CCRC信息安全服务资质(涉密配套项目准入)完整办理指南
一、基础概念区分(涉密项目必看懂)
1. 发证机构:CCRC=中国网络安全审查技术与认证中心,国家级官方安全资质,涉密单位、保密局、军工、政务涉密项目强制准入加分/门槛
2. 8大业务分项(涉密配套最常用)
安全集成、安全运维、风险评估、应急处理、软件安全开发、数据安全、灾备恢复、网络安全审计
3. 三级分级(涉密项目招标要求)
三级:基础,区县普通涉密配套、小型单位外包
二级:主流,机关、国企、军工配套、涉密信息系统配套通用门槛
一级:重大涉密、关键信息基础设施、省级/国家级涉密项目(不可直接申报,需二级满1年)
4. 和涉密信息系统集成资质区别
涉密集成资质:直接承建涉密内网、涉密系统建设,国家保密局发证,硬性严格
CCRC信息安全服务资质:涉密配套辅助服务(等保测评、风险评估、安全运维、漏洞整改、安全集成配套),绝大多数涉密招标将CCRC二级及以上列为投标前置条件,是配套项目入场必备资质
CCRC信息安全服务资质证书模版

更多资质办理详情可直接在线与方圆盛世客服联系,或电话咨询官方热线:400-090-3278
二、通用硬性申报条件(涉密配套企业重点)
(一)企业主体要求(涉密项目审核红线)
1. 境内纯内资独立法人,无外资、无境外持股、无代持;股东、实际控制人均中国公民
2. 信用合规:近3年无网络安全重大处罚、无泄密记录、法人/高管无失信黑名单
3. 经营年限
三级:注册满6个月
二级:注册满3年 或 持有CCRC三级满1年
一级:二级持证满1年,企业成立≥3年
4. 经营范围:含信息安全集成、网络安全运维、风险评估、数据安全、软件开发等匹配字样
(二)场地与物理安全(涉密配套重点核查)
1. 固定商用办公场地,禁止住宅、虚拟孵化器工位,提供1年以上租赁合同+产权证明
2. 涉密配套业务额外要求:独立安全办公区域、涉密资料存放专柜、门禁管控、监控录像留存3个月;现场审核会检查保密隔离区
3. 配套专业设备:漏洞扫描、渗透测试、日志审计、备份、应急处置工具,提供设备采购/授权清单
(三)人员配置(分级硬性标准,涉密项目必查社保+持证)
所有人员全职、连续3个月社保,无兼职挂靠;全部签署员工保密承诺书
等级全员社保人数CISAW/CISP持证人员(对应申报分项)技术负责人要求
三级≥6人≥2人2年以上信息安全服务经验,中级职称优先
二级≥20人≥6人3年以上安全项目管理经验
一级≥30人≥10人5年以上大型安全项目负责人经验
补充:涉密配套企业建议额外配置保密专员1名,熟悉保密法规,配合甲方涉密检查
(四)项目业绩(近3年内同类安全项目,涉密配套优先政企/事业单位案例)
三级:≥1个完整项目(合同+验收报告+发票)
二级:≥6个同类项目,至少2个党政/国企类项目
一级:≥10个大中型项目,含省级政务、军工、关键基础设施项目
(五)体系文件(涉密配套必须包含保密管理制度)
1. 基础体系:信息安全服务手册、项目管理、质量管控、工具管理、应急处置流程
2. 涉密专项制度(涉密项目准入核心):人员保密管理、涉密资料管控、客户涉密信息保护、对外交付保密协议、泄密应急预案
3. 二级及以上强制持有 ISO27001信息安全管理体系(CNAS标更佳),运行满6个月,留存内审、管理评审记录
4. 体系试运行≥3个月,全套运行表单、演练记录、客户保密协议可追溯
三、涉密配套额外加分/强制材料(投标时甲方重点核验)
1. 全体员工无境外居留、无涉外婚姻承诺书(加盖公章)
2. 保密管理制度、保密培训记录、年度保密自查报告
3. 过往涉密单位/机关安全服务合同、甲方保密验收证明
4. 机房/办公区域安防监控、保密存储设备照片台账
5. 数据本地存储承诺,所有服务服务器境内部署,无境外云
四、完整办理流程(总周期3–5个月)
阶段1:前期筹备(1–2个月)
1. 确定申报分项(安全集成/运维/风险评估等)与等级(涉密配套优先二级)
2. 配齐人员社保、考取CISAW对应专业证书;梳理近3年安全项目全套档案
3. 搭建信息安全服务体系+涉密保密专项制度,完成3个月试运行,留存所有运行记录
4. 办理ISO27001(二级必备)
阶段2:线上提交申请+文件审核(2–4周)
1. 登录CCRC官方平台填写《信息安全服务资质认证申请书》,上传全套电子版材料
2. 评审专家文审,针对项目缺失、人员不达标、保密制度不完善出具整改项,15日内补正
阶段3:现场审核(涉密配套审核更严格)
审核组上门核查核心内容:
1. 办公安全区域、保密设施、安全工具台账实操核验
2. 随机访谈技术、保密、项目人员,核查保密意识、流程落地
3. 调取项目合同、验收单、保密协议、应急演练原始记录
4. 针对涉密配套专项条款提问,核查客户涉密信息保护措施
出具不符合项,限期闭环整改并提交佐证材料
阶段4:技术委员会终审、发证
1. 审核材料+整改资料提交CCRC技术委员会评审
2. 通过后官网公示,颁发CCRC纸质证书,全国可查
3. 证书有效期3年,每年1次监督审核,到期前3个月再认证
五、全套申报材料清单
1. 企业基础资质
营业执照、公司章程、股权穿透说明、法人身份证、无外资承诺书、场地租赁合同+房产证明、近1–3年财务报表/审计报告
2. 人员全套材料
全员社保近3个月清单、劳动合同、CISAW/CISP证书、人员简历、保密承诺书、保密培训签到与课件、技术负责人资历证明
3. 项目业绩材料
项目合同关键页、甲方盖章验收报告、发票、交付方案、测试报告;涉密相关项目额外提供甲方保密回执
4. 体系与保密文件
信息安全服务全套手册程序文件、ISO27001证书、保密管理制度、应急演练记录、内审报告、管理评审报告、工具设备清单
5. 申报表单
CCRC认证申请书、自评估报告、涉密配套专项合规声明
六、涉密项目高频驳回/扣分点(提前规避)
1. 人员社保不足、持证数量不够、证书与申报业务不匹配
2. 无独立保密办公区、无涉密资料管控制度,缺少保密运行记录
3. 项目多为纯私企,无党政/事业单位配套案例,不符合涉密招标偏好
4. 体系未试运行、无内审/演练记录,保密协议缺失
5. 股权存在境外间接持股、法人有失信记录
6. 二级申报缺少ISO27001证书
七、CCRC资质在涉密配套项目中的作用
1. 投标硬性门槛:绝大多数机关、军工、国企涉密配套招标明确要求CCRC二级及以上
2. 涉密集成资质分包配套:持有涉密集成资质单位外包安全服务,必须选用具备CCRC资质服务商
3. 等保、风险评估、安全运维类涉密外包业务唯一认可国家级资质
4. 作为企业保密服务能力佐证,降低甲方涉密合作审查成本




