现在信息化是国之根本，尤其是信息化安全涉及到国家和企业的方方面面，这里面包含有应急处理，工业控制安全，安全运维，审计安全，灾难恢复系统，风险评估，安全咨询等等。，，为主要内容的信息安全服务在信息安全保障中的作用日益突出。我国从2010年开始已经逐渐加强对资质认证的要求，并在以后的工作中越来越强。 中国网络安全审查技术与认证中心是经国家认证认可监督管理委员会批准，可以从事信息安全服务资质认证的机构(《认证机构批准CNCA-R-2007-138)，并获得了中国合格评定国家认可委会的认可(证书编号：No. CNAS CO66-V)。当然除了培训之外，服务资质的工作便成了很重要的工作之一。

赛虎学院承办信息安全资质咨询服务，也就是CCRC的咨询，咨询请 ————  点击咨询​

​

　　根据中认的一些要求，简单介绍下CCRC信息安全服务资质中--信息系统安全运维专业

　　首先是资格申请的先决条件。

　　申请者所从事的行业开展的项目类型与IT相关，有合适的办公场所，良好的财务状况与信誉，有一定的服务队伍，建立了基本的管理体系并能有效运作，能为组织的安全服务进程提供支持与保障。

　　其次是资格申请的几个主要因素。

　　申请信息安全服务资质的要素之一：人员。

　　1.企业对外提供信息安全服务要靠人来完成，必须要有合适的技术骨干，技术骨干要对信息安全的含义、如何保证信息安全有比较深刻的了解和认识，需要在组织内建立信息安全服务职能部门的岗位职责、任职资格、评价机制，并根据上述原则，对信息安全服务人员进行能力考核、鉴定、评价。

　　2.资格审查人员的能力培训：CISAW(辅助资格审查和项目投标人资格审查的加分项)资格审查人员的能力培训：安全集成安全运营风险管理应急服务、安全软件。

　　CISAW安全集成课程大纲：

　　安全工程概论，安全集成实施，安全集成的集成模式和集成安全模式，安全技术应用。

　　CISAW风险管理课程大纲：

　　风险管理的基本概念和相关标准，项目准备和风险识别，风险分析和评估，风险处理和监测，技术漏洞识别和管理漏洞识别。

　　《CISAW紧急情况管理》：

　　紧急管理体系的建立，电子商务系统黑客破坏场景的再现以及企业应急响应过程的再现，应急服务中渗透性试验的实践，应急响应实战案例分析和沙盘演练，应急响应与安全事件处理，应急计划的制定与实施。

　　CISAW安全操作与维护课程简介：

　　安全性操作系统，合规要求，安全策略，操作准备与执行，操作安全性，审查与改进。

　　CISAW安全软件课程大纲：

　　应用系统的安全概述与模型，安全漏洞管理，安全功能设计，软件安全测试，软件安全编码实践。

　　信息安全服务资质的安全运营申请要素之二：安全运营是什么?

　　信息系统安全隐患排查应通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通知、安全事件响应和信息安全运营咨询等途径，帮助组织的信息系统管理人员开展信息系统安全运营，发现和修复信息系统中存在的安全隐患，减少隐患被非法利用的可能性，并在隐患被利用后及时采取措施加以解决。安全运维是指在信息系统运行过程中，不断地发现问题，解决问题，优化安全策略，建立保护、检测和恢复闭环安全机制，确保业务系统持续安全运行的过程。

　　信息安全服务资质安全运营管理申请的三个要素：绩效项目和标准。

　　整合项目实施完毕后，希望能为客户提供长期运营服务的机构。

　　所开展的运维项目类型为硬件运营、应用系统运营、或硬件和应用系统运营，项目中的主要环节需要涵盖需求分析、方案设计、运营执行、运维服务报告编写等阶段。

　　申请要素之四：公共管理与安全运营专业方向与评估表对标。

　　1.公共管理包括：法律地位、财务信誉、办公场所、人员要求、服务管理要求(人员管理、文件管理、保密管理、合同管理、供应商管理、体系建设要求)、技术工具要求等。

　　2、项目执行情况：信息安全服务资质对企业对外开展信息安全服务的一些关键环节和过程，也有相应的要求;企业现有的经营模式，要与资质要求相结合，并根据资质标准的要求，形成相应的对标输出。

　　3、安全运营项目：避免选择纯硬件维护或纯软件维护项目，典型项目应包括预警、防护、检测和恢复等环节。

　　4.安全运营项目阶段：运营设计实施，运营方案设计服务实施(信息系统配置管理数据库、安全配置库、配置检查记录、日志保存记录、审计分析记录、报告记录、泄漏清除记录、安全加固记录、修补记录、病毒查杀记录等)

　　三、适用于应用安全运营的组织类型：

　　将“安全”的思想融入到传统IT运营项目的实施过程中，贯穿到运营项目的实情之中。

　　整个施舍过程：

　　对客户安全运营需求进行了挖掘和分析;

　　二是能够在运营方案中实现安全需求的落地。

　　在运维服务的开展过程中，通过多种手段(资产梳理、配置优化、漏洞检测、安全审核、状态监测、渗透测试等)，可以发现问题和隐患，控制风险，使运维对象的信息安全风险保持在较低的水平。

　　三是针对运维服务过程中发现的问题能及时进行闭环处理，并进行分析总结。

　　四是申请程序。

　　准备应用程序：

　　一、了解《信息安全服务准则》

　　二是梳理/建立企业服务管理体系。

　　发现/执行服务项目以满足技术要求。

　　四是不断完善安全服务管理体系。

　　申请前的准备：

　　登入商务系统，注册帐号;

　　填写认证申请表，保证资料的真实性;

　　下载相应类别的自评表格，进行自评，并整理证明材料;

　　在业务系统中提交自我评估的表格和相关证明材料。

　　配合申请工作：

　　一是非现场审计阶段。

　　联系电话保持畅通，关注项目进度;

　　回答审计组长提出的审计相关问题，并根据需要提供证据;

　　对不合格或影响现场审核的问题，应立即采取纠正措施(时间不超过20个工作日)。

　　二是现场审核阶段。

　　在业务系统中关注项目进度;

　　帮助安排审核小组现场审核的时间、地点;

　　与公司高层及相关人员协调，配合审计，准备相关支持材料;

　　为审计组安排交通和食宿(参照财政部要求);

　　为企业协调模拟测试环境(一级);

　　配合实施安全操作见证项目(一级)。

　　审计后合作事项：

　　纠正不合格项目(不超过20个工作日);

　　在核证决定期间需要补充的材料(不超过3个工作日);

　　按时缴纳认证费用(10个工作日内);

　　提交汇款资料和汇款凭证(保证及时准确);

　　审核认证决定(3个工作日完成);

　　在客户的证书批准后，可以查看证书样板(2个工作日完成)。