夜雨聆风CCRC软件安全开发服务资质(三级)
发证机构:中国网络安全审查技术与认证中心(CCRC)
适用对象:做软件安全开发的企业,首次申请一般从三级开始。
核心作用:承接政府/国企/关键基础设施项目的常见门槛。
一、基本申请条件(2025新规)
1)主体与年限
- 境内独立法人,无重大违法记录。
- 成立满6个月。
- 经营范围含软件开发/软件安全开发相关字样。
2)人员(硬性)
- 近3个月社保≥10人(部分口径≥6人,按最新实施规则备10人更稳)。
- 组织负责人:2年以上IT管理经验。
- 技术负责人:具备软件安全开发管理能力。
- 持证人员:至少2名(CISP/CISAW等信息安全证书)。
- 至少1人:计算机相关专业本科及以上。
3)业绩(软件安全开发方向)
- 从事软件安全开发服务≥6个月。
- 近3年内至少1个同类完工项目:合同+验收报告+发票+回款凭证。
4)办公与工具
- 固定办公场所(租赁/自有证明)。
- 配备软件开发与安全工具:漏洞扫描、代码审计、安全测试、版本控制等。
5)管理体系(文件化)
- 文档管理、项目管理、保密管理、质量管理程序文件。
- 人员能力与保密培训记录。
- 建议具备ISO 27001(非强制,加分)。
二、认证流程(约2–3个月)
1. 启动与自评估
确定范围(软件安全开发),对照CCRC-ISV-R01:2025差距分析 。
2. 文件体系搭建(3–4周)
手册+程序文件+记录模板;覆盖:安全开发流程、需求安全、设计安全、编码安全、测试安全、发布与运维安全、漏洞管理、应急响应。
3. 人员与业绩材料(2周)
社保清单、人员简历、证书、保密协议;项目合同/验收/发票/实施文档归档。
4. 提交申请+文审(2–3周)
CCRC官网提交;文审主要查:人员资质、业绩真实性、文件覆盖度。
5. 现场审核(1–2天)
查办公环境、工具、项目文档、开发流程执行记录、人员访谈 。
6. 整改+发证(2–4周)
不符合项整改→验证→发证;证书有效期3年 。
7. 获证后
每年监督审核;3年到期前申请再认证 。
三、常见不通过点(避坑)
- 社保人数不足或社保时间不满足“近3个月”。
- 项目不是软件安全开发(是普通软件开发,不含安全需求/安全设计/安全测试)。
- 缺少安全开发流程文件或记录缺失。
- 持证人员不足或证书不在有效期。
四、办理周期与费用
- 周期:2–3个月(含文件+现场+整改)。
- 费用:咨询+认证约6–10万(随地区与服务商浮动)。
五、三级 vs 二级(简要对照)
- 三级:成立≥6个月、社保≥10人、1个项目、2名持证;适合初创/首次申请。
- 二级:成立≥3年或三级满1年、社保≥20人、6个项目、6名持证;可接更大政企项目。
