信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。
通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
信息安全服务提供者在提供服务时应具备的服务安全通用要求和专业服务能力要求。可作为第三方认证机构对服务提供者的评价依据,也可作为服务提供者开展自我评价的依据,同时,可为政府及有关社会组织选择服务提供者提供参考。信息安全服务资质也日益成为政采项目招投标的准入门槛。
信息安全服务资质受理机构是:中国网络安全审查技术与认证中心((CCRC),原中国信息安全认证中心(ISCCC))中国网络安全审查技术与认证中心是经国家认证认可监督管理委员会批准,可以从事信息安全服务资质认证的机构(《认证机构批准书》CNCA-R-2007-138),并获得了中国合格评定国家认可委员会的认可(证书编号:No. CNAS CO66-V)
03CCRC信息安全服务资质分哪些方向?
信息安全服务资质共8个方向:信息系统安全集成、信息系统安全运维、信息安全风险评估、信息安全应急处理、软件安全开发,信息系统灾难备份与恢复(需求少)、网络安全审计(需求少)、工业控制安全(暂未开放)。
信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力。服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。
成都CCRC认证信息系统安全运维服务资质通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询协助组织的信息系统管理人员进行信息系统的安全运维工作以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性并在安全隐患被利用后及时加以响应。安全运维资质认证是对安全运维服务方的基本资格、管理能力、技术能力和安全运维过程能力等方面进行评价。
信息安全风险评估是信息安全保障的基础性工作和重要环节贯穿于网络和信息系统建设运行的全过程。风险评估服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力。服务人员的能力主要从掌握的知识、风险评估服务的经验等综合评定。
信息安全应急处理资质是通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应,并在安全事件一旦发生后进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。应急处理服务是保障业务连续性的重要手段之一,它涵盖了在安全事件发生后为了维持和恢复关键业务所进行的系列活动。信息安全应急处理服务资质认证是对应急处理服务提供方的基本资格、管理能力、技术能力和应急处理服务过程能力等方面进行评价。
软件安全开发资质通过对软件开发过程的控制,将开发的软件存在的风险控制在可接受的水平。软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面的评价。
信息系统灾难备份与恢复服务资质是将信息系统的数据、数据处理系统、网络系统、基本设施、专业技术支持能力和运行管理能力进行备份。并在灾难发生时,将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态。将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计和提供的活动。
04CCRC信息安全服务资质分哪些级别?
信息安全服务资质分为一级、二级、三级,其中一级最高,三级最低。
05CCRC信息安全服务资质申请条件?
三级
有固定的办公场和相适应的办公条件,能够满足机构设置及其业务需要。
技术负责人具备信息安全服务相应的管理能力,至少要有3个月的社保。
从事信息安全服务4个月以上。
近三年内签订并完成至少1个信息安全服务的(与申报类别一致)项目。
1套已验收的项目资料,如合同、中标通知书或收款凭证、发票、验收报告。
二级
有固定的办公场和相适应的办公条件,能够满足机构设置及其业务需要。
技术负责人具备信息安全服务相应的管理能力,至少要有3个月的社保。
从事信息安全服务3年以上,或取得信息安全服务三级资质1年以上。
近三年内签订完成至少6个信息安全服务(与申报类别一致)项目。
2套已验收的项目资料,如合同、中标通知书或收款凭证、发票、验收报告。
一级
有固定的办公场和相适应的办公条件,能够满足机构设置及其业务需要。
技术负责人具备信息安全服务相应的管理能力,至少要有3个月的社保。
从事信息安全服务5年以上,或取得信息安全服务二级资质1年以上。
近三年内签订并完成至少10个信息安全服务(与申报类别一致)项目。
套已验收的项目资料。如合同、中标通知书或收款凭证、发票、验收报告。
06CCRC信息安全服务资质申请需要的材料
服务资质认证申请书;
独立法人资格证明材料;
从事信息安全服务的相关资质证明;
工作保密制度及相应组织监管体系的证明材料;
与信息安全风险评估服务人员签订的保密协议复印件;
人员构成与素质证明材料;
公司组织结构证明材料;
具备固定办公场所的证明材料;
项目管理制度文档;
信息安全服务质量管理文件;
项目案例及业绩证明材料;
信息安全服务能力证明材料等。
07CCRC信息安全服务资质认证流程
自评估
认证申请
申请材料评审
现场审核或远程审核
认证决定
证书颁发
监督审核
08CCRC信息安全服务资质的含金量?
1、是企业获得第三方权威机构认证认可能力的基础,有利于保持稳定健康的发展和运营模式,提高企业的市场竞争力,获得该认证反映了企业的综合实力。
2、是需方选择的依据,可以提高需方对服务提供者的信任度。
3、规范管理与技术,可以证明企业在技术、资源和管理方面的资质和能力,提高客户满意度。
4、拓宽企业的业务范围,获得更多业务机会。
09成都CCRC认证证书有效期及监督审核要求
证书有效期3年,每年监督审核一次,监督审核周期不大于12个月,企业需要提前3个月左右提交监审材料,如未按规定时间完成监督审核,证书会暂停,证书暂停三个月内还未提交监审材料的,证书会被撤销。