信息安全服務(wù)資質(zhì)有哪些級(jí)別

CCRC信息安全服務(wù)資質(zhì)常見五大方向

軟件安全開發(fā)服務(wù)資質(zhì)

通過對(duì)軟件開發(fā)過程的控制，將開發(fā)的軟件存在的風(fēng)險(xiǎn)控制在可接受的水平。軟件安全開發(fā)資質(zhì)認(rèn)證是對(duì)軟件開發(fā)方的基本資格、管理能力、技術(shù)能力和軟件安全過程能力等方面進(jìn)行評(píng)價(jià)。安全軟件開發(fā)服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供方的軟件安全開發(fā)服務(wù)資格和能力的尺度。

信息系統(tǒng)安全運(yùn)維服務(wù)資質(zhì)

通過技術(shù)設(shè)施安全評(píng)估，技術(shù)設(shè)施安全加固，安全漏洞補(bǔ)丁通告、安全事件響應(yīng)以及信息安全運(yùn)維咨詢，協(xié)助組織的信息系統(tǒng)管理人員進(jìn)行信息系統(tǒng)的安全運(yùn)維工作，以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時(shí)加以響應(yīng)。

信息系統(tǒng)安全集成服務(wù)資質(zhì)

信息系統(tǒng)安全集成服務(wù)是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計(jì)、建設(shè)實(shí)施、安全保證的活動(dòng)。信息系統(tǒng)安全集成包括在新建信息系統(tǒng)的結(jié)構(gòu)化設(shè)計(jì)中考慮信息安全保證因素，從而使建設(shè)完成后的信息系統(tǒng)滿足建設(shè)方或使用方的安全需求而開展的活動(dòng)。也包括在已有信息系統(tǒng)的基礎(chǔ)上額外增加信息安全子系統(tǒng)或信息安全設(shè)備等，通常被稱為安全優(yōu)化或安全加固。

信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)

信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程。服務(wù)提供者通過對(duì)信息系統(tǒng)提供風(fēng)險(xiǎn)評(píng)估服務(wù)，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和安全整改措施，防范和消除信息安全風(fēng)險(xiǎn)，或?qū)L(fēng)險(xiǎn)控制在可接受的水平，為網(wǎng)絡(luò)和信息安全保障提供科學(xué)依據(jù)。

信息安全應(yīng)急處理服務(wù)資質(zhì)

信息安全應(yīng)急處理服務(wù)是通過制定應(yīng)急計(jì)劃使得影響網(wǎng)絡(luò)與信息系統(tǒng)安全的安全事件能夠得到及時(shí)響應(yīng)，并在安全事件一旦發(fā)生后進(jìn)行標(biāo)識(shí)、記錄、分類和處理，直到受影響的業(yè)務(wù)恢復(fù)正常運(yùn)行的過程。應(yīng)急處理服務(wù)是保障業(yè)務(wù)連續(xù)性的重要手段之一，它涵蓋了在安全事件發(fā)生后為了維持和恢復(fù)關(guān)鍵業(yè)務(wù)所進(jìn)行的系列活動(dòng)。

CCRC與其他信息類資質(zhì)證書的區(qū)別

強(qiáng)調(diào)安全管理：本標(biāo)準(zhǔn)主要致力于幫助企業(yè)加強(qiáng)信息服務(wù)中的安全管理能力，從而規(guī)范行業(yè)內(nèi)應(yīng)對(duì)安全事件的流程

重視服務(wù)能力：通過對(duì)信息安全服務(wù)分類分級(jí)認(rèn)證，力求權(quán)威、客觀、公正地證明服務(wù)能力，滿足社會(huì)對(duì)服務(wù)的選擇需求

著力細(xì)分輔導(dǎo)：針對(duì)信息行業(yè)中安全事件類型，從基礎(chǔ)開發(fā)、運(yùn)維，到風(fēng)險(xiǎn)、應(yīng)急處理，分類給出細(xì)致改進(jìn)指導(dǎo)

申請(qǐng)信息安全服務(wù)資質(zhì)有什么要求

通用評(píng)價(jià)要求適用于風(fēng)險(xiǎn)評(píng)估、安全集成、應(yīng)急處理、災(zāi)難備份與恢復(fù)、軟件安全開發(fā)、安全運(yùn)維等類別的信息安全服務(wù)認(rèn)證評(píng)價(jià)，均分為三個(gè)級(jí)別，其中一級(jí)最高。

三級(jí)評(píng)價(jià)要求

一、財(cái)務(wù)資信要求

近 3年經(jīng)營(yíng)狀況良好，財(cái)務(wù)數(shù)據(jù)真實(shí)可信，應(yīng)提供在中華人民共和國(guó)境內(nèi)登記注冊(cè)的會(huì)計(jì)師事

務(wù)所出具的近 3年財(cái)務(wù)審計(jì)報(bào)告。

二、辦公場(chǎng)所要求

擁有長(zhǎng)期固定辦公場(chǎng)所和相適應(yīng)的辦公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。

三、人員素質(zhì)與資質(zhì)要求

組織負(fù)責(zé)人擁有2年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。

技術(shù)負(fù)責(zé)人獲得信息安全相關(guān)專業(yè)碩士及以上學(xué)位或電子信息技術(shù)類中級(jí)職稱，且從事信

息安全技術(shù)工作2年以上。

財(cái)務(wù)負(fù)責(zé)人具有財(cái)務(wù)系列初級(jí)以上職稱。

從事信息安全服務(wù)人員10名以上。

擁有信息安全專業(yè)認(rèn)證（與申報(bào)類別一致）人員2名以上。

擁有項(xiàng)目管理資格證書人員1名以上。

四、業(yè)績(jī)要求

a)從事信息安全服務(wù)（與申報(bào)類別一致）1年以上。

b)近3年內(nèi)簽訂并完成至少1個(gè)信息安全服務(wù)（與申報(bào)類別一致）項(xiàng)目。

五、服務(wù)管理要求

a)遵循國(guó)家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求，無違法違規(guī)記錄，資信狀況良好。

b)建立人員管理程序和能力考核指標(biāo)；制定業(yè)務(wù)和技能培訓(xùn)計(jì)劃，定期對(duì)相關(guān)人員開展培訓(xùn)和考核。

c)建立文檔控制程序，明確文檔管理職責(zé)，任命管理人員，確保項(xiàng)目文檔資料妥善保管。

d)建立項(xiàng)目管理制度，并按照制度執(zhí)行。

e)提供資源，確保信息安全服務(wù)項(xiàng)目的實(shí)施。

六、服務(wù)合同要求

了解客戶及所處的行業(yè)對(duì)信息安全服務(wù)的特定要求。

確定信息安全服務(wù)范圍。

應(yīng)簽訂信息安全服務(wù)合同或協(xié)議。

七、服務(wù)安全要求

滿足法律法規(guī)對(duì)服務(wù)安全的要求。

滿足與客戶簽訂服務(wù)合同中的安全要求。

制定保密管理制度，明確崗位保密責(zé)任。

按照客戶要求，對(duì)于接觸到的客戶敏感信息和知識(shí)產(chǎn)權(quán)信息予以保護(hù)，并確保服務(wù)方人員

了解客戶的相關(guān)要求。

與相關(guān)人員簽訂保密協(xié)議，并進(jìn)行保密教育。

確保其供應(yīng)商滿足上述服務(wù)安全要求。

八、服務(wù)技術(shù)要求

建立信息安全服務(wù)（與申報(bào)類別一致）流程。

制定信息安全服務(wù)（與申報(bào)類別一致）規(guī)范并按照規(guī)范實(shí)施。

網(wǎng)絡(luò)安全資質(zhì)證書有哪些

網(wǎng)絡(luò)安全資格證書有：CISP國(guó)家注冊(cè)信息人員、CISP-PTE國(guó)家注冊(cè)滲透工程師、CISP-A國(guó)家注冊(cè)系統(tǒng)審計(jì)師、CISSP國(guó)際注冊(cè)信息安全專家、CISA國(guó)際注冊(cè)系統(tǒng)審計(jì)師、CSIM國(guó)際注冊(cè)信息安全經(jīng)理、Security+信息安全技術(shù)專家、ISO27001Foundation認(rèn)證、DevOpsMaster開發(fā)和運(yùn)維、Prince2受控環(huán)境下的項(xiàng)目管理。

1、CISP國(guó)家注冊(cè)信息人員

CISP是國(guó)內(nèi)權(quán)威認(rèn)證，如果想在政府、國(guó)企和重點(diǎn)行業(yè)從業(yè)，這個(gè)認(rèn)證都是非常重要的。

2、CISP-PTE國(guó)家注冊(cè)滲透工程師

這個(gè)認(rèn)證是360企業(yè)聯(lián)合中國(guó)信息安全測(cè)評(píng)中心推出的國(guó)內(nèi)首個(gè)滲透測(cè)試認(rèn)證，所以具備申請(qǐng)安全服務(wù)類的工作，持證人員可以享有360安全服務(wù)部門免面試的福利。

3、CISP-A國(guó)家注冊(cè)系統(tǒng)審計(jì)師

CISP-A是國(guó)測(cè)推出的審計(jì)方向認(rèn)證，國(guó)測(cè)會(huì)針對(duì)企業(yè)頒發(fā)信息系統(tǒng)審計(jì)服務(wù)資質(zhì)，審計(jì)服務(wù)資質(zhì)里面會(huì)強(qiáng)制要求CISP-A的數(shù)量。

4、CISSP國(guó)際注冊(cè)信息安全專家

這是ISC發(fā)布的認(rèn)證，也是比較難考的一個(gè)，首先是覆蓋面廣，知識(shí)點(diǎn)很多，如果沒有相關(guān)的工作經(jīng)驗(yàn)，直接復(fù)習(xí)難度較大，另一個(gè)是認(rèn)證方面，考試通過以后。

想拿到證書，需要申請(qǐng)人在八個(gè)領(lǐng)域中至少2個(gè)領(lǐng)域里有五年相關(guān)工作經(jīng)驗(yàn)，但是如果工作經(jīng)驗(yàn)不足也可以參加考試，通過維持成績(jī)的方法，直到工作經(jīng)驗(yàn)足夠再去申請(qǐng)認(rèn)證。

5、CISA國(guó)際注冊(cè)系統(tǒng)審計(jì)師

CISA的發(fā)證機(jī)構(gòu)是ISACA，需要5年的工作經(jīng)驗(yàn)，其中至少2年審計(jì)或控制領(lǐng)域的工作經(jīng)驗(yàn)，工作經(jīng)驗(yàn)相對(duì)CISSP有一些寬松學(xué)歷最多可以抵3年經(jīng)驗(yàn)，成績(jī)有效期是5年，可以先參加考試，后申請(qǐng)證書。

6、CSIM國(guó)際注冊(cè)信息安全經(jīng)理

CISM的發(fā)證機(jī)構(gòu)是ISACA，CISM與其他的信息安全認(rèn)證不同，經(jīng)驗(yàn)要求主要集中在信息安全經(jīng)理人工作上的執(zhí)行，CISM是針對(duì)信息安全經(jīng)理人，重點(diǎn)是整個(gè)企業(yè)的信息安全管理，所以CISM要求最少要有5年信息安全管理的經(jīng)驗(yàn)。

7、Security+信息安全技術(shù)專家

Security+的發(fā)證機(jī)構(gòu)是CompTIA，這個(gè)認(rèn)證學(xué)習(xí)的內(nèi)容相對(duì)比較簡(jiǎn)單，適合剛畢業(yè)或者要轉(zhuǎn)行的人，這是入門安全行業(yè)一塊很好的敲門磚，而且對(duì)于申請(qǐng)人沒有工作經(jīng)驗(yàn)及學(xué)歷要求。

8、ISO27001 Foundation認(rèn)證

ISO27001 Foundation的發(fā)證機(jī)構(gòu)是APMG，ISO27001Foundation是為了培養(yǎng)并提高信息安全管理體系ISO27001建設(shè)者所開設(shè)的課程，更注重信息安全管理體系的實(shí)施、維護(hù)與優(yōu)化方面。

9、DevOps Master開發(fā)和運(yùn)維

DevOps Master的發(fā)證機(jī)構(gòu)是EXIN，這是一套最佳實(shí)踐方法理論，主要是為了讓在應(yīng)用和服務(wù)的生命周期中促進(jìn)I專業(yè)人員開發(fā)人員、運(yùn)維人員和支持人員之間的協(xié)作和交流，適合做敏捷開發(fā)、運(yùn)維、項(xiàng)目經(jīng)理等職位的人去學(xué)習(xí)，提高工作效率。

10、Prince2受控環(huán)境下的項(xiàng)目管理

Prince2的發(fā)證機(jī)構(gòu)是AXELOSPrince2在國(guó)內(nèi)的知名度雖然不如PMP，但同樣都是項(xiàng)目管理，兩者的區(qū)別在于理論與實(shí)踐，PMP相對(duì)來說比較偏向于理論。且持有PMP證書的人想獲得更高級(jí)別的認(rèn)證也是要考Prince2的專業(yè)級(jí)認(rèn)證。