对于IT行业,信息安全是一个非常重要的环节,也是合作企业比较注重的方面。那成都CCRC认证信息安全服务资质是企业比较关注的一个资质,也是信息安全行业所必备的资质。那下面就带您深入解析成都CCRC认证信息安全服务资质证书。
信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
现在市场上信息安全类的资质认证比较多,目前发证量最多、应用最广、业内认可度较高的有:ISO27001,中国网络安全审查技术与认证中心的CCRC-安全集成,中国信息安全测评中心的ITSEC-安全工程,中国通信企业协会通信网络安全专业委员会的CESSCN-安全设计与集成。
中国网络安全审查技术与认证中心(英文缩写为:CCRC,(China Cybersecurity Review Technology and Certific),原为中国信息安全认证中心英文缩写ISCCC)于2006年由中央机构编制委员会办公室批准成立,为国家市场监督管理总局直属正司局级事业单位。依据《网络安全法》《网络安全审查办法》及国家有关强制性产品认证法律法规,承担网络安全审查技术支撑和认证工作;在批准范围内开展与网络安全相关的产品、管理体系、服务、人员认证和培训等工作;同时设有国家信息安全产品质量监督检验中心(北京)。该机构是是依据《国家网络安全法》和国家有关强制性产品认证、网络安全管理法规,负责实施网络安全审查和认证的正司局级事业单位,在业务上接受中央网信办指导。
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。
中国网络安全审查技术与认证中心是经国家认证认可监督管理委员会批准,可以从事信息安全服务资质认证的机构(《认证机构批准书》CNCA-R-2007-138),并获得了中国合格评定国家认可委员会的认可(证书编号:No. CNAS CO66-V)。服务资质认证工作是中国网络安全审查技术与认证中心的核心业务之一。
按照分类分级的工作思路,目前中国网络安全审查技术与认证中心已经开展了安全集成、安全运维、风险评估、应急处理、软件安全开发、灾难备份、网络安全审计七类服务资质工作。
级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。
有效期:三年,获证之日起12-18月内完成一次监督审核。(旧版2021年10月15日之前证书有效期为一年)
中国网络安全审查技术与认证中心(CCRC)对服务资质认证规范及实施规则进行了修订,于2021年10月15日发布了2021版CCRC-ISV-C01:2021《信息安全服务规范》、CCRC-ISV-R01:2021《信息安全服务资质认证实施规则》,并从发布之日起正式实施。自当日起,CCRC启动按照新版认证实施规则的认证申请受理工作,不再受理依据旧版认证实施规则的认证申请。
所有按照旧版认证实施规则要求颁发的信息安全服务资质认证证书将在2022年9月30日前全部完成转换,超期未完成转换的证书将做暂停处理。
二、CCRC公示查询平台
CCRC的官方网站为:中国网络安全审查技术与认证中心https://www.isccc.gov.cn
证书出证后查询平台为:“认e云 全国认证认可信息公共服务平台”http://cx.cnca.cn/CertECloud/index/index/page
三、成都CCRC认证办理条件
● 三级
1.企业成立满半年
2.近三个月社保6人及以上
3.申报类别的安全项目1个及以上
4.CISAW证书申报类别2人或年审前培训
5.组织负责人拥有2年以上信息技术领域管理经历
● 二级
1.企业成立满三年或三级证书满一年
2.近三个月社保20人及以上
3.申报类别的安全项目6个及以上
4.CISAW证书申报类别6人或年审前培训
5.组织负责人拥有3年以上信息技术领域管理经历
6.通过ISO27001或20000,覆盖范围含信息安全服务
● 一级
1.企业成立满三年且二级证书满一年
2.近三个月社保30人及以上
3.申报类别的安全项目10个及以上
4.CISAW证书申报类别10人或年审前培训
5.组织负责人拥有4年以上信息技术领域管理经历
6.通过ISO27001或20000,覆盖范围含信息安全服务
四、CCRC申报流程
从需求调研、准备资料到申请、现场审核、获得信息安全服务资质预计需要3个月。项目成员确定项目组成员,包括甲方配合人员、我方项目成员,明确分工、职责。
1.需求调研:了解甲方公司体系、资质情况、项目情况、技术规范情况。需充分解读甲方体系资料,为后续将该申请类别的准则条款要求,形成规范融合到现有体系中,工作量较大。预计1周
2.差距分析:根据需求调研结果,与信息安全相关申请类别评估准则核对,进行差距分析,确定需要增加、修订补充的技术规范、体系资料。在熟悉甲方体系资料的前提下,依据准则条款,规划出融合思路,并确定人员分工,谁负责融合、编写哪部分技术规范 。预计1周
3.申请书编写技术规范编写:各小组成员按照分工计划,编写技术规范、融合体系资料,工作量是最大的部分。预计1个月
4. 确定项目:根据建立的技术体系,至少选择项目1个,要覆盖整个申请类别相关级别评估准则条款,并且覆盖整个项目生命周期。此处选定项目后,要与项目经理沟通、规避不能拿出审核的项目风险,所以存在沟通协调的环节。预计2周
5.递交申请书:递交申请书,官方系统线上受理,并签约认证发受理单、走流程,等待安排现场审核时间。预计2个月
6.补充项目资料:依据建立的技术体系、技术规范,结合现有的项目资料,补充完善项目资料。依据以往ISO 9000体系项目资料,补充增加部分在70%,故有大量的技术资料需要补充,部分需要项目经理配合。预计1个月
7.培训模拟现场审核:确定甲方参加现场审核人员,并进行模拟现场审核,学习答辩技巧。预计2天
8. 文审/整改:初次申请此资质,先进行一阶段审核(俗称文审),先审核体系、技术规范、申请书、项目资料等,针对文审提出的整改项,进行整改。(肯定会提出整改项)关键看提出的整改项是在技术规范、还是项目资料,通常整改项会贯穿前后,也就是技术规范需要修改、对应的项目资料也要修改。整改通过后,进入现场审核阶段。预计2周
9. 现场审核:配合现场审核。预计1周
10.审核整改:根据现场审核提出的整改项,进行整改,准备整改资料、纠正措施资料,并提交审核通过后,取得证书。
通过以上的了解,我们简单的了解到了办理成都CCRC认证信息安全服务资质办理流程,以及资质证书等级划分要求,伙伴们都清楚了吗?如还需了解更多欢迎来电!