0igjcl
01 CCRC是什么?什么是信息安全服務(wù)資質(zhì)?
CCRC即中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心,是原中國信息安全認(rèn)證中心(ISCCC)在國認(rèn)證聯(lián)【2004】57 號文基礎(chǔ)上, 由國家八個部委授權(quán)成立的,依據(jù)國家有關(guān)強(qiáng)制性產(chǎn)品認(rèn)證、信息安全管理的法律法規(guī),負(fù)責(zé)實(shí)施信息安全認(rèn)證的專門機(jī)構(gòu)。2018 年正式更名為中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心(CCRC )。
信息安全服務(wù)資質(zhì)是信息安全服務(wù)機(jī)構(gòu)提供安全服務(wù)的一種資格,包括法律地位、資源狀況、管理水平、 技術(shù)能力等方面的要求。信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)國家法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范,按照認(rèn)證基本規(guī)范及認(rèn)證規(guī)則,對提供信息安全服務(wù)機(jī)構(gòu)的信息安全服務(wù)資質(zhì)進(jìn)行評價(jià)。通過對信息安全服務(wù)分類分級的資質(zhì)認(rèn)證,可以對信息安全服務(wù)提供商的基本資格、管理能力、技術(shù)能力和服務(wù)過程能力等方面進(jìn)行權(quán)威、客觀、公正的評價(jià),證明其服務(wù)能力,滿足社會對服務(wù)的選擇需求。同時,認(rèn)證過程也將有效促進(jìn)服務(wù)提供方完善自身管理體系,提高服務(wù)質(zhì)量和水平,引導(dǎo)行業(yè)健康規(guī)范發(fā)展。
02 認(rèn)證依據(jù)
中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心(CCRC)對服務(wù)資質(zhì)認(rèn)證規(guī)范及實(shí)施規(guī)則進(jìn)行了修訂,于2021年10月15日發(fā)布了2021版CCRC-ISV-C01:2021《信息安全服務(wù)規(guī)范》、CCRC-ISV-R01:2021《信息安全服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則》,并從發(fā)布之日起正式實(shí)施。對特定類別的信息安全服務(wù),有具體的評價(jià)標(biāo)準(zhǔn)。例如,信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證的依據(jù)是《網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評估方法》(YD/T 1799-2008),信息安全風(fēng)險(xiǎn)評估服務(wù)資質(zhì)認(rèn)證的依據(jù)是《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》(GB/T 20984-2007)與《信息安全風(fēng)險(xiǎn)評估服務(wù)資質(zhì)認(rèn)證實(shí)施規(guī)則》(ISCCC-SV-002)。03 認(rèn)證類別
安全集成服務(wù)是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計(jì)、建設(shè)實(shí)施、安全保證的活動。通過技術(shù)設(shè)施安全評估,技術(shù)設(shè)施安全加固,安全漏洞補(bǔ)丁通告、安全事件響應(yīng)以及信息安全運(yùn)維咨詢,協(xié)助組織的信息系統(tǒng)管理人員進(jìn)行信息系統(tǒng)的安全運(yùn)維工作,以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)中所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時加以響應(yīng)。 安全運(yùn)維資質(zhì)認(rèn)證是對安全運(yùn)維服務(wù)方的基本資格、管理能力、技術(shù)能力和安全運(yùn)維過程能力等方面進(jìn)行評價(jià)。信息安全風(fēng)險(xiǎn)評估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié),貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程。風(fēng)險(xiǎn)評估服務(wù)提供方的服務(wù)能力主要從以下四個方面體現(xiàn):基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過程能力;服務(wù)人員的能力主要從掌握的知識、風(fēng)險(xiǎn)評估服務(wù)的經(jīng)驗(yàn)等綜合評定。 信息安全應(yīng)急處理服務(wù)是通過制定應(yīng)急計(jì)劃使得影響網(wǎng)絡(luò)與信息系統(tǒng)安全的安全事件能夠得到及時響應(yīng),并在安全事件一旦發(fā)生后進(jìn)行標(biāo)識、記錄、分類和處理,直到受影響的業(yè)務(wù)恢復(fù)正常運(yùn)行的過程。應(yīng)急處理服務(wù)是保障業(yè)務(wù)連續(xù)性的重要手段之一,它涵蓋了在安全事件發(fā)生后為了維持和恢復(fù)關(guān)鍵業(yè)務(wù)所進(jìn)行的系列活動。信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證是對應(yīng)急處理服務(wù)提供方的基本資格、管理能力、技術(shù)能力和應(yīng)急處理服務(wù)過程能力等方面進(jìn)行評價(jià)。信息安全應(yīng)急處理服務(wù)資質(zhì)級別是衡量服務(wù)提供方應(yīng)急處理服務(wù)資格和能力的尺度。將開發(fā)的軟件存在的風(fēng)險(xiǎn)控制在可接受的水平。軟件安全開發(fā)資質(zhì)認(rèn)證是對軟件開發(fā)方的基本資格、管理能力、技術(shù)能力和軟件安全過程能力等方面進(jìn)行評價(jià)。安全軟件開發(fā)服務(wù)資質(zhì)級別是衡量服務(wù)提供方的軟件安全開發(fā)服務(wù)資格和能力的尺度。信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)是將信息系統(tǒng)的數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運(yùn)行管理能力進(jìn)行備份,并在災(zāi)難發(fā)生時,將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài),將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài),而設(shè)計(jì)和提供的活動。信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)級別是衡量服務(wù)提供者服務(wù)能力的尺度。 網(wǎng)絡(luò)安全審計(jì)是指網(wǎng)絡(luò)安全審計(jì)機(jī)構(gòu)對被審計(jì)方所屬的計(jì)算機(jī)信息系統(tǒng)的安全性、可靠性和經(jīng)濟(jì)性進(jìn)行檢查、監(jiān)督,通過獲取審計(jì)證據(jù)并對其進(jìn)行客觀評價(jià)所開展的系統(tǒng)的、獨(dú)立的、形成文件的活動。網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)認(rèn)證是對網(wǎng)絡(luò)安全審計(jì)服務(wù)方的基本資格、管理能力、技術(shù)能力和網(wǎng)絡(luò)安全審計(jì)過程能力等方面進(jìn)行評價(jià)。網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)級別是衡量服務(wù)提供方的網(wǎng)絡(luò)安全審計(jì)服務(wù)資格和能力的尺度。工業(yè)控制系統(tǒng)安全服務(wù)圍繞提升工業(yè)控制系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性,提升功能安全、物理安全和信息安全的保障能力為目標(biāo),涉及工業(yè)控制系統(tǒng)設(shè)計(jì)、建設(shè)、運(yùn)維和技改各個階段,主要包括系統(tǒng)集成、系統(tǒng)運(yùn)維、應(yīng)急處理、風(fēng)險(xiǎn)評估等工業(yè)控制系統(tǒng)安全服務(wù),形成系統(tǒng)的、獨(dú)立的、形成文件的過程。工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)認(rèn)證是對工業(yè)控制系統(tǒng)安全服務(wù)方的基本資格、管理能力、技術(shù)能力和工業(yè)控制系統(tǒng)安全服務(wù)過程能力等方面進(jìn)行評價(jià)。工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)級別是衡量服務(wù)提供方的工業(yè)控制系統(tǒng)安全服務(wù)資格和能力的尺度。04 認(rèn)證流程
準(zhǔn)備階段(1-1.5個月)
收集企業(yè)基礎(chǔ)信息資料和項(xiàng)目材料,包括但不限于公司基本信息介紹,信息安全人員清單、簡歷及相關(guān)證書,近三年財(cái)務(wù)審計(jì)報(bào)告,辦公場地租賃合同,項(xiàng)目合同、驗(yàn)收報(bào)告、對應(yīng)發(fā)票,項(xiàng)目過程文檔等,編寫申報(bào)材料。審核階段(2-5個月)
申報(bào)企業(yè)按照CCRC開具的收費(fèi)單繳納審核費(fèi)并上傳付款憑證,CCRC受理資質(zhì)評估申請,之后進(jìn)行審核方案策劃,并將審核任務(wù)分配到對應(yīng)審核員,審核員依據(jù)評審方案對申請企業(yè)進(jìn)行現(xiàn)場審核。整改階段(5-10天)
企業(yè)整改審核過程中產(chǎn)生的不符合項(xiàng),在有需要的時候上傳或提交審核整改過程材料或整改證據(jù),工作量和工作周期視審核階段審核發(fā)現(xiàn)而定。出證階段(15-20天)
CCRC進(jìn)行資料完備性審查,做出認(rèn)證決定,制作證書并進(jìn)行證書發(fā)放。05 認(rèn)證級別及相應(yīng)基礎(chǔ)條件
● 三級
1.企業(yè)成立滿半年以上,社保人數(shù)10人以上;2.申報(bào)類別的已完成項(xiàng)目1個及以上;3.組織負(fù)責(zé)人擁有2年以上信息技術(shù)領(lǐng)域管理經(jīng)歷;4.年審前應(yīng)完成相應(yīng)類別的持證信息安全保障人員(CISAW證書)2人;● 二級
1.企業(yè)成立滿三年或獲得三級證書滿一年,社保人數(shù)20人以上;2.申報(bào)類別的信息安全已完成項(xiàng)目6個及以上;3.組織負(fù)責(zé)人擁有3年以上信息技術(shù)領(lǐng)域管理經(jīng)歷;4.通過ISO27001或20000,覆蓋范圍含信息安全服務(wù);5.年審前應(yīng)完成相應(yīng)類別的持證信息安全保障人員(CISAW證書)6人;● 一級
1.企業(yè)成立滿三年,且二級證書滿一年,社保人數(shù)30人以上;2.申報(bào)類別的已完成安全項(xiàng)目10個及以上;3.組織負(fù)責(zé)人擁有4年以上信息技術(shù)領(lǐng)域管理經(jīng)歷;4.通過ISO27001或20000,覆蓋范圍含信息安全服務(wù);5.年審前應(yīng)完成相應(yīng)類別的持證信息安全保障人員(CISAW證書)10人
張老師
點(diǎn)擊圖片查看原圖