随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。
一、CCRC(原名ISCCC)概况
CCRC(原名ISCCC)信息安全服务资质认证是中国网络安全审查技术与认证中心依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质包括法律地位、资源状况、管理水平、 技术能力等方面的要求进行评价。
通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
该资质共8个单项,每个单项分为一、二、三级(最低)。
CCRC信息安全服务资质单项
1. 信息系统安全集成服务资质
2. 安全运维服务资质
3. 风险评估服务资质
4. 应急处理服务资质
5. 软件安全开发服务资质
6. 信息系统灾难备份与恢复服务资质
7. 工业控制安全服务资质
8. 网络安全审计服务资质
二、信息安全服务资质认证服务流程
申请CCRC信息安全服务资质认证服务,究竟是怎样的一个流程呢?下面九脑汇学院就来给各位详细地讲解一下。
认证流程可分为:自评估-认证申请-申请材料评审-现场审核-认证决定-证书颁发-监督审核
CCRC信息安全服务资质认证周期:
一级/二级认证周期一般是12周,三级认证周期4周。
认证周期包括自申请被正式受理之日起至颁发认证证书时止实际发生的时间,不包括申请单位准备或补充材料的时间。
CCRC信息安全服务资质证书管理:证书状态:有效、暂停、撤销
造成证书暂停的情况(最长3个月):
1)获证组织的服务管理持续地或严重地不满足认证要求,;
2)逾期未按规定接受监督审核;
3)违规使用认证证书,且未造成不良影响;
4)监督审核有严重不符合项;
5)获证组织主动请求暂停;
6)其他需要暂停证书的情况。
造成撤销的情况:
1)逾期3个月未按规定接受监督审核的;
2)证书暂停期间,未在规定时间内完成整改并通过验证;
3)违规使用认证证书,造成不良影响;
4)获证组织出现严重责任事故、被投诉且经核实,影响其继续有效提供服务;
5)获证组织因自身原因不再维持证书,可提出撤销认证证书的申请;
6)其他需要撤销证书的情况
年审监督:
1)仅单位名称变更、注册地址变更,可提出证书变更申请(随时申请);
2)非现场监督审核,提供监督审核通知单回执、相应专业方向自评估表、公共管理部分上一年度开具的不符合及观察项整改情况;
3)现场监督,全要素进行审核,重点关注上年度开具的不符合及观察项。
获证后的监督审核周期:
1)仅单位名称变更、注册地址变更,可提出证书变更申请(随时申请);
2)非现场监督审核,提供监督审核通知单回执、相应专业方向自评估表、公共管理部分上一年度开具的不符合及观察项整改情况;
3)现场监督,全要素进行审核,重点关注上年度开具的不符合及观察项。
现场监督审核项目数量:
三级/二级/一级申请方提供近一年内签订并完成至少1个/2个/2个信息安全服务(与申报类别一致)项目的全套资料。
三、CCRC信息安全服务资质认证的意义
1、该认证是企业能力得到第三方权威机构认证认可的依据
得到第三方权威机构认证认可,对于很多企业来说都是很重要的事情,这有利于企业保持稳健健康的发展和运营模式,有利于增强企业的市场竞争能力,取得该认证是企业综合实力的体现,能够证明企业在技术、资源以及管理等方面的资质和能力。
2、该认证可以提高需方对服务商的信任度
通过该认证的主要作用之一,在于它能够提高需方对服务商的信任度。如今信誉无论对于个人还是公司来说,都是一件很重要的事情。正是因为有了信誉,企业或公司才能够给客户带来可以信赖的良好印象,促使客户对企业建立正面情感,提升客户对企业的信任度。
3、规范管理和技术,提高客户满意度
规范管理与技术,对于企业来说具有不可忽略的价值,规范管理能够让企业保持有序健康发展,有利于企业开拓客户资源市场。该认证还能够提高客户对企业的满意度,为企业带来优良的客户口碑。任何企业的生存与发展,都是离不开客户的,让客户满意始终是企业的服务宗旨。
4、拓宽企业的业务范围,获得更多业务机会
这点应当是比较容易理解的,该认证不仅具有社会效益,也能带来经济效益。业务机会对于每家企业来说都是重要的,企业业务范围拓宽之后,能够得到更多订单,这不仅能为企业带来收益,也能够壮大企业实力,使得企业具备更强的市场竞争能力。