公众号
关注微信公众号
移动端
创头条企服版APP

【资质推荐】CCRC信息安全服务资质,有效实现企业价值

3036

近年来,我国信息化和信息安全保障工作的不断深化,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

CCRC证书模板_00.png

▲CCRC认证证书模板

CCRC信息安全服务资质是市场上通行的服务资质认证的统称,目前发证量最多、应用最广、业内认可度较高的发证机构是中国网络安全审查技术与认证中心(英文缩写为:CCRC;曾用名:ISCCC),该机构是是依据《国家网络安全法》和国家有关强制性产品认证、网络安全管理法规,负责实施网络安全审查和认证的正司局级事业单位,在业务上接受中央网信办指导。

认证依据

对特定类别的信息安全服务,有具体的评价标准。例如,信息安全应急处理服务资质认证的依据是《网络与信息安全应急处理服务资质评估方法》(YD/T 1799-2008),信息安全风险评估服务资质认证的依据是《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)与《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)。

认证模式

初次认证+获证后监督

认证级别

信息安全服务认证级别分为一级、二级、三级,其中一级最高级别。企业首次最高可以申请二级

认证基本环节

 1) 认证申请及受理 

 2) 文件审核

 3) 现场审核 

 4) 结果评价与决定 

 5) 获证后监督

CCRC安全服务资质分类

该资质共7个单项(2021年11月份由8个调整为7个),具体分类如下:

信息系统安全集成 01

安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。

信息系统安全运维 02

信息系统安全运维服务是指通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维的工作。

信息安全风险评估 03

通过系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,防范和消除信息安全风险,或将风险控制在可接受的水平。

信息安全应急处理 04

通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应,并在安全事件一旦发生后进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。

信息安全风险评估 05

将开发的软件存在的风险控制在可接受的水平。软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。安全软件开发服务资质级别是衡量服务提供方的软件安全开发服务资格和能力的尺度。

信息系统灾难备份与恢复 06

将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份,并在灾难发生时,将其恢复到可正常运行状态,使支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计和提供的活动。

网络安全审计 07

网络安全审计机构对被审计方所属的计算机信息系统的安全性、可靠性和经济性进行检查、监督,通过获取审计证据并对其进行客观评价所开展的系统的、独立的、形成文件的活动。


资质申报流程

CCRC流程表.jpg

▲CCRC三级初次认证流程

(以三级为例)

准备阶段 

· 企业根据自身实际情况确定需要申请的服务资质类型。


非现场审核及商务阶段

*此阶段工作应在三周内完成,

如需要企业补充材料,应在五周内完成

· 项目管理人员指派审核组长,协调审查员组建审核组;

· 审核组对申请企业提交的材料进行非现场审核,判断机构目前提供的信息安全服务管理和技术能力是否符合信息安全服务规范的要求。

(符合要求的,审核组长在通知项目管理人员向申请单位发出受理通知书,编写非现场审核报告,将审核材料提交中心进行认证决策;不符合要求的,审核组长通知企业重新提交补充材料,并对补充材料进行审核。)

认证决定阶段

(此阶段工作应在两周内完成)

· 中心认证决定人员对审核组长提交的审核材料进行认证决定;如认证决定通过,则通知项目管理人员进行制证;如认证决定不通过,则通知企业不通过原因。

制证阶段

(此阶段工作应在一周内完成) 

· 项目管理人员制作证书,并邮寄给申请组织。

(注:申请三级信息安全服务资质的组织,无论是否提交已实施完成并通过验收的信息安全服务项目案例,只要通过认证决定,在第一次现场监督审核时,必须提供在该年度实施完成并通过验收的信息安全服务项目案例。)


*具体时间需根据实际情况而定。

关于CCRC认证规范及实施规则换版的通知

CCRCC.png

▲消息来源:中国网络安全审查技术与认证中心

中国网络安全审查技术与认证中心(CCRC)对服务资质认证规范及实施规则进行了修订,于2021年10月15日发布了2021版CCRC-ISV-C01:2021《信息安全服务规范》、CCRC-ISV-R01:2021《信息安全服务资质认证实施规则》,并从发布之日起正式实施。自当日起,CCRC启动按照新版认证实施规则的认证申请受理工作,不再受理依据旧版认证实施规则的认证申请。

信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。

通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。

声明:该文章版权归原作者所有,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系。
您阅读这篇文章花了0
转发这篇文章只需要1秒钟
喜欢这篇 0
评论一下 0
凯派尔知识产权全新业务全面上线
相关文章
评论
试试以这些内容开始评论吧
登录后发表评论
凯派尔知识产权全新业务全面上线
阿里云创新中心
×
#热门搜索#
精选双创服务
历史搜索 清空

Tel:18514777506

关注微信公众号

创头条企服版APP