CCRC（原名ISCCC）信息安全服務(wù)資質(zhì)認證是中國網(wǎng)絡(luò )安全審查技術(shù)與認證中心依據國家法律法規、國家標準、行業(yè)標準和技術(shù)規范，按照認證基本規范及認證規則，對提供信息安全服務(wù)機構的信息安全服務(wù)資質(zhì)包括法律地位、資源狀況、管理水平、 技術(shù)能力等方面的要求進(jìn)行評價(jià)。該資質(zhì)共8個(gè)單項，每個(gè)單項分為一、二、三級（最低）。

隨著(zhù)我國信息化和信息安全保障工作的不斷深入推進(jìn)，以應急處理、風(fēng)險評估、災難恢復、系統測評、安全運維、安全審計、安全培訓和安全咨詢(xún)等為主要內容的信息安全服務(wù)在信息安全保障中的作用日益突出。加強和規范信息安全服務(wù)資質(zhì)管理已成為信息安全管理的重要基礎性工作。

1、安全集成類(lèi)（一、二、三級，一級最高，三級最低）

2、安全運維類(lèi)（一、二、三級，一級最高，三級最低）

3、風(fēng)險評估類(lèi)（一、二、三級，一級最高，三級最低）

4、應急處理類(lèi)（一、二、三級，一級最高，三級最低。）

5、軟件安全開(kāi)發(fā)類(lèi)（一、二、三級，一級最高，三級最低）

6、災難備份與恢復類(lèi)（一、二、三級，一級最高，三級最低。）

7、工業(yè)控制安全類(lèi)（一、二、三級，一級最高，三級最低）

8、網(wǎng)絡(luò )安全審計類(lèi)（一、二、三級，一級最高，三級最低）

1、信息系統安全集成服務(wù)是指從事計算機應用系統工程和網(wǎng)絡(luò )系統工程的安全需求界定、安全設計、建設實(shí)施、an的活動(dòng)。信息系統安全集成包括在新建信息系統的結構化設計中考慮信息an因素，從而使建設完成后的信息系統滿(mǎn)足建設方或使用方的安全需求而開(kāi)展的活動(dòng)。也包括在已有信息系統的基礎上額外增加信息安全子系統或信息安全設備等，通常被稱(chēng)為安全優(yōu)化或安全加固。

信息系統安全集成服務(wù)資質(zhì)級別是衡量服務(wù)提供者服務(wù)能力的尺度。安全集成服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現：基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力；服務(wù)人員的能力主要從掌握的知識、安全集成服務(wù)的經(jīng)驗等綜合評定。

2、安全運維資質(zhì)認證是指通過(guò)技術(shù)設施安全評估，技術(shù)設施安全加固，安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢(xún)，協(xié)助組織的信息系統管理人員進(jìn)行信息系統的安全運維工作，以發(fā)現并修復信息系統中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時(shí)加以響應。

安全運維資質(zhì)認證是對安全運維服務(wù)方的基本資格、管理能力、技術(shù)能力和安全運維過(guò)程能力等方面進(jìn)行評價(jià)。安全運維服務(wù)資質(zhì)級別是衡量服務(wù)提供方的安全運維服務(wù)資格和能力的尺度。

3、安全風(fēng)險評估是信息安全保障的基礎性工作和重要環(huán)節，貫穿于網(wǎng)絡(luò )和信息系統建設運行的全過(guò)程。服務(wù)提供者通過(guò)對信息系統提供風(fēng)險評估服務(wù)，系統地分析網(wǎng)絡(luò )與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和安全整改措施，防范和消除信息安全風(fēng)險，或將風(fēng)險控制在可接受的水平，為網(wǎng)絡(luò )和信息安全保障提供科學(xué)依據。

信息安全風(fēng)險評估服務(wù)資質(zhì)級別是衡量服務(wù)提供者服務(wù)能力的尺度。風(fēng)險評估服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現：基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力；服務(wù)人員的能力主要從掌握的知識、風(fēng)險評估服務(wù)的經(jīng)驗等綜合評定。對服務(wù)提供方的背景審查主要指客戶(hù)投訴、違法違紀行為等；服務(wù)人員的背景審查主要指行業(yè)主管部門(mén)或使用單位對從事風(fēng)險評估服務(wù)的人員進(jìn)行必要的審查。

4、信息安全應急處理服務(wù)是通過(guò)制定應急計劃使得影響網(wǎng)絡(luò )與信息系統安全的安全事件能夠得到及時(shí)響應，并在安全事件一旦發(fā)生后進(jìn)行標識、記錄、分類(lèi)和處理，直到受影響的業(yè)務(wù)恢復正常運行的過(guò)程。應急處理服務(wù)是保障業(yè)務(wù)連續性的重要手段之一，它涵蓋了在安全事件發(fā)生后為了維持和恢復關(guān)鍵業(yè)務(wù)所進(jìn)行的系列活動(dòng)。

信息安全應急處理服務(wù)資質(zhì)認證是對應急處理服務(wù)提供方的基本資格、管理能力、技術(shù)能力和應急處理服務(wù)過(guò)程能力等方面進(jìn)行評價(jià)。信息安全應急處理服務(wù)資質(zhì)級別是衡量服務(wù)提供方應急處理服務(wù)資格和能力的尺度。

5、軟件安全開(kāi)發(fā)服務(wù)是通過(guò)對軟件開(kāi)發(fā)過(guò)程的控制，將開(kāi)發(fā)的軟件存在的風(fēng)險控制在可接受的水平。

軟件安全開(kāi)發(fā)資質(zhì)認證是對軟件開(kāi)發(fā)方的基本資格、管理能力、技術(shù)能力和軟件安全過(guò)程能力等方面進(jìn)行評價(jià)。安全軟件開(kāi)發(fā)服務(wù)資質(zhì)級別是衡量服務(wù)提供方的軟件安全開(kāi)發(fā)服務(wù)資格和能力的尺度。

6、信息系統災難備份與恢復服務(wù)是將信息系統的數據、數據處理系統、網(wǎng)絡(luò )系統、基礎設施、專(zhuān)業(yè)技術(shù)支持能力和運行管理能力進(jìn)行備份，并在災難發(fā)生時(shí)，將信息系統從災難造成的故障或癱瘓狀態(tài)恢復到可正常運行狀態(tài)，將其支持的業(yè)務(wù)功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài)，而設計和提供的活動(dòng)。

信息系統災難備份與恢復服務(wù)資質(zhì)級別是衡量服務(wù)提供者服務(wù)能力的尺度。

7、工業(yè)控制系統安全服務(wù)圍繞提升工業(yè)控制系統的高可用性和業(yè)務(wù)連續性，提升功能安全、物理安全和信息安全的保障能力為目標，涉及工業(yè)控制系統設計、建設、運維和技改各個(gè)階段，主要包括系統集成、系統運維、應急處理、風(fēng)險評估等工業(yè)控制系統安全服務(wù)，形成系統的、獨立的、形成文件的過(guò)程。

工業(yè)控制系統安全服務(wù)資質(zhì)認證是對工業(yè)控制系統安全服務(wù)方的基本資格、管理能力、技術(shù)能力和工業(yè)控制系統安全服務(wù)過(guò)程能力等方面進(jìn)行評價(jià)。工業(yè)控制系統安全服務(wù)資質(zhì)級別是衡量服務(wù)提供方的工業(yè)控制系統安全服務(wù)資格和能力的尺度。

8、網(wǎng)絡(luò )安全審計服務(wù)是指網(wǎng)絡(luò )安全審計機構對被審計方所屬的計算機信息系統的安全性、可靠性和經(jīng)濟性進(jìn)行檢查、監督，通過(guò)獲取審計證據并對其進(jìn)行客觀(guān)評價(jià)所開(kāi)展的系統的、獨立的、形成文件的活動(dòng)。

網(wǎng)絡(luò )安全審計服務(wù)資質(zhì)認證是對網(wǎng)絡(luò )安全審計服務(wù)方的基本資格、管理能力、技術(shù)能力和網(wǎng)絡(luò )安全審計過(guò)程能力等方面進(jìn)行評價(jià)。網(wǎng)絡(luò )安全審計服務(wù)資質(zhì)級別是衡量服務(wù)提供方的網(wǎng)絡(luò )安全審計服務(wù)資格和能力的尺度。