01
CCRC-信息安全服务资质
01、基本介绍
CCRC(原名ISCCC)信息安全服务资质认证,发证机构是中国网络安全审查技术与认证中心。CCRC信息安全服务资质每一大类共设一、二、三共三个级别,一级Zui高,三级Zui低。共分7个不同的单项分别为安全集成服务、安全运维服务、风险评估服务、软件安全开发服务、应急处理服务、灾难备份与恢复服务、网络安全审计服务与工业控制安全服务八大类认证企业可根据自身业务需求申请对应单项类别。
02、证书适用范围
认证证书适用于所有提供产品和服务的组织(例如商业企业、非赢利组织)包括但不限于:
1、为外包服务寻找竞标的组织;
2、要求供应链中的所有服务提供商采用一致性方法的组织;
3、需要证实其有能力提供满足顾客要求的服务的组织;
4、通过过程的有效采用来监视并改进服务质量,旨在改进服务的组织等。
03、认证意义1、是企业能力获得第三方quanwei机构认证认可的依据;
2、是需方选择的依据,可以提高需方对服务商的信任度;
3、规范管理与技术,提高客户满意度;
4、拓宽企业的业务范围,获得更多业务机会。
04、证书取证周期和监督
初次申请到获取证书一般为4-6个月左右,获取证书后每年度(不超过12个月)进行一次监督审核。对于初次获证组织, 需要在12个月内进行现场监督审核
02
ITSS符合性评估证书
01、基本介绍
ITSS(Information Technology Service Standards,信息技术服务标准,简称ITSS)是一套成体系和综合配套的信息技术服务标准库,全面规范了IT服务产品及其组成要素,用于指导实施标准化和可信赖的IT服务。规定了IT服务的组要成素和生命周期。
02、证书适用范围
证书适用于所有提供产品和服务的组织(例如商业企业、非赢利组织)包括但不限于:
1、为外包服务寻找竞标的组织;
2、要求供应链中的所有服务提供商采用一致性方法的组织;
3、需要证实其有能力提供满足顾客要求的服务的组织;
4、通过过程的有效采用来监视并改进服务质量,旨在改进服务的组织等。
第二:提高企业知名度
通过ITSS认证,能在行业内有效提升自身的知名度,让客户更放心将运维服务工作外包给通过认证的企业,让自己更有信心为客户提供高质量的服务。
第三:促进企业创新
通过引入ITSS,企业员工将建立以客户需求和服务为导向的服务意识,在提升员工能力的同时,激发员工以业务视角创新服务,如软件研发人员以客户服务为导向改善软件研发。
第四:促进运维业务的变革
企业实施ITSS运维服务能力成熟度模型后,能够对运维业务重新进行审视和规划,并以运维业务的发展建立运维服务能力管理体系,提升运维业务的附加值,促进公司业务的多元化发展。
第五:提高运维服务效率
通过引入ITSS,运维服务企业可以以运维服务业务目标为导向,建立量化的、流程化的运维服务管理体系,分析运维服务过程,为进一步提升运维服务效率找到提升空间。
第六:降低运维服务成本
通过引入ITSS,运维服务企业可以建立运维业务与运维服务成本之间的关系,梳理各项运维服务成本,准确掌握运维服务资源使用情况,平衡资源配置,有效降低运维服务成本。
第七: 享受政府资质奖励
通过ITSS认证,企业能够申报政府资质奖励。
04、证书取证周期和监督
企业从计划开始申请到取得证书一般需要半年左右时间(一级需要9个月以上的时间),其中建立相应的成熟度体系并运行三个月(一级六个月),递交材料、评估机构进行书面审查、现场评审、评估机构出具评估报告、评估机构向ITSS分会提交申报材料和评估材料、ITSS分会审查材料、专家答辩(一级、二级需要)、发布评估结果公示发证等流程共需要二到三个月时间。ITSS证书有效期3年,每年都需要年审,3年之后需要重新认证。
03
中国信息安全测评中心信息安全服务资质
01、基本介绍
对提供信息安全服务的组织和单位资质进行审核、评估和认定。信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认定的过程。目前分为:信息安全工程、信息安全灾难恢复、安全开发、风险评估、信息系统审计、云计算安全、数据安全、安全运营等八大类。信息安全工程过程的能力级别是用于评价组织完成已定义的安全工程过程的能力,直接反映组织的成熟程度。能力级别按成熟性排序,表示依次增加的组织能力。
本标准将信息安全服务组织的工程能力分为五个级别,即:
1级:基本执行级;
2级:计划跟踪级;
3级:充分定义级;
4级:量化控制级;
5级:连续改进级。
02、提供信息安全服务的基本资格要求
提供信息安全服务的组织必须是一个独立的实体,具有工商行政管理部门发给的合法的营业执照。
必须获得国家有关信息安全主管部门发给的从事信息安全服务的资格证书。
从事涉密(国家秘密)网络信息系统安全服务的组织必须获得国家安全主管部门的批准。
采用商密信息产品进行安全系统集成的组织必须获得国家安全主管部门的批准。
必须遵守国家现行法律、法规的规定。
信息安全服务的类型主要指一个组织按照一定的合同或协议,为另一个组织所履行的安全服务的具体形式,包括:
1) 安全工程:为信息系统进行安全方案设计(开发)、施工(安全集成)、验证(测试)、运行(监控)和维护;
2) 安全咨询和培训:从事信息系统安全咨询、培训、宣传和其它安全工程之外服务的业务。包括书面提出并制订信息系统安全方案,提供安全管理与操作规定的服务,提供安全性测试和监控,方案(安全方案、信息系统和安全产品等)试验,在公开场合或媒体宣讲传播安全知识的活动,信息系统安全的专家活动和政策制订工作,从事信息系统安全教育工作,其它可能影响信息系统安全性能的有偿或无偿服务或技术活动。
信息安全服务资质评估是对信息安全服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的具体衡量和评价。资质等级的评定,是在其基本资格和能力水平、安全工程项目的组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上,针对不同的服务种类,采用一定的权值综合考虑后确定,并由国家认证机构授予相应的资质级别。信息安全服务的资质等级的划分遵循以下原则:
1.
综合考虑原则:
信息安全服务资质等级的划分必须对组织的综合能力进行考察,它主要与组织的资格状况、技术实力、信息安全工程过程能力等级以及其他要求有关。
2. 与现行国家有关主管部门颁布的法律、法规、规章、制度相一致的原则:
安全策略要保持与现行的法律、法规、规章、制度相一致,不能相抵触。
3. 与我国已发布或即将发布的有关信息安全的标准相一致的原则:
我国已发布许多与安全服务有关的的标准,本评估准则的资质等级划分必须与这些标准相一致。
4. 与组织的基本能力水平紧密结合的原则:
一个组织的基本能力是评估其资质等级的基本要求,有些基本能力要求可能决定一个组织是否具备参与资质评定的资格。
5. 与信息安全服务工程过程能力等级紧密结合的原则:
工程过程能力等级是反映组织实施工程的成熟程度,是评定资质的重要依据。
6. 可裁剪原则:
安全服务有多种类型,对不同类型的安全服务可进行适当的裁剪。
7. 可操作性原则
具有实际操作的可行性。
04、证书取证周期和监督
通常办理周期为6-9自然月。
注:
1.从受理到颁发证书的周期为6个月,但由于申请方原因(如资料补充需要的时间等)造成的时间延误不计算在内。
2.证书在三年有效期内实行年确认制度,每三年进行一次维持换证。
3.认证时间主要取决于审核时间及整改时间,上述办理周期供参考。
04
DCMM数据管理能力成熟度评价模型
01、基本介绍
数据管理能力成熟度评价模型(Data management Capability Maturity Model 简称DCMM)(GB/T 36073-2018)是国家大数据重点标准之一,是一个综合标准规范、管理方法论、评估模型等多方面内容的综合框架,目标是提供一个全方位组织数据能力评估的模型,旨在指导企业科学、规范、安全进行数据的全生命周期管理和应用,引导企业把数据作为生产要素,支撑企业在生产、经营、管理等环节进行数字化转型升级。DCMM将数据管理能力成熟度划分为五个等级,自低向高依次为初始级(1级)、受管理级(2级)、稳健级(3级)、量化管理级(4级)和优化级(5级),不同等级代表企业数据管理和应用的成熟度水平不同
02、企业为什么要做DCMM评估
查能力:检视自身的数据管理能力,通过标准对照,客观评价自身的数据管理能力水平,明晰自身在行业竞争中的位置。
找问题:对已有数据工作的梳理,通过与发现现有的问题,会有针对性的提升。
找差距:通过对于企业DCMM的评估,可以发现企业数据管理能力建设过程中存在的问题,找到企业本身与行业平均水平之间的差距,指出企业未来数据管理能力建设方向。
找路径:获取数据管理能力提升的路径,标准是对若干实践的总结,也为不同发展水平的组织提供了能力提升的路径。
育人才:培养数据管理的专业人才,贯标的过程,也是自身团队的建设过程,完善组织管理,提升队伍能力,提高个人的专业技能。
显能力:彰显数据服务的专业能力,对数据服务提供商的案例评估,团队评估,客观证明组织提供数据服务的专业能力。
得补贴:国内多地都已针对DCMM贯标出台了相关的补贴政策。
立:参加数据管理案例遴选以及成果展示系列活动,打造试点示范。
拿专项:DCMM可以作为专项申报、结题和建设成效的重要依据。
03、哪些类型企业适合做DCMM
1) 企业自身拥有大量数据,有数据管理需求的,例如:金融与保险机构、互联网企业、电信运营商、工业企业、数据中心所属主体、高校、政务数据中心等;
2) 为客户提供数据解决方案的,例如:数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。
企业在开展DCMM前,需要准备以下工作:
1) 梳理企业数据现状;
2) 确定 DCMM评估范围;
3) 确定DCMM评估等级;
4) 确定企业数据管理工作组织,负责人是公司CDO或是领导层。
04、证书取证周期和监督
DCMM评估流程⼤致分为:受理申请(填写申请书)→合同受理(签订合同)→资料收集解读→现场评估→撰写评估报告→DCMM专家委员会审核→公示→颁布证书。
整个流程因为等级申请在时间周期上有所差异,基本上在1~2个⽉时间,主要依据DCMM专家委员会审核周期来确定
05
通信网络安全服务能力
01、基本介绍
通信网络安全服务能力评定所述的通信网络包括电信网和互联网,所涉及的安全服务是指为了适应通信网络安全管理的需要,运用科学的方法和手段,通过有效的措施来保障通信网络的正常运行,为企业提供全面或部分安全评估、设计与集成的服务,包含从安全体系到具体的技术解决措施。所涉及到的通信网络安全服务可以分为四种类型:风险评估、安全设计与集成、安全培训、应急响应。每个分项共划分为三个等级,其中1级Zui低,3级Zui高。
02、开展通信网络安全服务能力评定的目的和意义
为提高通信网络安全服务质量,确保服务过程的安全可控性,促进通信网络安全服务行业健康发展,协助政府主管部门加强对通信网络安全服务的指导;通信网络安全服务能力评定可作为电信管理机构把握通信网络安全服务整体情况的参考,可作为电信运营企业选择通信网络安全服务的依据,也可以作为通信网络安全服务提供上改进自身能力的指导。
03、哪些企业可以申请
通信网络安全服务能力评定适用于中华人民共和国境内的通信网络安全服务单位。
05、评定周期
常办理周期为6-9自然月。
注:
1.从受理到颁发证书的周期为6个月,但由于申请方原因(如资料补充需要的时间等)造成的时间延误不计算在内。
2.认证时间主要取决于审核时间及整改时间,上述办理周期供参考。
