中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)是依据国家《网络安全法》和国家有关强制性产品认证、网络安全管理法规,负责实施网络安全审查和认证的专门机构。
CCRC信息安全服务资质规定了信息安全服务提供者在提供服务时应具备的服务安全通用要求和专业服务能力要求。通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行quanwei、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
一、CCRC信息安全服务资质认证的基本流程
认证申请与受理——文档审核——现场审核——认证决定——年度监督审核
二、CCRC信息安全服务资质认证的申请资料
初次申请服务资质认证时,申请单位应填写认证申请书,并提交资格、能力方面的证明材料。申请材料通常包括:
u服务资质认证申请书
u独立法人资格证明材料
u从事信息安全服务的相关资质证明
u工作保密制度及相应组织监管体系的证明材料
u与信息安全风险评估服务人员签订的保密协议复印件
u人员构成与素质证明材料
u公司组织结构证明材料
u具备固定办公场所的证明材料
u项目管理制度文档
u信息安全服务质量管理文件
u项目案例及业绩证明材料
u信息安全服务能力证明材料等
三、CCRC信息安全服务资质认证依据
对特定类别的信息安全服务,有具体的评价标准。例如,信息安全应急处理服务资质认证的依据是《网络与信息安全应急处理服务资质评估方法》(YD/T1799-2008),信息安全风险评估服务资质认证的依据是《信息安全技术 信息安全风险评估规范》(GB/T20984-2007)与《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)。
四、CCRC信息安全服务资质认证的8大认证分项
CCRC分类通常指的是CCRC(中国网络安全审查技术与认证中心)的信息安全服务资质分类。根据提供的搜索结果,CCRC的信息安全服务资质分为一级、二级、三级,其中一级Zui高,三级Zui低。这些资质共分为8个不同的方向,分别是:
1.安全集成:涉及计算机技术工程和互联网工程的安全需求定义、安全设计、基本建设执行、anquanbaozheng活动。
2.安全运维:指通过技术性设备安全风险评估、安全加固、漏洞修复通知、安全事件回应以及信息安全运维咨询,帮助组织进行信息系统的安全运维工作。
3.风险评估:通过系统化分析网络与信息系统面对的威胁以及存在的易损性,评定安全事件可能导致的伤害程度,并提出有目的性的防护措施和整改措施。
4.应急处理:制定应急计划以快速响应危害网络与信息系统安全的安全事件,并进行记录、分类与处理,直至受影响的业务流程恢复运转。
5.软件安全开发:确保开发的软件存在的风险控制在可接受水平,包括开发软件方的资质、管理方法能力、技术能力以及软件平台全过程的认证。
6.灾难备份与恢复:备份信息系统的信息、数据管理系统、应用系统、基础设施建设、专业服务支持能力和运行维护能力,并在灾难发生时恢复信息系统的正常运转。
7.工业控制安全:涉及工业控制系统安全相关的服务。
8.网络安全审计:对电子计算机信息系统的安全性、稳定性和合理性进行安全检查、监管,并实施全面的、独立的、产生文件信息的审计活动。
这些分类是为了确保信息安全服务提供者的能力和资格达到一定的标准,以保护信息和网络安全。
