江苏:CCRC信息安全服务资质
随着我国信息化和信息安全保障工作的不断深入,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出,加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。
CCRC信息安全服务资质是什么
CCRC信息安全服务资质,是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行quanwei、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
CCRC信息安全服务资质七个类别
信息安全服务资质认证共分为7个认证方向,分别是安全集成、安全运维、风险评估、应急处理、软件安全开发、灾难备份与恢复、网络安全审计,每个认证方向的资质级别分为一级、二级、三级,一级Zui高,三级Zui低。
信息系统安全集成服务资质认证
信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。
安全运维服务资质认证
通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。
风险评估服务资质认证
信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施。
应急处理服务资质认证
信息安全应急处理服务是通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应,并在安全事件一旦发生后进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。应急处理服务是保障业务连续性的重要手段之一,它涵盖了在安全事件发生后为了维持和恢复关键业务所进行的系列活动。
软件安全开发服务资质认证
通过对软件开发过程的控制,将开发的软件存在的风险控制在可接受的水平。软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。
灾难备份与恢复服务资质认证信息系统灾难备份与恢复服务是将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份,并在灾难发生时,将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态。
网络安全审计服务资质认证网络安全审计是指网络安全审计机构对被审计方所属的计算机信息系统的安全性、可靠性和经济性进行检查、监督,通过获取审计证据并对其进行客观评价所开展的系统的、独立的、形成文件的活动。
信息安全服务资质的基本条件
申请条件
三级
二级
一级
法律
地位
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
财务资信
近3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3 年财务审计报告。
办公场所
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
人员素质与资质
a) 组织负责人拥有2年以上信息技术领域管理经历。
b) 技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信息安全技术工作2年以上。
c) 财务负责人具有财务系列初级以上职称。
d) 从事信息安全服务人员10名以上。
e) 拥有信息安全专业认证(与申报类别一致)人员2名以上。
f) 拥有项目管理资格证书人员1名以上。
a) 组织负责人拥有3年以上信息技术领域管理经历。
b) 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信息安全技术工作5年以上。
c) 财务负责人具有财务系列中级以上职称。
d) 从事信息安全服务人员30名以上。
e) 拥有信息安全专业认证(与申报类别一致)人员6名以上。
f) 拥有项目管理资格证书人员2名以上。
a) 组织负责人拥有4年以上信息技术领域管理经历。
b) 技术负责人应获得信息安全相关专业硕士及以上学位或电子信息技术类职称,且从事信息安全技术工作8年以上。c) 财务负责人拥有财务系列职称,或取得中级职称8年以上。
d) 从事信息安全技术服务人员50名以上。
e) 拥有信息安全专业认证人员(与申报类别一致)10名以上。f) 拥有项目管理资格证书人员5名以上。
技术工具
a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b) 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版本控制。
a) 具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
b) 具备承担信息安全服务(与申报类别一致)项目所需的安全工具,如漏洞扫描工具、渗透测试工具、协议分析仪等。
业绩
要求
a) 从事信息安全服务(与申报类别一致)1年以上。
b) 近3年内签订并完成至少1个信息安全服务(与申报类别一致)项目。
a) 从事信息安全服务(与申报类别一致)3年以上,或取得信息安全服务(与申报类别一致)三级资质1年以上。
b) 近三年内签订并完成至少6个信息安全服务项目(与申报类别一致)。
a) 从事信息安全服务(与申报类别一致)5年以上。
b)近三年内至少签订并完成10个信息安全服务项目(与申报类别一致)。
信息安全服务资质咨询服务流程
01需求调研
了解甲方公司体系、资质情况、项目情况、技术规范情况。充分解读甲方体系资料,为后续将该申请类别的准则条款要求形成规范,融合到现有体系中。02差距分析
根据需求调研结果,与信息安全相关申请类别评估准则核对,进行差距分析。确定需要增加、修订补充的技术规范、体系资料。在熟悉甲方体系资料的前提下,依据准则条款,规划出融合思路,并确定人员分工,谁负责融合、编写哪部分技术规范 。03申请书编写技术规范编写
各小组成员按照分工计划,编写技术规范、融合体系资料。04确定项目
根据建立的技术体系,至少选择项目1个,要覆盖整个申请类别相关级别评估准则条款,并且覆盖整个项目生命周期。此处选定项目后,要与项目经理沟通、规避不能拿出审核的项目风险,所以存在沟通协调的环节。05递交申请书
递交申请书,官方系统线上受理,并签约认证发受理单、走流程,等待安排现场审核时间。06补充项目资料
依据建立的技术体系、技术规范,结合现有的项目材料,补充完善项目资料。07培训模拟现场审核
确定甲方参加现场审核人员,并进行模拟现场审核,学习答辩技巧。08文审/整改
初次申请此资质,先进行一阶段审核(俗称文审),针对文审提出的整改项,进行整改。整改通过后,进入现场审核阶段。09现场审核
配合现场审核。10审核整改
根据现场审核提出的整改项,进行整改,准备整改资料、纠正措施资料,并提交审核通过后,取得证书。
CCRC信息安全资质适合的企业
1、专业从事信息安全服务的企业
包括信息安全咨询、安全评估、安全监测、安全运维、应急响应等服务提供商。
2、软件开发企业
涉及软件安全开发、安全测试、安全运维等方面的企业。
3、信息安全产品提供商
研发和销售信息安全产品的企业,如防火墙、入侵检测系统、加密解密设备等。
4、信息系统集成商
承担信息系统建设、运维和保障的企业。
5、涉及信息安全保障需求的企业
、金融机构、电信、能源、教育、医疗等领域的企业或机构。
6、其他
任何希望提升自身信息安全服务能力和资质的企业或机构。
CCRC证书样本及有效期
证书状态:有效、暂停、撤销
造成证书暂停的情况(Zui长3个月):
1)获证组织的服务管理持续地或严重地不满足认证要求;
2)逾期未按规定接受监督审核;
3)违规使用认证证书,且未造成不良影响;
4)监督审核有严重不符合项;
5)获证组织主动请求暂停;
6)其他需要暂停证书的情况。
造成撤销的情况:
1)逾期3个月未按规定接受监督审核的;
2)证书暂停期间,未在规定时间内完成整改并通过验证;
3)违规使用认证证书,造成不良影响;
4)获证组织出现严重责任事故、被投诉且经核实,影响其继续有效提供服务;
5)获证组织因自身原因不再维持证书,可提出撤销认证证书的申请;
6)其他需要撤销证书的情况。
CCRC信息安全资质的影响
01降低企业的法律风险
通过认证,企业可以遵守相关法律法规和标准要求,从而降低法律风险和合规风险。
02增强企业的综合竞争力
拥有quanwei认证的企业可以在市场中脱颖而出,获得更多的合作机会和竞争优势。
03提高企业在行业中的影响力
通过认证,企业可以获得更多的曝光和认可,从而提高在行业中的影响力和话语权。
04提高企业的专业水平和服务质量
通过认证,企业可以证明自身具备提供安全服务的能力和资质,从而提升专业水平和服务质量。
05拓宽业务范围,获得更多经营机会
拥有quanwei认证的企业可以获得更多的合作机会和业务拓展机会,从而扩大企业的经营范围。
06规范管理与技术,提高客户满意度
认证要求企业具备完善的管理体系和先进的技术能力,这有助于规范企业的管理与技术,提高服务质量和客户满意度。
信息安全服务资质热点问题解答
申请信息安全服务资质的周期?答:从签订《信息安全服务资质测评委托协议》至信息安全服务资质证书颁发,周期为六个月。周期时间不包含由于申请单位原因(如,资料补充、商务流程延误或申请方无法按照约定时间进行现场评审等)造成的延期。
信息安全服务资质证书的有效期?答:信息安全服务资质证书的有效期为三年,每年监督审核一次。
企业应具备哪些基本资格?答:1. 成立一年以上。2. 经营范围涵盖信息安全。3. 具备独立法人资格,能够对外独立承担民事责任(分公司不能够独立申请)。