2026年现行CCRC信息安全服务资质(CCRC-ISV-R01:2021+2026新规强化点),把通用条件+三级/二级/一级分级要求+八大方向差异+办理流程一次性讲清楚,便于直接对照自查。
一、CCRC是什么、能干嘛
发证机构:中国网络安全审查技术与认证中心(CCRC/ISCCC)
等级:一级(最高)、二级、三级(入门)
方向(8大类):
1)安全集成
2)安全运维
3)风险评估
4)应急处理
5)软件安全开发
6)灾难备份与恢复
7)工业控制安全
8)网络安全审计
用途:政企招投标必备、供应商准入、等保/护网项目加分、网络安全服务合规门槛
二、通用基础条件(三级/二级/一级都必须满足)
1. 主体资格
中国大陆境内注册独立法人,成立时间:三级≥6个月;一/二级≥3年(或低一级证书满1年)
经营范围含:信息安全服务、网络安全技术、安全集成/运维/评估/应急等对应字样
2. 信用与合规
近3年无重大信息安全事故、无网信/公安行政处罚、无严重失信/经营异常
法人、股东、高管无不良记录
3. 办公与设备
固定办公场所(三级≥100㎡,一/二级更大)
对应方向专业工具/平台(漏洞扫描、运维监控、应急处置、灾备等)
4. 管理体系(2026重点)
建立ISO27001信息安全管理体系并有效运行≥3个月
二级/一级必须取得ISO27001正式证书(范围含信息安全服务)
制度文件:质量手册、程序文件、项目/保密/人员/资产/应急/回访等闭环记录
更多资质办理详情可直接在线与方圆盛世客服联系,或电话咨询官方热线:400-090-3278
三、分级核心要求
三级(入门,最常先办)
人员:近3个月社保≥6人(建议10人);持证CISAW/CISP≥2人(对应方向)
项目:近3年≥1个与申报方向一致、已验收的完整项目(合同+验收+发票+过程资料)
负责人:组织负责人≥2年IT管理经验;技术负责人≥2年同类项目经验
二级(中级)
人员:近3个月社保≥20人;持证CISAW/CISP≥6人(对应方向)
项目:近3年≥6个对应方向已验收项目,可含1个100万以上项目
体系:ISO27001证书+运行≥6个月
负责人:组织负责人≥3年IT管理经验;技术负责人≥3年同类项目经验
一级(高级)
人员:近3个月社保≥30人;持证CISAW/CISP≥10人(对应方向)
项目:近3年≥10个对应方向已验收项目,其中≥3个为金融/政府/能源等关键行业大型项目
体系:ISO27001证书+运行≥12个月
负责人:组织负责人≥4年IT管理经验;技术负责人≥5年同类项目经验+高级职称/资深CISP
> 2026严查:社保连续、人证合一、项目可追溯、现场实操能力,挂靠/临时凑数极易驳回
四、八大方向差异(重点看人员证书与工具)
安全集成:CISAW-安全集成;需漏洞扫描、渗透测试、加固工具
安全运维:CISAW-安全运维;需SOC监控平台、日志审计、应急响应工具
风险评估:CISAW-风险评估;需评估方法论、扫描/测评工具
应急处理:CISAW-应急响应;需演练方案、取证/分析工具、7×24响应能力
软件安全开发:CISAW-软件安全;需代码审计、SAST/DAST工具、SDL流程
灾备:CISAW-灾备;需备份软件、容灾平台、演练记录
工控安全:CISAW-工控;需工业防火墙、协议分析、工控漏洞库
网络安全审计:CISAW-审计;需日志收集、关联分析、合规检查工具
五、办理流程
1. 前期准备
定方向/等级(建议先三级1–2个方向)
补人员社保、考CISAW/CISP证书
梳理近3年项目合同、验收、发票、过程文档
建立ISO27001体系并运行≥3个月,做内审+管理评审
2. 提交申请
材料:营业执照、法人身份证、章程、组织架构、社保清单、人员证书、体系文件、项目资料、办公场所证明、无违法失信承诺
3. 文件审核
机构初审,反馈不符合项,10天内整改闭环
4. 现场审核
核查:办公环境、工具平台、人员访谈、项目追溯、实操能力、记录完整性
5. 评定发证
技术委员会评定,发CCRC资质证书,有效期3年,每年1次监督审核
六、2026新规高频驳回点
1. 人员:社保不连续、证书不匹配、人证分离、挂靠
2. 项目:数量不足、合同/验收/发票不一致、过程记录缺失、虚构项目
3. 体系:ISO27001未取证或运行不足、文件与实操脱节、记录不闭环
4. 能力:工具缺失、技术人员实操不过关、应急/运维流程不熟