信息系統安全運維服務資質是信息系統安全服務資質八大類別之一。信息系統安全運維服務是通過技術設施安全評估，技術設施安全加固，安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢，協助組織的信息系統管理人員進行信息系統的安全運維工作，以發現并修復信息系統中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時加以響應。

CCRC 中國網絡安全審查技術與認證中心（原中國信息安全認證中心-ISCCC）是依據國家《網絡安全法》和國家有關強制性產品認證、網絡安全管理法規，負責實施網絡安全審查和認證的專門機構。

第一：資質申請的前提條件

    申請機構所從事的行業開展的項目類型和IT相關，有合適的辦公場地，良好的財務狀況和資信水平，具備一定的服務人員隊伍，建立有基本的管理制度并有效運行，能夠為組織的安全服務過程提供支撐和保障。

第二：資質申請的幾大要素

     信息安全服務資質申請要素之一：人

1、 企業對外提供的信息安全服務依賴人來完成，必須要有合適的技術帶頭人，技 術帶頭 人需要對信息安全的含義、如何確保信息安全有較為深刻的理解和認識需要在組織內部建立信息安全服務職能部門的崗位職責、任職資格、評價機制，并按照上述原則對信息安全服務人員進行能力考核、認定、評價；

2、資質申請人員能力培訓：信息安全保障人員CISAW(輔助資質申請和項目投標人員加分項)信息安全保障人員分：安全集成 安全運維 風險管理  應急服務、安全軟件；

CISAW安全運維課程大綱 ：

安全運維體系、合規要求、安全策略、運維準備和實施、運維安全、評審及改進；

信息安全服務資質安全運維申請要素之二：什么是安全運維

通過技術設施安全評估，技術設施安全加固，安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢，協助組織的信息系統管理人員進行信息系統的安全運維工作，以發現并修復信息系統中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時加以響應。隨著信息系統運行，其自身存在的脆弱性和面臨的威脅都在發生變化，安全運維就是在系統運行期間，不斷的發現問題和解決問題，并優化安全策略，建立防護、檢測和恢復的閉環安全機制，保證業務系統持續安全。

信息安全服務資質安全運維申請要素之三：業績項目和規范

1、集成項目實施完成后，希望能夠為客戶提供長期運維服務的組織

2、所開展的運維項目類型為硬件運維、應用系統運維、或硬件與應用系統運維均可，項目的主要環節需要覆蓋需求分析、方案設計、運維實施、運維服務報告編寫等階段

信息安全服務資質申請要素之四：公共管理和安全運維專業方向與評估表對標

1、 公共管理包含； 法律地位、財務資信、辦公場所、人員要求、服務管理要求（人員管理 文檔管理  保密管理  項目管理 合同管理 供應商管理，體系建設要求），技術工具要求等

2、項目業績：信息安全服務資質對企業在對外開展信息安全服務的一些關鍵環節和過程，也有相應的要求；要將公司現有的業務模式，與資質的要求進行融合，并按照資質規范的要求，形成相應的對標輸出

3、安全運維項目： 避免選擇純硬件維護或者純軟件維護的項目， 典型項目應該涉及預警、防護、檢測和恢復等環節的內容

4、安全運維的項目階段：運維設計實施  運維方案設計  服務實施（信息系統配置管理數據庫、安全配置庫、配置檢查記錄 日志保存記錄與日志審計分析記錄、報告；漏掃記錄、安全加固記錄、補丁安裝記錄、病毒查殺記錄等 ）

第三：適合申請安全運維的組織類型：

在傳統IT運維項目實施過程中融入“安全性”思維，并貫穿運維項目實施的整個過程：

1、 針對客戶安全運維需求的挖掘與分析；

2、 能夠將安全需求在運維方案中進行落地；

3、在運維服務開展過程中，通過多種手段（資產梳理、配置優化、漏洞檢測、安全審計、狀態監控、滲透測試等），能夠發現問題和隱患，控制風險，使運維對象的信息安全風險保持在偏低水平；

4、 針對運維服務過程中發現的問題能夠及時閉環處理、分析總結。 

第四：申請流程 

申請前的準備：

1、理解《信息安全服務 規范》；

2、梳理/建立組織的服務管理體系；

3、尋找/開展服務項目實現技術要求；

4、對安全服務管理體系進行持續改進；

申請中的工作：

1、登錄業務系統，注冊賬號；

2、填寫認證申請書，保障信息真實；

3、下載對應類別的自評價表進行自評價，并整理證明材料；

4、在業務系統提交自評價表及證明材料。

申請中的配合工作：

1、非現場審核階段

聯系人保持電話暢通、關注項目進展；

解答審核組長提出與審核相關的問題，必要時提供證據；

對于不符合項或影響現場審核的問題，及時采取糾正措施（時限不超過20個工作日）。

2、現場審核階段

關注業務系統中的項目進度；

協助安排審核組現場審核時間、地點；

協調公司高層、相關人員配合審核，并準備相關佐證材料；

安排審核組的交通、食宿（參照財政部的要求）；

協調公司的模擬測試環境（一二級）；

協調安全運維見證項目（ 一二級 ）。

審核后的配合工作：

不符合項整改（不超過20個工作日）；

認證決定過程中需要補充的材料（不超過3個工作日）；

及時繳納認證費用（收到通知單后10個工作日）；

上傳匯款信息及匯款證明（保障及時、準確無誤）；

關注認證決定（3個工作日完成）；

證書批準后在客戶端可查看證書樣板（2個工作日完成）。

證書樣本: