在信息化高速发展的今天,企业的信息安全显得尤为重要。为了保障企业的信息安全,提升风险管理能力,国家标准委近日发布了全新的风险评估标准GB/T20984-2022,以取代原有的07版标准。这一标准的更新,不仅体现了我国在信息安全领域的不断进步,也为企业提出了更高的要求。
新标准亮点解析
新版GB/T 20984-2022标准在内容上进行了全面的升级更新,其中增加了以下几个重要模型:
资产识别模型:帮助企业更准确地识别自身的信息资产,确保每一份资产都能得到妥善的保护。
威胁识别模型:通过对潜在威胁的深入分析,企业能够提前做好防御准备,减少信息安全事件的发生。
安全措施识别模型:指导企业根据自身情况,选择合适的安全措施,确保信息安全防护的全面性。
脆弱性识别模型:帮助企业识别系统或应用中的脆弱点,及时修补漏洞,防止被攻击者利用。
风险分析模型:基于以上四个模型,对企业面临的信息安全风险进行全面分析,为企业的信息安全决策提供有力支持。
企业如何应对新标准?
收到监督审核的企业:需要抓紧时间准备新标准中提到的各项模型,确保在审核过程中能够顺利达标。
未收到监督审核的企业:暂时不需要接受审核,但也需要提前了解并参考新标准,为未来的信息安全工作做好准备。
关注官方信息:CCRC对外并没有直接发文更新标准,但企业可以通过关注官方渠道,及时了解Zui新的审核动态和要求。
寻求专业帮助:新标准的实施难度相对较大,资料繁琐,企业可以寻求专业的信息安全服务机构的帮助,如龙域认证,我们可以提供认证资料、模板等,帮助企业更好地应对新标准。
CCRC信息安全服务资质介绍
信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认证的过程。是对提供信息安全服务的组织和单位资质进行审核、评估和认定。
CCRC信息安全服务资质认证好处
是企业能力获得第三方quanwei机构认证认可的依据。
是需方选择的依据,可以提高需方对服务商的信任度。
规范管理与技术,提高客户满意度。
拓宽企业的业务范围,获得更多业务机会。
CCRC的级别和方向分类
CCRC信息安全服务资质分为三级,分别是一级、二级、三级,其中一级Zui高,三级Zui低。
信息安全服务资质共8个方向:信息系统安全集成、信息系统安全运维、信息安全风险评估、信息安全应急处理、软件安全开发,信息系统灾难备份与恢复、网络安全审计、工业控制安全。
CCRC信息安全服务资质申请条件
三级
1、有固定的办公场和相适应的办公条件,能够满足机构设置及其业务需要。
2、技术负责人具备信息安全服务相应的管理能力,至少要有3个月的shebao。
3、从事信息安全服务4个月以上。
4、近三年内签订并完成至少1个信息安全服务的(与申报类别一致)项目。
5、1套已验收的项目资料,如合同、中标通知书或收款凭证、发票、验收报告。
二级
1、有固定的办公场和相适应的办公条件,能够满足机构设置及其业务需要。
2、技术负责人具备信息安全服务相应的管理能力,至少要有3个月的shebao。
3、从事信息安全服务3年以上,或取得信息安全服务三级资质1年以上。
4、近三年内签订完成至少6个信息安全服务(与申报类别一致)项目。
5、2套已验收的项目资料,如合同、中标通知书或收款凭证、发票、验收报告。
一级
1、有固定的办公场和相适应的办公条件,能够满足机构设置及其业务需要。
2、技术负责人具备信息安全服务相应的管理能力,至少要有3个月的shebao。
3、从事信息安全服务5年以上,或取得信息安全服务二级资质1年以上。
4、近三年内签订并完成至少10个信息安全服务(与申报类别一致)项目。
5、2套已验收的项目资料。如合同、中标通知书或收款凭证、发票、验收报告。
CCRC证书有效期及监督审核要求
证书有效期3年,每年监督审核一次,监督审核周期不大于12个月,企业需要提前3个月左右提交监审材料,如未按规定时间完成监督审核,证书会暂停,证书暂停三个月内还未提交监审材料的,证书会被撤销。
