信息安全服务资质CCRC认证流程 信息安全服务资质认证实施规则解读
信息安全服务资质发证单位:中国网络安全审查技术与认证中心(现已更名为中国网络安全审查认证和市场监管大数据中心)
信息安全服务资质认证认证介绍:
实施规则相关知识1.版本号:CCRC-ISV-R01:20222. 认证依据标准:CCRC-ISV-C01:2021《信息安全服务规范》3. 基本认证模式初始现场审核+监督审核4.认证级别:分为一级、二级、三级共3个级别,其中一级Zui高
认证程序
2.1 申请评审
2.1.1 认证委托
2.1.2 申请评审
2.1.3 认证方案策划2.2 初始现场审核2.3 复合2.4 认证决定2.5 监督审核2.5.1 频次和方式2.5.2 监督实施2.5.3 复核2.5.4 认证决定2.6 特殊监督审核二、认证程序2.1 申请评审-- 认证委托认证委托人可通过电话、信函、传真、邮件或登录中国网络安全审查技术与认证中心(以下简称“网安中心”)网站的业务管理系统提交申请,并提供认证申请书及相关附件,附件包括但不限于:1) 信息安全服务提供者的社会统一机构代码营业执照或其他证明性文件;2) 信息安全服务提供者的组织架构图;3) 信息安全服务提供者的专职技术人员名单(包括技术负责人、技术人员等);4) 信息安全服务类别的技术规范。建议填写自评估表,对标准备相应迎审材料。二、认证程序2.1 申请评审– 申请评审网安中心对认证委托人提交的认证申请书等资料进行评审,根据评审结果发出受理通知或问题通知。认证委托人收到问题通知后,将改进情况反馈给网安中心。对于仍不符合受理要求的申请,网安中心再次发出问题通知。二、认证程序2.1 申请评审– 认证方案策划网安中心策划认证方案。认证方案至少包括以下内容:1) 单元划分结果;2) 明确是否需要初始现场审核;3) 明确网安中心联系人和联系方式;4) 预计认证流程周期;5) 预计认证费用。二、认证程序2.2 初始现场审核2.2.1.初始现场审核是指网安中心对同一个信息安全服务提供者的同一场地,按照同一认证标准进行的首次现场审核。(升级?增加方向?)2.2.2.审核组完成审核任务后,向网安中心提交审核资料。(申请书直接提供给中心)
2.2.3.一个认证单元现场审核按2人日计费,每增加一个认证单元增加0.5人日,以此类推,原则上Zui多不超过5人日。
2.2.4.原则上,一般不符合项整改验证工作在下一次监督审核进行。认证委托人应及时组织信息安全服务提供者对提出的不符合项进行整改,制定整改措施,并保存好相关记录,确保在下次监督审核时能够提供。升级和增加方向的情况:1.增加方向按照初次认证的流程提交申请。升级:在申请书中选择的类型是级别变更。2.审核方式:资料审核3.收费:申请费(1000元/认证单元)、注册费(2000元/认证单元)、年金(5000元/年*认证单元)二、认证程序2.3 复核网安中心对认证申请相关信息及审核结果进行复核,形成复核结论。复核应由未参与审核过程的网安中心人员承担。2.4 认证决定 网安中心对认证申请相关信息、复核结果及其他信息进行综合评价,做出认证决定。符合认证要求网安中心将颁发认证证书,不符合认证要求不予颁发认证证书,并通知认证委托人。二、认证程序2.5监督审核
2.5.1频次和方式
网安中心委派审核组对信息安全服务提供者进行现场审核,原则上采取事先不通知的方式。监督审核周期不大于12个月。2.5.2监督实施2.5.2.1一个认证单元监督审核按1人日计费,每增加一个认证单元增加0.25人日,以此类推,原则上Zui多不超过2.5人日。2.5.2.2监督审核内容为认证依据标准规定的部分条款.(需按照全条款准备项目过程文档)2.5.2.3原则上,一般不符合项整改验证工作在下一次监督审核时进行。认证委托人应及时组织信息安全服务提供者对提出的不符合项进行整改,制定整改措施,并保存好相关记录,确保在下次监督审核时能够提供。二、认证程序补充知识:1.监督审核由中心发起,并策划监审的相关事宜(审核方式、人日数、审核组等),需关注业务系统查看排审情况。2. 若获证组织不能按时接受监审或不再维持证书,可以在业务系统中提交暂停申请或注销申请,如图。3.第3、6、9次监督是换证监督。2.5.3 复核2.5.4 认证决定2.6 特殊审核网安中心可视情况对信息安全服务提供者实施特殊监督审核。三、认证证书管理及使用3.1认证证书内容应至少包括以下方面:1) 认证证书名称;2) 证书编号;3) 认证委托人名称、地址;4) 信息安全服务提供者名称、地址;5) 认证依据标准;6) 类别和级别;7) 首次颁证日期、发证日期以及证书有效期三、认证证书管理及使用3.2证书的管理3.2.1 证书的保持 证书有效期为3年。在有效期内,证书的有效性依赖网安中心的监督审核获得保持。证书有效期届满前30天内,认证委托人未提出终止使用认证证书,且监督审核结果合格的,网安中心应换发新证书。3.2.2认证证书的变更 证书内容发生变更时,认证委托人应向网安中心提出变更申请,并按照要求提交相关资料。网安中心进行必要的审核、复核并做出认证决定。三、认证证书管理及使用3.2 认证证书的管理3.2.3 认证证书的注销 认证委托人有下列情形之一,网安中心进行必要的审核、复核并做出认证决定,注销认证证书,通知认证委托人,并予以公示:1)因自身原因申请注销;2)认证依据标准、实施规则换版,认证委托人未按时提交换版申请;3)其他应注销认证证书的情况。三、认证证书管理及使用3.2认证证书的管理3.2.4认证证书的暂停认证委托人有下列情形之一,网安中心进行必要的审核、复核并做出认证决定,暂停认证证书,通知认证委托人,并予以公示:1)监督结果证明信息安全服务提供者还是认证委托人不满足认证要求,但不需要立即撤销认证证书的;2)逾期未按规定接受监督;3)违规使用认证证书,且未造成不良影响;4)因自身原因申请暂停;5)其他应暂停认证证书的情况。 证书暂停期限Zui长为3个月。证书暂停期限内,认证委托人可向网安中心提出恢复申请,网安中心进行必要的审核、复核并做出认证决定。三、认证证书管理及使用三、认证证书管理及使用3.2认证证书的管理3.2.5认证证书的撤销 认证委托人有下列情形之一,网安中心进行必要的审核、复核并做出认证决定,撤销其认证证书,通知认证委托人,并予以公示:1)在认证证书暂停期限届满,认证委托人未提出认证证书恢复申请、未采取整改措施或整改后仍不合格的;2)因 3.2.4 2)条款【逾期未按规定接受监督】被暂停认证证书后,仍拒绝接受监督的;3)违规使用认证证书,造成不良影响;4)信息安全服务提供者出现严重责任事故、被投诉且经核实,影响其继续有效提供服务;5)其他应撤销证书的情况。三、认证证书管理及使用3.3 认证证书的使用认证委托人在经营活动中使用认证证书时,应当与认证证书的内容相一致。值得注意的是,暂停期间认证证书和标识是暂停使用的。四、认证收费网安中心按照对外公开的有关规定收取认证费用。初次费用项目:申请费(1000元/认证单元)、审核费(5000元/人日)、注册费(2000元/认证单元)、年金(5000元/年*认证单元)监督费用项目:审核费(5000元/人日)、注册费(2000元/认证单元)、年金(5000元/年*认证单元)五、其他5.1 与技术争议、申诉相关的流程及时限要求• 认证委托人可通过电话、电子邮件等方式,对于认证环节的技术争议或其他问题向网安中心进行申诉。• 网安中心收到申诉后,对反映情况和提供资料进行核实。• 认证委托人对于处理结果仍存在争议时,可在收到处理结果后15个工作日内再次提出争议处理申5.2 认证责任• 网安中心遵循国家法律法规、认证实施规则的要求和程序从事认证活动。• 网安中心及其认证人员根据实施规则做出认证结论,并保证认证结论的客观性、真实性。• 网安中心向认证委托人出具认证证书,并对认证结果负责。• 网安中心派遣具备资格的审查员实施审核。审查员应根据网安中心要求,及时有效完成审核任务。网安中心及审查员对审核结论负责。• 认证委托人应配合网安中心开展认证活动。• 认证委托人应对提交的认证资料和信息的真实性、合法性负责。当认证信息发生变化时,认证委托人应及时通知网安中心。
哪些行业可以做信息安全服务CCRC资质认证:面向从事系统集成、软件开发、软硬件运维、风险评估、应急处理、灾难备份与恢复、网络安全审计、工业控制系统安全服务等业务为主的IT企业.
企业申请信息安全服务资质的好处是
1、扩大企业在信息安全服务领域的影响力,增强可信度
2、获得政府、金融、学校等行业投标加分,提高竞争力
3、提升效率,加强实施项目中的管理及服务能力
4、提升品牌形象,巩固企业市场占有率
·5、争优评先,获取当地政府补贴
