CCRC信息安全服务资质是对信息安全服务机构提供安全服务的一种资格，包括对提供者的技术能力、资源状况、法律地位、管理等方面的资质和能力，以及其稳定性、可靠性进行评估，并依据公开的标准和程序，对其信息安全服务保障能力进行认证的过程。

安全集成

安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动，

安全运维

信息系统安全运维服务是指通过技术设施安全评估，技术设施安全加固，安全漏洞补丁通告、安全事件响应以及信息安全运维咨询，协助组织的信息系统管理人员进行信息系统的安全运维的工作。

安全软件开发

将开发的软件存在的风险控制在可接受的水平。软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。安全软件开发服务资质级别是衡量服务提供方的软件安全开发服务资格和能力的尺度。

应急处理

通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应，并在安全事件发生后进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程。

风险评估

通过系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全整改措施，防范和消除信息安全风险，或将风险控制在可接受的水平。

灾难备份与恢复

将信息系统的数据、数据处理系统、网络系统、基础设施专业技术支持能力和运行管理能力进行备份，并在灾难发生时，将其恢复到可正常运行状态，使支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计和提供的活动。

网络安全审计

网络安全审计机构对被审计方所属的计算机信息系统的安全性、可靠性和经济性进行检查、监督，通过获取审计证据并对其进行客观评价所开展的系统的、独立的、形成文件的活动。

工业控制系统安全

工业控制系统安全服务资质认证是对工业控制系统安全服务方的基本资格、管理能力、技术能力和工业控制系统安全服务过程能力等方面进行评价，涉及工业控制系统设计、建设、运维和技改各个阶段。

CCRC 认证指的是 CCRC 信息安全服务资质认证，共有 3 个级别，分别是一级、二级、三级，其中一级最高，三级******。

 一级资质：

要求企业成立满三年且二级证书满一年，近三个月社保 30 人及以上，申报类别的安全项目 10 个及以上，CISAW 证书申报类别 10 人或年审前培训。

 二级资质： 

要求企业成立满三年或三级证书满一年，近三个月社保 20 人及以上，申报类别的安全项目 6 个及以上，CISAW 证书申报类别 6 人或年审前培训 。

 三级资质：

要求企业成立满半年，近三个月社保 6 人及以上，申报类别的安全项目 1 个及以上，CISAW 证书申报类别 2 人或年审前培训。

 不同级别的 CCRC 认证对应着不同的服务能力和要求，企业可以根据自身的实际情况选择适合的级别进行认证。

企业自查：企业在申请CCRC认证前，需要进行自查，确保自身符合申请条件。

提交申请材料：企业将相关材料提交给CCRC，包括企业基本信息、信息安全管理制度等。

审核：CCRC对提交的申请材料进行审核，确保材料齐全、符合要求。

现场评审：CCRC派出评审团队对企业进行现场评审，全面评估企业的信息安全能力。

颁发证书：通过审核和现场评审的企业，将获得CCRC颁发的信息安全服务资质证书。

CCRC认证需要进行年审。企业在获得CCRC认证后，需要每年进行一次年审，以持续保持认证状态。年审主要是对企业信息安全管理的持续性和有效性进行评估。年审流程是怎样的呢？

企业准备年审材料：企业需要准备年审所需的相关材料，包括信息安全管理制度、安全事件处理情况等。

提交年审材料：企业将年审材料提交给CCRC。

审核：CCRC对年审材料进行审核，确保材料齐全、符合要求。

现场评审：CCRC派出评审团队对企业进行现场评审，评估企业的信息安全管理情况。

年审结论：通过审核和现场评审的企业，将继续保持CCRC认证状态。 

年审是为了确保企业信息安全管理的持续性和有效性，及时发现和纠正问题，提高企业的信息安全能力。通过年审，企业能够持续符合CCRC认证要求，保持认证状态。