（一）網絡安全審查

           網絡安全審查是在中央網絡安全和信息化委員會領導下，為保障關鍵信息基礎設施供應鏈安全，維護國家安全而建立的一項重要制度。

2020 年 4 月，國家互聯網信息辦公室、國家市場監督管理總局等 12 個部門聯合發布了《網絡安全審查辦法》，并于2020 年 6 月 1 日起正式實施。根據《網絡安全審查辦法》，網絡安全審查辦公室設在國家互聯網信息辦公室。關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查。

中國網絡安全審查技術與認證中心在網絡安全審查辦公室的指導下，承擔接收申報材料、對申報材料進行形式審核、具體組織審查工作等任務。

（二）云計算服務安全評估

為提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，2019 年 7 月，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、財政部聯合發布了《云計算服務安全評估辦法》，組織對面對黨政機關、關鍵信息基礎設施運營者服務的云平臺開展安全評估。

黨政機關必須采購使用通過評估的云計算服務，未通過評估的，應要求云服務商申報安全評估，或將業務遷移到已通過評估的云平臺。云計算服務安全評估不收取云服務商費用，可提高云服務商的云服務安全水平和在政府采購市場中的競爭力，降低黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全風險。

中國網絡安全審查技術與認證中心在云計算服務安全評估協調機制辦公室的指導下，具體承擔云計算服務安全評估組織工作。

（三）數據安全

1.個人信息保護認證

個人信息保護認證是證明個人信息處理者在認證范圍內開展的個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動符合認證依據標準要求。中國網絡安全審查技術與認證中心負責個人信息保護認證的具體實施工作。

2.數據安全管理認證

根據有關任務安排，中國網絡安全審查技術與認證中心負責數據安全管理認證制度的具體建設和實施工作。數據安全管理是組織開展數據收集、存儲、使用、加工、傳輸、提供、公開等數據處理時采取的一系列管理活動。

3.移動互聯網應用程序（App）安全認證

依據中央網信辦、工業和信息化部、公安部、市場監管總局《關于開展 App 違法違規收集使用個人信息專項治理的公告》，市場監管總局、中央網信辦《關于開展 App 安全認證工作的公告》，中國網絡安全審查技術與認證中心對移動互聯網應用程序（App）開展認證工作。

（四）產品認證

1.網絡關鍵設備和網絡安全專用產品安全認證

中國網絡安全審查技術與認證中心是網絡關鍵設備和網絡安全專用產品安全認證的唯一認證機構，依據《網絡安全法》第二十三條的規定，對網絡關鍵設備和網絡安全專用產品依據國家標準強制性要求開展安全認證。

國家信息安全產品認證

中國網絡安全審查技術與認證中心是唯一指定為國家信息安全產品認證機構，負責實施國家信息安全產品認證。

獲得國家信息安全產品認證證書的產品表明其符合相應的信息安全規范和標準要求。

3.CCC 產品認證

中國網絡安全審查技術與認證中心是強制性產品認證指定認證機構，負責實施家用和類似用途設備強制性產品認證（07 類）、音視頻設備（08 類）、信息技術設備（09 類）、電信終端設備（16 類）強制性產品認證工作。

4.移動互聯網應用程序（App）安全認證

依據中央網信辦、工業和信息化部、公安部、市場監管總局《關于開展 App 違法違規收集使用個人信息專項治理的公告》，市場監管總局、中央網信辦《關于開展 App 安全認證工作的公告》，中國網絡安全審查技術與認證中心對移動互聯網應用程序（App）開展認證工作。

5.金融科技產品認證

為貫徹落實國家認證認可監督管理委員會、中國人民銀行《關于開展支付技術產品認證工作的實施意見》（國認證聯〔2017〕91 號）和《關于加強支付技術產品標準實施與安全管理的通知》（銀發〔2017〕208 號）要求，中國網絡安全審查技術與認證中心依據《市場監管總局 人民銀行關于發布<金融科技產品認證目錄（第一批）><金融科技產品認證規則>的公告》，對目錄內的金融科技產品實施認證。

6.IT 產品信息安全認證

中國網絡安全審查技術與認證中心開展的 IT 產品信息安全認證業務，是依據信息技術安全評估準則和相關技術要求，對 IT 產品的安全性進行評價，旨在保護用戶信息安全，維護用戶利益。生產企業的 IT 產品獲得信息安全認證證書，表明該產品符合相應的標準和技術要求。

7.電子產品認證

依據《認證認可條例》和認證主管部門的相關文件規定，中國網絡安全審查技術與認證中心對電子產品開展自愿性認證業務。該業務的認證流程、檢驗標準、工廠檢查要求等依據中國網絡安全審查技術與認證中心公開的產品認證實施規則進行。

8.非銀行支付機構支付業務設施技術認證

依據《非金融機構支付服務管理辦法》（中國人民銀行令[2010]第 2 號發布）和“中國人民銀行公告[2012]第 6 號”，中國網絡安全審查技術與認證中心對申請《支付業務許可證》的非金融機構及其他支付機構開展非金融機構支付業務設施技術認證，“非金融機構支付業務設施技術認證”已更名為“非銀行支付機構支付業務設施技術認證”。

9.節能產品認證

中國網絡安全審查技術與認證中心是政府采購節能產品認證機構，依據節能產品政府采購品目清單以及認證機構授權范圍，中心對部分信息技術產品開展節能認證工作。

10.電子招標投標系統認證

依據《電子招標投標辦法》（國家發展改革委等八部委第20 號令）和《電子招標投標系統檢測認證管理辦法（試行）》（國認證聯[2015]53），中國網絡安全審查技術與認證中心對電子招標投標系統開展認證工作。

11.北斗基礎產品認證 

按照《市場監管總局關于開展北斗基礎產品認證工作的實施意見》（國市監認證規〔2021〕5 號）要求，中國網絡安全審查技術與認證中心作為認證實施機構，依據《市場監管總局關于發布<北斗基礎產品認證目錄（第一批）><北斗基礎產品認證規則>的公告》（2021 第 33 號），對目錄內產品實施認證。

（五）體系認證

1.信息安全管理體系認證

信息安全管理體系（InformationSecurityManagementSystems,ISMS）是組織整體管理體系的一個部分，是基于風險評估建立、實施、運行、監視、評審、保持和持續改進信息安全等一系列的管理活動，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用的方法的體系。

GB/T22080/ISO/IEC27001 是建立和維護信息安全管理體系的標準，它要求組織通過一系列的過程，如確定信息安全管理體系范圍，制定信息安全方針和策略，明確管理職責，以風險評估為基礎選擇控制目標和控制措施等，是組織達到動態的、系統的、全員參與的、制度化的，以預防為主的信息安全管理方式。

2.信息技術—服務管理體系認證

信息技術—服務管理體系（ InformationTechnologyServiceManagementSystems,ITSMS）的目標是以合適的成本提供滿足客戶質量要求的IT服務，從流程、人員和技術三方面提升IT的效率和效用，強 調將企業的運營目標、業務需求與IT服務提供相協調一致。

ISO/IEC20000-1 是建立和維護信息技術服務管理體系的標準，規定了IT組織在向其內外部客戶提供IT服務和支持過程中所需完成的工作。通過這些規定，信息技術服務管理體系展示了一套完整的 IT 服務管理流程，旨在幫助IT組織識別并管理IT服務的關鍵流程，保證向業務和客戶有效地提供高質量的IT服務。

3.業務連續性管理體系認證

業務連續性管理體系（BusinessContinuityManagementSystems，BCMS）是組織整體管理體系的一個部分，用于建立、實施、運行、監視、評審、保持和改進組織自身業務連續性，是識別對組織的潛在威脅以及這些威脅一旦發生可能對業務運行帶來的影響的一整套管理過程。該認證的實施是基于國際標準GB/T30146/ISO22301。

ISO22301是建立和維護業務連續性管理體系的標準，為策劃、建立、實施、運行、監視、評審、保持和持續改進一個文件化的業務連續性管理體系規定了要求，用以實施保護，減少中斷事件發生的可能性，以及當中斷事件發生時準備、響應并恢復。

4.質量管理體系

質量管理體系（QualityManagementSystems,QMS）是組織內部建立的、為實現質量目標所必需的、系統的質量管理模式，是組織的一項戰略決策。它將資源與過程結合，以過程管理方法進行的系統管理，根據企業特點選用若干體系要素加以組合，一般包括與管理活動、資源提供、產品實現以及測量、分析與改進活動相關的過程組成，可以理解為涵蓋了從確定顧客需求、設計研制、生產、檢驗、銷售、交付之前全過程的策劃、實施、監控、糾正與改進活動的要求，一般以文件化的方式，成為組織內部質量管理工作的要求。

GB/T19001/ISO9001是建立和維護質量管理體系的標準，為策劃、建立、實施、運行、監視、評審、保持和持續改進一個文件化的質量管理體系規定了要求。

5.隱私信息管理體系認證

隱私信息管理體系從個人信息的收集、保存、傳輸、處置、使用、共享、轉讓、披露和委托處理等多個方面提高和完善組織的個人信息安全管理能力。隨著《中華人民共和國網絡安全法》和《中華人民共和國民法典》的出臺，個人信息安全有了法律依據，通過隱私信息管理體系認證，可以提高組織的個人信息安全管理能力和合規性，從而提升組織的社會信譽。

隱私信息管理體系的認證依據為ISO/IEC27701:2019《安全技術GB/T22080和GB/T22081針對隱私信息管理的擴展要求和指南》和GB/T22080/ISO/IEC27001《信息技術安全技術信息安全管理體系要求》。隱私信息管理體系的認證依據包含兩個標準，如果組織同時申請隱私信息管理體系和信息安全管理體系，可以僅在少量增加審核人日的基礎上完成兩個管理體系的審核。

6.云服務信息安全管理體系認證

云服務信息安全管理體系是信息安全管理體系在云服務上的應用和加強，該管理體系在信息安全管理體系的基礎上，結合云計算環境和云服務的特點，針對云服務的風險環境提供了適用于各類云服務提供者和云服務客戶的安全控制和安全控制實施指南，從而幫助云服務提供者提升服務的安全性，更好的為客戶提供安全可靠的服務。幫助云服務客戶了解云環境下可能面臨的風險和應對措施，幫助云服務客戶將信息安全管理延伸到使用的云服務。

云服務信息安全管理體系的認證依據為ISO/IEC27017《信息技術安全技術基于ISO/IEC 27002的云服務信息安全控制實踐指南》和GB/T22080/ISO/IEC27001《信息技術安全技術信息安全管理體系要求》。

云服務信息安全管理體系的認證依據包含兩個標準，如果組織同時申請云服務信息安全管理體系和信息安全管理體系，可以僅在少量增加審核人日的基礎上完成兩個管理體系的審核。

7.公有云中個人可識別信息管理體系認證

公有云中個人可識別信息管理體系是信息安全管理體系在公有云中對隱私信息安全管理方面的應用和加強。該體系在信息安全管理體系標準的基礎上，根據云計算環境隱私信息的特點和面臨的風險，針對性提出了安全控制和控制實施指南。幫助云服務提供者完善云環境下的隱私信息管理，規避合規風險，提升服務安全和客戶信任度。

公有云中個人可識別信息管理體系的認證依據為ISO/IEC 27018《信息技術安全技術個人可識別信息（PII）處理者在公有云中保護PII的實踐指南》和GB/T22080/ISO/IEC27001《信息技術安全技術信息安全管理體系要求》。

公有云中個人可識別信息管理體系的認證依據包含兩個標準，如果組織同時申請公有云中個人可識別信息管理體系和信息安全管理體系，可以僅在少量增加審核人日的基礎上完成兩個管理體系的審核。

8.環境管理體系認證

環境管理體系（EnvironmentalManagement Systems,EMS）是組織內全面管理體系的組成部分，包括為制定、實施、實現、評審和保持環境方針所需的環境目標、組織機構、規劃活動、機構職責、慣例、程序、過程和資源。建立和實施環境管理體系目的在于滿足環境法律法規和要求，防止對環境的不利影響，幫助組織實現自身設定的環境表現水平，并不斷地改進組織的環境行為，減少環境風險。

GB/T24001/ISO14001是建立和維護環境管理體系的標準，為建立、實施、保持并改進文件化環境管理體系規定了要求。

9.職業健康安全管理體系認證

職業健康安全管理體系（Occupational health and safety Management Systems,OHSMS）是國際上繼質量管理體系和環境管理體系后世界各國關注的又一管理體系。其目的是依據近代管理科學理論制定的管理標準來規范組織的職業健康安全管理行為，促進組織建立職業健康安全管理體系，按照法律、法規和外部要求，規范自身職業健康和安全行為，預防、控制事故的發生，保障組織員工和相關方的安全與健康，并不斷地改進組織的職業健康安全績效，減少職業健康安全風險。

GB/T45000/ISO45000 是建立和維護職業健康安全管理體系的標準，規定了職業健康安全管理體系的要求，并給出了其使用指南。

10.數據中心服務能力成熟度認證

數據中心服務能力成熟度是數據中心服務能力管理水平的體現，數據中心能力成熟度包括戰略發展、運營保障和組織治理三個能力域，每一個能力域包含若干個能力子域（共計11子域），每一個能力子域包含若干個能力項（共計33個能力項），能力項覆蓋數據中心通用的管理過程，組織通過建立通用的、基于服務能力成熟度的數據中心管理框架，降低數據中心的管理難度，簡化數據中心的運作流程。通過構建成熟度評價模型，衡量數據中心服務能力，為數據中心管理水平的提升提供引領。

數據中心服務能力成熟度認證通過對數據中心的整體服務能力管理水平進行評價，在獲得評價結論的基礎上，繪制數據中心的管理提升路徑，幫助數據中心不斷完善和提高其自身的管理能力。

數據中心服務能力成熟的認證依據為GB/T33136-2016《信息技術服務數據中心服務能力成熟度模型》，本中心是該標準起草的技術負責單位，提出了該標準核心思想和基本框架。同時，該標準的參與單位覆蓋了國內多個行業的大中型數據中心，標準要求主要從數據中心的實際工作中提煉而來。

（六）服務認證

信息安全服務資質認證。

隨著我國信息化和信息安全保障工作的不斷深入推進，以應急處理、風險評估、災難恢復、系統測評、安全運維、安全審計、安全培訓和安全咨詢等為主要內容。

1.安全集成服務資質認證

2.安全運維服務資質認證

3.風險評估服務資質認證

4.應急處理服務資質認證

5.軟件安全開發服務資質認證

6.災難備份與恢復服務資質認證

7.工業控制安全服務資質認證

8.網絡安全審計服務資質認證

（七）人員認證與培訓

信息安全保障人員認證（ Certified Information Security Assurance Worker，簡稱“CISAW”）是中國網絡安全審查技術與認證中心針對信息安全保障領域不同專業技術方向、應用方向和保障崗位，依據國際標準ISO/IEC 17024《人員認證機構通用要求》所建立的、不同層次的信息安全保障人員認證體系，主要針對與信息安全工作直接密切相關的中高級管理人員、專業技術人員等從業人員推出的人員資格認證和專業水平認證。中國網絡安全審查技術與認證中心（CCRC，原中國信息安全認證中心）是承擔網絡安全審查人員和網絡安全認證人員技術培訓的專業認證與培訓機構。目前 CCRC 開展的培訓業務主要包括：管理體系系列標準培訓、管理體系審核員培訓、信息安全技術與信息安全意識培訓、移動應用安全、大數據安全以及為企業開展量身定制的個性化培訓服務。

網絡安全應急響應工程師（Cyber Security Emergency Response Engineer，CSERE)（原信息安全應急響應工程師）隨著移動互聯網、物聯網、云計算、大數據等新技術、新商業模式的飛速發展，給網絡及信息化建設的發展帶來新的產業機遇。隨之而來的，信息系統安全漏洞也不斷涌現，利用漏洞傳播的惡意代碼（例如永恒之藍）、利用漏洞攻擊的網絡安全事件（Struts 2 漏洞利用 EXP）層出不窮，也給網絡安全和信息安全的保障提出更加嚴峻的挑戰。網絡空間安全的伴生性、動態性和相對性，決定了監測預警和應急響應勢必成為網絡安全保障工作不可或缺的部分，這要求網絡安全保障人中不斷檢測安全態勢，做到預防和應急工作相互結合，互為補充。

結合目前信息安全保障工作中對信息安全事件進行檢測、響應和處置方面的專門人才需求，中國網絡安全審查技術與認證中心推出網絡安全應急響應工程師，即（Cyber Security Emergency Response Engineer，(CSERE)，旨在通過理論與實踐融合的培訓過程、素質與能力并重的培訓和認證體系，全面提高我國安全運營人員的業務水平。

信息系統審計師（Information System Auditor）信息系統審計師（ISA）。

中國網絡安全審查技術與認證中心依據《信息系統審計師考試大綱》，發布了信息系統審計師的考試并對考試通過人員頒發信息系統審計師（Information System Auditor,簡稱 ISA）證書，信息系統審計師證書分為審計師和高級審計師兩個級別。

信息系統審計師考試主要考查考試對信息系統審計、電子政務發展、管理控制審計、應用控制審計、網絡控制審計、安全控制審計等知識技能的掌握程度，從而確保考生可以通過上述知識控制審計的實務，促進信息系統的可靠性、安全性和經濟性的實現。

（八）檢測檢驗

國家信息安全產品質量檢驗檢測中心。

國家信息安全產品質量檢驗檢測中心依托中國網絡安全審查技術與認證中心建立，是我國網絡安全領域獲得 CNAS實驗室認可、CNAS 檢驗機構認可、檢驗檢測機構資質認定證書（CMA）的權威技術機構。

質檢中心作為國內首家獲得認可的信息安全領域能力驗證提供者，組織開展能力驗證或實驗室間比對，實施實驗室檢測能力水平評價，為認可機構、監管部門提供能力驗證證明。

質檢中心承擔信息安全產品國家質量監督抽查和產品質量風險監測任務，為政府監管部門提供技術支撐和數據分析服務；提供網絡安全產品檢測、軟件產品測評、移動互聯網應用程序安全檢測、智能家居產品檢測、個人信息安全評估、網絡數據處理安全評價等技術服務。