信息安全服务资质CCRC认证解读 IT类资质辅导机构

信息安全服务资质认证认证介绍

实施规则相关知识

1. 版本号：CCRC-ISV-R01:2022

2. 认证依据标准:CCRC-ISV-C01：2021《信息安全服务规范》

3. 基本认证模式

初始现场审核+监督审核

  4.认证级别:分为一级、二级、三级共3个级别，其中一级Zui高

认证程序

2.1 申请评审

    2.1.1 认证委托

    2.1.2 申请评审

    2.1.3 认证方案策划

2.2 初始现场审核

2.3 复核

2.4 认证决定2.5 监督审核     2.5.1 频次和方式     2.5.2 监督实施     2.5.3 复核     2.5.4 认证决定

2.6 特殊监督审核

2.1 申请评审2.1.1申请评审-- 认证委托认证委托人可通过电话、信函、传真、邮件或登录中国网络安全审查技术与认证中心（以下简称“网安中心”）网站的业务管理系统提交申请，并提供认证申请书及相关附件，附件包括但不限于：1) 信息安全服务提供者的社会统一机构代码营业执照或其他证明性文件；2) 信息安全服务提供者的组织架构图；3) 信息安全服务提供者的专职技术人员名单（包括技术负责人、技术人员等）；4) 信息安全服务类别的技术规范。建议填写自评估表，对标准备相应迎审材料。2.1.2申请评审– 申请评审网安中心对认证委托人提交的认证申请书等资料进行评审，根据评审结果发出受理通知或问题通知。认证委托人收到问题通知后，将改进情况反馈给网安中心。对于仍不符合受理要求的申请，网安中心发出问题通知。二、认证程序2.1.3申请评审– 认证方案策划网安中心策划认证方案。认证方案至少包括以下内容：1) 单元划分结果；2) 明确是否需要初始现场审核；3) 明确网安中心联系人和联系方式；4) 预计认证流程周期；5) 预计认证费用。二、认证程序
2.2 初始现场审核2.2.1.初始现场审核是指网安中心对同一个信息安全服务提供者的同一场地，按照同一认证标准进行的首次现场审核。（升级？增加方向？）2.2.2.审核组完成审核任务后，向网安中心提交审核资料。（申请书直接提供给中心）
2.2.3.一个认证单元现场审核按2人日计费，每增加一个认证单元增加0.5人日,以此类推，原则上Zui多不超过5人日。
2.2.4.原则上，一般不符合项整改验证工作在下一次监督审核进行。认证委托人应及时组织信息安全服务提供者对提出的不符合项进行整改，制定整改措施，并保存好相关记录，确保在下次监督审核时能够提供。升级和增加方向的情况：1.增加方向按照初次认证的流程提交申请。升级：在申请书中选择的类型是级别变更。2.审核方式：资料审核3.收费：申请费（1000元/认证单元）、注册费（2000元/认证单元）、年金（5000元/年*认证单元）
2.3 复核

网安中心对认证申请相关信息及审核结果进行复核，形成复核结论。复核应由未参与审核过程的网安中心人员承担。

2.4 认证决定  网安中心对认证申请相关信息、复核结果及其他信息进行综合评价，做出认证决定。符合认证要求网安中心将颁发认证证书，不符合认证要求不予颁发认证证书，并通知认证委托人。
2.5监督审核
2.5.1频次和方式
网安中心委派审核组对信息安全服务提供者进行现场审核，原则上采取事先不通知的方式。监督审核周期不大于12个月。2.5.2监督实施2.5.2.1一个认证单元监督审核按1人日计费，每增加一个认证单元增加0.25人日,以此类推，原则上Zui多不超过2.5人日。2.5.2.2监督审核内容为认证依据标准规定的部分条款.（需按照全条款准备项目过程文档）2.5.2.3原则上，一般不符合项整改验证工作在下一次监督审核时进行。认证委托人应及时组织信息安全服务提供者对提出的不符合项进行整改，制定整改措施，并保存好相关记录，确保在下次监督审核时能够提供。二、认证程序补充知识：1.监督审核由中心发起，并策划监审的相关事宜（审核方式、人日数、审核组等），需关注业务系统查看排审情况。2. 若获证组织不能按时接受监审或不再维持证书，可以在业务系统中提交暂停申请或注销申请，如图。3.第3、6、9次监督是换证监督。2.5.3 复核

2.5.4 认证决定

2.6 特殊审核

网安中心可视情况对信息安全服务提供者实施特殊监督审核。

认证证书管理及使用3.1认证证书内容应至少包括以下方面：1) 认证证书名称；2) 证书编号；3) 认证委托人名称、地址；4) 信息安全服务提供者名称、地址；5) 认证依据标准；6) 类别和级别；

7) 首次颁证日期、发证日期以及证书有效期三、认证证书管理及使用

3.2证书的管理3.2.1 证书的保持  证书有效期为3年。在有效期内，证书的有效性依赖网安中心的监督审核获得保持。证书有效期届满前30天内，认证委托人未提出终止使用认证证书，且监督审核结果合格的，网安中心应换发新证书。3.2.2认证证书的变更   证书内容发生变更时，认证委托人应向网安中心提出变更申请，并按照要求提交相关资料。网安中心进行必要的审核、复核并做出认证决定。3.2.3 认证证书的注销    认证委托人有下列情形之一，网安中心进行必要的审核、复核并做出认证决定，注销认证证书，通知认证委托人，并予以公示：1)因自身原因申请注销；2)认证依据标准、实施规则换版，认证委托人未按时提交换版申请；3)其他应注销认证证书的情况。3.2.4认证证书的暂停
认证委托人有下列情形之一，网安中心进行必要的审核、复核并做出认证决定，暂停认证证书，通知认证委托人，并予以公示：1)监督结果证明信息安全服务提供者还是认证委托人不满足认证要求，但不需要立即撤销认证证书的；2)逾期未按规定接受监督；3)违规使用认证证书，且未造成不良影响；4)因自身原因申请暂停；5)其他应暂停认证证书的情况。

  证书暂停期限Zui长为3个月。证书暂停期限内，认证委托人可向网安中心提出恢复申请，网安中心进行必要的审核、复核并做出认证决定。

3.2.5认证证书的撤销  认证委托人有下列情形之一，网安中心进行必要的审核、复核并做出认证决定，撤销其认证证书，通知认证委托人，并予以公示：1)在认证证书暂停期限届满，认证委托人未提出认证证书恢复申请、未采取整改措施或整改后仍不合格的；2)因 3.2.42）条款【逾期未按规定接受监督】被暂停认证证书后，仍拒绝接受监督的；3)违规使用认证证书，造成不良影响；4)信息安全服务提供者出现严重责任事故、被投诉且经核实，影响其继续有效提供服务；5)其他应撤销证书的情况。三、认证证书管理及使用3.3 认证证书的使用认证委托人在经营活动中使用认证证书时，应当与认证证书的内容相一致。暂停期间认证证书和标识是暂停使用的。

 企业申请信息安全服务资质的好处是 

1、扩大企业在信息安全服务领域的影响力，增强可信度

2、获得政府、金融、学校等行业投标加分，提高竞争力

3、提升效率，加强实施项目中的管理及服务能力 

4、提升品牌形象，巩固企业市场占有率 

·5、争优评先，获取当地政府补贴