说起企业信息安全类的资质,Zui常被提及的要数ISO27001信息安全管理体系认证和CCRC信息安全服务认证了。那么两者有什么区别,应该如何选择呢?下面大家就一起来看看吧。
定义不同
ISO27001
ISO27001是建立和维护信息安全管理体系的标准,它要求组织通过一系列的过程如确定信息安全管理体系范围,制定信息安全方针和策略,明确管理职责,以风险评估为基础选择控制目标和控制措施等,使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式,是国际通用的标准。
CCRC
CCRC信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价,是国内网络安全领域的quanwei认证。
类别级别设置不同
ISO27001
ISO27001无类别级别划分。
CCRC
CCRC分为8个认证方向,分别是:
软件安全开发
安全集成
安全运维
应急处理
风险评估
灾难备份与恢复
网络安全审计
工业控制安全
在级别上,CCRC分为分为一级、二级、三级共3个级别,其中一级Zui高,三级Zui低。
审核发证机构不同
ISO27001
ISO27001审核机构比较多,只要通过国家认监委审批备案,具有审核ISO27001资质的认证机构都可以从事审核发证工作。
CCRC
CCRC目前仅有唯一一家审核发证机构——中国网络安全审查技术与认证中心。
适用范围不同
ISO27001
ISO27001具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是:IT和技术服务提供商、金融行业、政府和公共部门、通信行业、研究机构、医药行业、电力、能源、物流行业等。
CCRC
申请CCRC认证需要拥有与认证方向一致的信息安全服务业务。可同时申请多个认证方向的认证。
ISO27001信息安全管理体系认证和CCRC信息安全服务资质认证都是目前行业内quanwei性、认可度较高的信息安全认证,建议企业在选择时综合考虑自身的实际情况和需求,选择更适合自己的认证体系。