照财政部的要求）；

协调公司的模拟测试环境（一二级）；

协调安全运维见证项目（ 一二级 ）。

审核后的配合工作：

不符合项整改（不**过20个工作日）；

认证决定过程中需要补充的材料（不**过3个工作日）；

及时缴纳认证费用（收到通知单后10个工作日）；

上传汇款信息及汇款证明（**及时、准确无误）；

关注认证决定（3个工作日完成）；

证书批准后在客户端可查看证书样板（2个工作日完成）。

获*书：

获证后的配合工作：

1、证后的监督审核周期

每年均需监督审核，提前2个月提交监督审核通知单回执及自评价表（业务系统提前3个月邮件通知）；

原则上证后*1年监督审核为现场审核；

在认证风险可控的情况下，原则上证后*2年为非现场审核，*3年为现场审核，以此类推；

若存在影响认证有效性的情况，增加现场审核的频度与部分项的审核力度。

2、监督审核的后续工作

仅单位名称变更、注册地址变更，可提*书变更申请；（随时申请）

非现场监督审核，提供监督审核通知单回执、相应专业方向自评估表、公共管理部分上一年度开具的不符合及观察项整改情况；

现场监督，全要素进行审核，重点关注上年度开具的不符合及观察项。

3、证书状态和查询：证书状态：有效、暂停、撤销、

暂停（较长3个月）

获证组织的服务管理持续地或严重地不满足认证要求，；

逾期未按规定接受监督审核；

违规使用认证证书，且未造成不良影响；

监督审核有严重不符合项；

获证组织主动请求暂停；

其他需要暂停证书的情况。

撤销

逾期3个月未按规定接受监督审核的；

证书暂停期间，未在规定时间内完成整改并通过验证；

违规使用认证证书，造成不良影响；

获证组织出现严重责任事故、被投诉且经核实，影响其继续有效提供服务；

获证组织因自身原因不再维持证书，可提出撤销认证证书的申请；

其他需要撤销证书的情况。

CS信息系统建设和服务能力评估体系

“信息系统建设和服务”是指通过结构化的综合布线系统，运用计算机网络技术和软件技术，将各个分离的设备、功能和信息等集成到相互关联的、统一和协调的系统之中，以及为信息系统正常运行提供支持的服务，包括信息技术咨询、软件开发、数据处理，及信息系统的设计、开发、集成实施、运行维护和运营服务等。

“能力”是指企业提供系统建设和服务应具备的能力，包括战略管理、业务运营、基础**和改进创新，以过程要求和度量项评估。

能力等级划分

划分为五个等级，等级从低到高分别为：CS1级（初始级）、CS2（基本级）、CS3（良好级）、CS4（优秀级）、CS5（**级）。

CS1级（初始级）

组织具备提供系统建设和服务活动；

组织具备**信息系统建设和服务活动开展的基础能力。

CS2（基本级）

组织实施了必要的信息系统建设和服务能力管理；

日常的信息系统建设和服务能力活动有序开展。

CS3（良好级）

组织的战略、经营、人才、技术和管理等综合能力达到了良好的水平；

主要业务领域具有较强的技术水平，**信息系统建设和服务活动顺利开展。

CS4（优秀级）

组织的战略、经营、人才、技术、管理和创新等综合能力达到了优秀的水平；

熟悉主要业务领域的业务流程，主要业务领域中典型信息系统建设和服务项目具有较高技术水平。

CS5（**级）

组织的战略、经营、人才、技术、数据、管理和创新等综合能力达到了行业内先进的水平；

对主要业务领域的业务流程有深入研究，主要业务领域中典型信息系统建设和服务项目技术居国内**业良好水平

申请基本条件

评估流程

监督评估（年审）

ITSS符合性评估：

第三方评估机构对运维服务供方是否达到服务能力成熟度等级所进行的评定

依据：

评估的过程

现场评估

评估后：

地方主管机构审批

ITSS秘书处审核

ITSS秘书处审核