（一）网络安全审查

           网络安全审查是在中央网络安全和信息化委员会领导下，为保障关键信息基础设施供应链安全，维护国家安全而建立的一项重要制度。

2020 年 4 月，国家互联网信息办公室、国家市场监督管理总局等 12 个部门联合发布了《网络安全审查办法》，并于2020 年 6 月 1 日起正式实施。根据《网络安全审查办法》，网络安全审查办公室设在国家互联网信息办公室。关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，承担接收申报材料、对申报材料进行形式审核、具体组织审查工作等任务。

（二）云计算服务安全评估

为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平，2019 年 7 月，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部联合发布了《云计算服务安全评估办法》，组织对面对党政机关、关键信息基础设施运营者服务的云平台开展安全评估。

党政机关必须采购使用通过评估的云计算服务，未通过评估的，应要求云服务商申报安全评估，或将业务迁移到已通过评估的云平台。云计算服务安全评估不收取云服务商费用，可提高云服务商的云服务安全水平和在政府采购市场中的竞争力，降低党政机关、关键信息基础设施运营者采购使用云计算服务的安全风险。

中国网络安全审查技术与认证中心在云计算服务安全评估协调机制办公室的指导下，具体承担云计算服务安全评估组织工作。

（三）数据安全

1.个人信息保护认证

个人信息保护认证是证明个人信息处理者在认证范围内开展的个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动符合认证依据标准要求。中国网络安全审查技术与认证中心负责个人信息保护认证的具体实施工作。

2.数据安全管理认证

根据有关任务安排，中国网络安全审查技术与认证中心负责数据安全管理认证制度的具体建设和实施工作。数据安全管理是组织开展数据收集、存储、使用、加工、传输、提供、公开等数据处理时采取的一系列管理活动。

3.移动互联网应用程序（App）安全认证

依据中央网信办、工业和信息化部、公安部、市场监管总局《关于开展 App 违法违规收集使用个人信息专项治理的公告》，市场监管总局、中央网信办《关于开展 App 安全认证工作的公告》，中国网络安全审查技术与认证中心对移动互联网应用程序（App）开展认证工作。

（四）产品认证

1.网络关键设备和网络安全专用产品安全认证

中国网络安全审查技术与认证中心是网络关键设备和网络安全专用产品安全认证的唯一认证机构，依据《网络安全法》第二十三条的规定，对网络关键设备和网络安全专用产品依据国家标准强制性要求开展安全认证。

国家信息安全产品认证

中国网络安全审查技术与认证中心是唯一指定为国家信息安全产品认证机构，负责实施国家信息安全产品认证。

获得国家信息安全产品认证证书的产品表明其符合相应的信息安全规范和标准要求。

3.CCC 产品认证

中国网络安全审查技术与认证中心是强制性产品认证指定认证机构，负责实施家用和类似用途设备强制性产品认证（07 类）、音视频设备（08 类）、信息技术设备（09 类）、电信终端设备（16 类）强制性产品认证工作。

4.移动互联网应用程序（App）安全认证

依据中央网信办、工业和信息化部、公安部、市场监管总局《关于开展 App 违法违规收集使用个人信息专项治理的公告》，市场监管总局、中央网信办《关于开展 App 安全认证工作的公告》，中国网络安全审查技术与认证中心对移动互联网应用程序（App）开展认证工作。

5.金融科技产品认证

为贯彻落实国家认证认可监督管理委员会、中国人民银行《关于开展支付技术产品认证工作的实施意见》（国认证联〔2017〕91 号）和《关于加强支付技术产品标准实施与安全管理的通知》（银发〔2017〕208 号）要求，中国网络安全审查技术与认证中心依据《市场监管总局 人民银行关于发布<金融科技产品认证目录（第一批）><金融科技产品认证规则>的公告》，对目录内的金融科技产品实施认证。

6.IT 产品信息安全认证

中国网络安全审查技术与认证中心开展的 IT 产品信息安全认证业务，是依据信息技术安全评估准则和相关技术要求，对 IT 产品的安全性进行评价，旨在保护用户信息安全，维护用户利益。生产企业的 IT 产品获得信息安全认证证书，表明该产品符合相应的标准和技术要求。

7.电子产品认证

依据《认证认可条例》和认证主管部门的相关文件规定，中国网络安全审查技术与认证中心对电子产品开展自愿性认证业务。该业务的认证流程、检验标准、工厂检查要求等依据中国网络安全审查技术与认证中心公开的产品认证实施规则进行。

8.非银行支付机构支付业务设施技术认证

依据《非金融机构支付服务管理办法》（中国人民银行令[2010]第 2 号发布）和“中国人民银行公告[2012]第 6 号”，中国网络安全审查技术与认证中心对申请《支付业务许可证》的非金融机构及其他支付机构开展非金融机构支付业务设施技术认证，“非金融机构支付业务设施技术认证”已更名为“非银行支付机构支付业务设施技术认证”。

9.节能产品认证

中国网络安全审查技术与认证中心是政府采购节能产品认证机构，依据节能产品政府采购品目清单以及认证机构授权范围，中心对部分信息技术产品开展节能认证工作。

10.电子招标投标系统认证

依据《电子招标投标办法》（国家发展改革委等八部委第20 号令）和《电子招标投标系统检测认证管理办法（试行）》（国认证联[2015]53），中国网络安全审查技术与认证中心对电子招标投标系统开展认证工作。

11.北斗基础产品认证 

按照《市场监管总局关于开展北斗基础产品认证工作的实施意见》（国市监认证规〔2021〕5 号）要求，中国网络安全审查技术与认证中心作为认证实施机构，依据《市场监管总局关于发布<北斗基础产品认证目录（第一批）><北斗基础产品认证规则>的公告》（2021 第 33 号），对目录内产品实施认证。

（五）体系认证

1.信息安全管理体系认证

信息安全管理体系（InformationSecurityManagementSystems,ISMS）是组织整体管理体系的一个部分，是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用的方法的体系。

GB/T22080/ISO/IEC27001 是建立和维护信息安全管理体系的标准，它要求组织通过一系列的过程，如确定信息安全管理体系范围，制定信息安全方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，是组织达到动态的、系统的、全员参与的、制度化的，以预防为主的信息安全管理方式。

2.信息技术—服务管理体系认证

信息技术—服务管理体系（ InformationTechnologyServiceManagementSystems,ITSMS）的目标是以合适的成本提供满足客户质量要求的IT服务，从流程、人员和技术三方面提升IT的效率和效用，强 调将企业的运营目标、业务需求与IT服务提供相协调一致。

ISO/IEC20000-1 是建立和维护信息技术服务管理体系的标准，规定了IT组织在向其内外部客户提供IT服务和支持过程中所需完成的工作。通过这些规定，信息技术服务管理体系展示了一套完整的 IT 服务管理流程，旨在帮助IT组织识别并管理IT服务的关键流程，保证向业务和客户有效地提供高质量的IT服务。

3.业务连续性管理体系认证

业务连续性管理体系（BusinessContinuityManagementSystems，BCMS）是组织整体管理体系的一个部分，用于建立、实施、运行、监视、评审、保持和改进组织自身业务连续性，是识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该认证的实施是基于国际标准GB/T30146/ISO22301。

ISO22301是建立和维护业务连续性管理体系的标准，为策划、建立、实施、运行、监视、评审、保持和持续改进一个文件化的业务连续性管理体系规定了要求，用以实施保护，减少中断事件发生的可能性，以及当中断事件发生时准备、响应并恢复。

4.质量管理体系

质量管理体系（QualityManagementSystems,QMS）是组织内部建立的、为实现质量目标所必需的、系统的质量管理模式，是组织的一项战略决策。它将资源与过程结合，以过程管理方法进行的系统管理，根据企业特点选用若干体系要素加以组合，一般包括与管理活动、资源提供、产品实现以及测量、分析与改进活动相关的过程组成，可以理解为涵盖了从确定顾客需求、设计研制、生产、检验、销售、交付之前全过程的策划、实施、监控、纠正与改进活动的要求，一般以文件化的方式，成为组织内部质量管理工作的要求。

GB/T19001/ISO9001是建立和维护质量管理体系的标准，为策划、建立、实施、运行、监视、评审、保持和持续改进一个文件化的质量管理体系规定了要求。

5.隐私信息管理体系认证

隐私信息管理体系从个人信息的收集、保存、传输、处置、使用、共享、转让、披露和委托处理等多个方面提高和完善组织的个人信息安全管理能力。随着《中华人民共和国网络安全法》和《中华人民共和国民法典》的出台，个人信息安全有了法律依据，通过隐私信息管理体系认证，可以提高组织的个人信息安全管理能力和合规性，从而提升组织的社会信誉。

隐私信息管理体系的认证依据为ISO/IEC27701:2019《安全技术GB/T22080和GB/T22081针对隐私信息管理的扩展要求和指南》和GB/T22080/ISO/IEC27001《信息技术安全技术信息安全管理体系要求》。隐私信息管理体系的认证依据包含两个标准，如果组织同时申请隐私信息管理体系和信息安全管理体系，可以仅在少量增加审核人日的基础上完成两个管理体系的审核。

6.云服务信息安全管理体系认证

云服务信息安全管理体系是信息安全管理体系在云服务上的应用和加强，该管理体系在信息安全管理体系的基础上，结合云计算环境和云服务的特点，针对云服务的风险环境提供了适用于各类云服务提供者和云服务客户的安全控制和安全控制实施指南，从而帮助云服务提供者提升服务的安全性，更好的为客户提供安全可靠的服务。帮助云服务客户了解云环境下可能面临的风险和应对措施，帮助云服务客户将信息安全管理延伸到使用的云服务。

云服务信息安全管理体系的认证依据为ISO/IEC27017《信息技术安全技术基于ISO/IEC 27002的云服务信息安全控制实践指南》和GB/T22080/ISO/IEC27001《信息技术安全技术信息安全管理体系要求》。

云服务信息安全管理体系的认证依据包含两个标准，如果组织同时申请云服务信息安全管理体系和信息安全管理体系，可以仅在少量增加审核人日的基础上完成两个管理体系的审核。

7.公有云中个人可识别信息管理体系认证

公有云中个人可识别信息管理体系是信息安全管理体系在公有云中对隐私信息安全管理方面的应用和加强。该体系在信息安全管理体系标准的基础上，根据云计算环境隐私信息的特点和面临的风险，针对性提出了安全控制和控制实施指南。帮助云服务提供者完善云环境下的隐私信息管理，规避合规风险，提升服务安全和客户信任度。

公有云中个人可识别信息管理体系的认证依据为ISO/IEC 27018《信息技术安全技术个人可识别信息（PII）处理者在公有云中保护PII的实践指南》和GB/T22080/ISO/IEC27001《信息技术安全技术信息安全管理体系要求》。

公有云中个人可识别信息管理体系的认证依据包含两个标准，如果组织同时申请公有云中个人可识别信息管理体系和信息安全管理体系，可以仅在少量增加审核人日的基础上完成两个管理体系的审核。

8.环境管理体系认证

环境管理体系（EnvironmentalManagement Systems,EMS）是组织内全面管理体系的组成部分，包括为制定、实施、实现、评审和保持环境方针所需的环境目标、组织机构、规划活动、机构职责、惯例、程序、过程和资源。建立和实施环境管理体系目的在于满足环境法律法规和要求，防止对环境的不利影响，帮助组织实现自身设定的环境表现水平，并不断地改进组织的环境行为，减少环境风险。

GB/T24001/ISO14001是建立和维护环境管理体系的标准，为建立、实施、保持并改进文件化环境管理体系规定了要求。

9.职业健康安全管理体系认证

职业健康安全管理体系（Occupational health and safety Management Systems,OHSMS）是国际上继质量管理体系和环境管理体系后世界各国关注的又一管理体系。其目的是依据近代管理科学理论制定的管理标准来规范组织的职业健康安全管理行为，促进组织建立职业健康安全管理体系，按照法律、法规和外部要求，规范自身职业健康和安全行为，预防、控制事故的发生，保障组织员工和相关方的安全与健康，并不断地改进组织的职业健康安全绩效，减少职业健康安全风险。

GB/T45000/ISO45000 是建立和维护职业健康安全管理体系的标准，规定了职业健康安全管理体系的要求，并给出了其使用指南。

10.数据中心服务能力成熟度认证

数据中心服务能力成熟度是数据中心服务能力管理水平的体现，数据中心能力成熟度包括战略发展、运营保障和组织治理三个能力域，每一个能力域包含若干个能力子域（共计11子域），每一个能力子域包含若干个能力项（共计33个能力项），能力项覆盖数据中心通用的管理过程，组织通过建立通用的、基于服务能力成熟度的数据中心管理框架，降低数据中心的管理难度，简化数据中心的运作流程。通过构建成熟度评价模型，衡量数据中心服务能力，为数据中心管理水平的提升提供引领。

数据中心服务能力成熟度认证通过对数据中心的整体服务能力管理水平进行评价，在获得评价结论的基础上，绘制数据中心的管理提升路径，帮助数据中心不断完善和提高其自身的管理能力。

数据中心服务能力成熟的认证依据为GB/T33136-2016《信息技术服务数据中心服务能力成熟度模型》，本中心是该标准起草的技术负责单位，提出了该标准核心思想和基本框架。同时，该标准的参与单位覆盖了国内多个行业的大中型数据中心，标准要求主要从数据中心的实际工作中提炼而来。

（六）服务认证

信息安全服务资质认证。

随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容。

1.安全集成服务资质认证

2.安全运维服务资质认证

3.风险评估服务资质认证

4.应急处理服务资质认证

5.软件安全开发服务资质认证

6.灾难备份与恢复服务资质认证

7.工业控制安全服务资质认证

8.网络安全审计服务资质认证

（七）人员认证与培训

信息安全保障人员认证（ Certified Information Security Assurance Worker，简称“CISAW”）是中国网络安全审查技术与认证中心针对信息安全保障领域不同专业技术方向、应用方向和保障岗位，依据国际标准ISO/IEC 17024《人员认证机构通用要求》所建立的、不同层次的信息安全保障人员认证体系，主要针对与信息安全工作直接密切相关的中高级管理人员、专业技术人员等从业人员推出的人员资格认证和专业水平认证。中国网络安全审查技术与认证中心（CCRC，原中国信息安全认证中心）是承担网络安全审查人员和网络安全认证人员技术培训的专业认证与培训机构。目前 CCRC 开展的培训业务主要包括：管理体系系列标准培训、管理体系审核员培训、信息安全技术与信息安全意识培训、移动应用安全、大数据安全以及为企业开展量身定制的个性化培训服务。

网络安全应急响应工程师（Cyber Security Emergency Response Engineer，CSERE)（原信息安全应急响应工程师）随着移动互联网、物联网、云计算、大数据等新技术、新商业模式的飞速发展，给网络及信息化建设的发展带来新的产业机遇。随之而来的，信息系统安全漏洞也不断涌现，利用漏洞传播的恶意代码（例如永恒之蓝）、利用漏洞攻击的网络安全事件（Struts 2 漏洞利用 EXP）层出不穷，也给网络安全和信息安全的保障提出更加严峻的挑战。网络空间安全的伴生性、动态性和相对性，决定了监测预警和应急响应势必成为网络安全保障工作不可或缺的部分，这要求网络安全保障人中不断检测安全态势，做到预防和应急工作相互结合，互为补充。

结合目前信息安全保障工作中对信息安全事件进行检测、响应和处置方面的专门人才需求，中国网络安全审查技术与认证中心推出网络安全应急响应工程师，即（Cyber Security Emergency Response Engineer，(CSERE)，旨在通过理论与实践融合的培训过程、素质与能力并重的培训和认证体系，全面提高我国安全运营人员的业务水平。

信息系统审计师（Information System Auditor）信息系统审计师（ISA）。

中国网络安全审查技术与认证中心依据《信息系统审计师考试大纲》，发布了信息系统审计师的考试并对考试通过人员颁发信息系统审计师（Information System Auditor,简称 ISA）证书，信息系统审计师证书分为审计师和高级审计师两个级别。

信息系统审计师考试主要考查考试对信息系统审计、电子政务发展、管理控制审计、应用控制审计、网络控制审计、安全控制审计等知识技能的掌握程度，从而确保考生可以通过上述知识控制审计的实务，促进信息系统的可靠性、安全性和经济性的实现。

（八）检测检验

国家信息安全产品质量检验检测中心。

国家信息安全产品质量检验检测中心依托中国网络安全审查技术与认证中心建立，是我国网络安全领域获得 CNAS实验室认可、CNAS 检验机构认可、检验检测机构资质认定证书（CMA）的权威技术机构。

质检中心作为国内首家获得认可的信息安全领域能力验证提供者，组织开展能力验证或实验室间比对，实施实验室检测能力水平评价，为认可机构、监管部门提供能力验证证明。

质检中心承担信息安全产品国家质量监督抽查和产品质量风险监测任务，为政府监管部门提供技术支撑和数据分析服务；提供网络安全产品检测、软件产品测评、移动互联网应用程序安全检测、智能家居产品检测、个人信息安全评估、网络数据处理安全评价等技术服务。