答疑|CCRC认证中常见问题
问:什么是CCRC?
CCRC信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平和技术能力,信息安全服务资质认证是根据国家法律法规、国家标准、行业标准和技术规范,以及基本认证规范和认证规则,对信息安全服务提供商的信息安全服务资质进行评估。通过信息安全服务分类分级资质认证,可以quanwei、客观、公正地评价信息安全服务提供者的基本资质、管理能力、技术能力和服务过程能力,证明其服务能力,满足社会对服务选择的需求。
问:CCRC认证的标准是什么?
CCRC认证依据的标准为CCRC-ISV-C01:2021《信息安全服务规范》,该标准由中国网络安全审查技术与认证中心发布。
问:CCRC的认证方向有哪些?
安全集成服务
安全运维服务
风险评估服务
应急处理服务
软件安全开发服务
灾难备份与恢复服务
网络安全审计服务
工业控制安全服务(未开放)
CCRC认证时可以申请认证单个方向,也可以同时申请多个方向。
问:CCRC认证流程是什么?
认证材料准备
认证申请及受理
方案策划
派遣审核组
实施审核
认证决定
证书制作
问:CCRC是现场审核吗?
网数中心对初次申请的企业会进行初始现场审核,即对同一个信息安全服务提供者的同一场地,按照同一认证标准进行的首次现场审核。
如果信息安全服务提供者已通过初始现场审核,并持有有效认证证书,在申请新的专业方向或级别变更时,不需实施现场审核。
问:技术人员是否需要获得CCRC的人员认证证书?
不是必需。信息安全服务提供者需建立人员能力评价标准和管理要求,并按照要求进行人员能力评价,以确保人员能力满足信息安全服务工作的需要。
问:证书有效期是多久?需要监督审核吗?
CCRC证书有效期3年,每年需要监督年审。通常情况下,初始现场审核的时间即为监督审核的基准时间,每12个月为一个监督周期。例如2022年7月21日实施初始现场审核,通过并获证,则第二年的监督审核应于2023年7月21日前实施。