夜雨聆风
一、CNAS(中国合格评定国家认可委员会认可)
CNAS是根据《中华人民共和国认证认可条例》设立的国家认可机构,负责对认证机构、实验室、检验机构等合格评定机构的能力进行认可。
主管机构:
中国合格评定国家认可委员会(CNAS),由国家认证认可监督管理委员会(CNCA)批准授权。
性质:
自愿性认可,非强制性。
核心特点:
依据国际标准(ISO/IEC 17025)对实验室技术能力进行评价。
具有国际互认效力,通过ILAC-MRA多边互认协议,报告在全球100多个国家和地区得到承认。
适用于第一、二、三方实验室,对法律地位无限制。
适用场景:
国际贸易、出口产品检测、科研、企业内控、国际招投标等。
二、CMA(检验检测机构资质认定)
CMA是"China Inspection Body and Laboratory Mandatory Approval"的缩写,指检验检测机构资质认定,又称中国计量认证。
主管机构:
国家市场监督管理总局及省级市场监督管理部门。
性质:
强制性行政许可。
核心特点:
依据《中华人民共和国计量法》及《检验检测机构资质认定管理办法》实施。
只有通过CMA认定的机构,才能向社会出具具有证明作用、具备法律效力的检验检测数据。
评审依据为国内标准(如GB/T 27025-2019)及行业补充要求。
报告在中国境内具有法定效力,可用于司法鉴定、行政执法、质量监督等。
适用场景:
国内产品质量监督、政府抽检、司法仲裁、招投标、上市备案等。
三、商用密码应用安全性评估(密评)
对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。
主管机构:
国家密码管理局(国密局令第3号,2023年11月1日起施行)。
核心要求:
从事密评活动并向社会出具证明作用数据的机构,必须经国家密码管理局认定,取得商用密码检测机构资质。
重要网络与信息系统的运营者应当"三同步"(同步规划、同步建设、同步运行)商用密码保障系统。
系统建成后每年至少开展一次密评。
未通过评估的系统不得投入运行,需改造后重新评估。
法律依据:
《商用密码应用安全性评估管理办法》(国家密码管理局令第3号)、《商用密码检测机构管理办法》(国家密码管理局令第2号)。
四、网络安全等级保护测评(等保测评)
测评机构依据国家网络安全等级保护制度规定,按照管理规范和技术标准,对已定级备案的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。
主管机构:
公安部(网络安全保卫局/等保办),省级以上等保办负责审核推荐。
核心要求:
实行推荐目录管理,测评机构须经省级以上等保办审核推荐,取得《网络安全等级保护测评机构推荐证书》。
第三级信息系统每年至少测评一次,第四级每半年至少测评一次。
测评机构须具备独立法人资格,注册资金500万元以上,无违法违规记录。
测评人员须为中华人民共和国公民,无犯罪记录,且须取得测评师证书(至少15人,含高级1人、中级5人)。
不涉及网络安全产品开发、销售或信息系统安全集成等可能影响公正性的业务。
法律依据:
《网络安全等级保护测评机构管理办法》(公信安〔2018〕765号)。
五、信息安全风险评估服务资质(CCRC)
由中国网络安全审查技术与认证中心(CCRC)颁发的信息安全服务资质,证明机构具备识别资产脆弱性、分析威胁路径、量化风险等级并提出处置建议的能力。
主管机构:
中国网络安全审查技术与认证中心(CCRC)。
资质分类:
CCRC信息安全服务资质共8个分项,包括:
安全集成、安全运维、风险评估、应急处理、软件安全开发、灾难备份与恢复、工业控制安全、网络安全审计
等级划分:
每个分项设一级(最高)、二级、三级。
核心要求:
独立法人,无违法违规记录。
三级:成立满6个月,社保不少于10人,至少1个相关项目经验。
二级:成立3年或持三级资质满1年,社保不少于25人,至少6个相关项目。
一级:持二级资质满1年,可全国范围内跨5个以上行业开展服务。
技术负责人需具备3年以上信息安全服务经验,团队需配备持证人员(如CISP、CISAW)。
法律依据:
《信息安全服务规范》(GB/T 28448-2022)及CCRC认证规则。
六、信息安全应急处理服务资质(CCRC)
CCRC信息安全服务资质的分项之一,证明机构具备对信息安全事件进行监测、响应、处置和恢复的能力。
主管机构:
中国网络安全审查技术与认证中心(CCRC)。
核心要求:
具备日志分析、流量取证、恶意代码识别、漏洞复现等核心技能。
建立标准化的应急响应流程(SOP文档、事件分级机制)。
人员需持有CISP-IRS(注册信息安全专业人员-应急响应方向)等专业认证。
2025年起新增对AI辅助研判能力和云原生环境应急处置经验的考察。
资质有效期3年,需每年接受监督审核。
等级:
一级、二级、三级(一级最高)。
七、涉密信息系统集成资质
保密行政管理部门许可企业事业单位从事涉密信息系统集成业务的法定资格,包括规划、设计、建设、监理和运行维护等活动。
主管机构:
国家保密行政管理部门(国家保密局)主管全国;省级保密行政管理部门主管本行政区域。
等级划分:
甲级:可从事绝密级、机密级和秘密级涉密集成业务(全国范围)。
乙级:可从事机密级、秘密级涉密集成业务(注册地省级行政区域内)。
业务种类:
总体集成、系统咨询、软件开发、安防监控、屏蔽室建设、运行维护、数据恢复、工程监理等8类。
核心要求:
境内依法成立3年以上的法人,无犯罪记录。
法定代表人、主要负责人、实际控制人及业务人员须具有中国国籍,无境外永久居留权。
无外国投资者直接投资,间接投资比例最终不得超过20%。
具备专门的保密工作机构、保密制度、保密经费和符合标准的涉密场所。
甲级/乙级在注册资本、业绩、人员数量、高级职称人数、涉密场所面积等方面有具体量化要求。
法律依据:
《涉密信息系统集成资质管理办法》(国家保密局令2020年第1号,2021年3月1日起施行)。
八、工业互联网安全评估评测机构
具备对工业互联网网络和数据安全进行评估、评测、测试能力的专业机构资质。
主管机构:
工业和信息化部(工信部)及地方工信部门、工业互联网产业联盟。
核心特点:
通常由工业互联网产业联盟授予"工业互联网安全评估评测机构"资质。
需具备信息安全风险评估、安全运维等相关CCRC资质作为能力基础。
需具备工业控制系统安全专项能力,熟悉工控协议、工控设备安全测试。
部分省份(如黑龙江)由工信厅发布《工业互联网网络和数据安全测评支撑机构管理办法》,明确需具备国家级工业互联网产业联盟授予的资质证书。
适用场景:
工业互联网平台安全评估、企业数字化诊断、工控系统安全测试、智能制造能力成熟度评估等。
九、软件工程造价评估
依据国家及行业标准,对软件项目的功能点规模、工作量、工期、成本进行科学估算和评估的专业服务。
主管机构:
工业和信息化部(行业标准制定)、北京软件造价评估技术创新联盟等行业组织(机构资质认定)。
核心标准:
国家标准:《GB/T 36964-2018 软件工程 软件开发成本度量规范》
电子行业标准:《SJ/T 11463-2013 软件研发成本度量规范》
团体标准:《T/BSCEA 002-2019 软件造价评估实施规程》
机构资质:
需取得"软件工程造价评估机构资质"(如中国电子质量管理协会或北京软件造价评估技术创新联盟颁发)。
机构按服务能力分为三级:一级(可实施)、二级(已管理)、三级(能改进)。
人员需持有"软件工程造价师"证书(工信部教育与考试中心+北京软件造价联盟联合颁发)。
核心要求:
独立法人,产权清晰,注册资金500万元以上(部分要求)
具备专职软件造价评估人员,且持有软件工程造价师证书
具备功能点计数、COCOMO II模型、NESMA方法等评估能力。
可为软件立项、招标、费用结算审计、测试、运维等阶段提供造价评估服务。
总结对比表
如需软件检测领域实验室资质建设方案,可扫码获取。
