关键词 |
CCRC信息安全服务资质认证 |
面向地区 |
风险评估服务是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范和化解信息安全风险,或将风险控制在可接受的水平。
CCRC安全服务资质认证标准
根据信息安全服务资质认证业务现状及发展需要,中国网络安全审查技术与认证中心对服务资质认证规范及实施规则进行了修订,新版CCRC-ISV-C01:2021《信息安全服务规范》、CCRC-ISV-R01:2021《信息安全服务资质认证实施规则》从发布之日起正式实施。
自即日起,中心启动按照新版认证实施规则的认证申请受理工作,不再受理依据旧版认证实施规则的认证申请。
信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。安全集成服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。
通过对软件开发过程的控制,将开发的软件存在的风险控制在可接受的水平。软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。安全软件开发服务资质级别是衡量服务提供方的软件安全开发服务资格和能力的尺度。
工业控制系统安全服务资质认证是对工业控制系统安全服务方的基本资格、管理能力、技术能力和工业控制系统安全服务过程能力等方面进行评价。工业控制系统安全服务资质级别是衡量服务提供方的工业控制系统安全服务资格和能力的尺度。
信息安全服务资质咨询服务流程
从需求调研、准备资料到申请、现场审核、获得信息安全服务资质预计需要3个月。项目成员确定项目组成员,包括甲方配合人员、我方项目成员,明确分工、职责。
1)需求调研:了解甲方公司体系、资质情况、项目情况、技术规范情况。需充分解读甲方体系资料,为后续将该申请类别的准则条款要求,形成规范融合到现有体系中,工作量较大,预计1周。
2)差距分析:根据需求调研结果,与信息安全相关申请类别评估准则核对,进行差距分析,确定需要增加、修订补充的技术规范、体系资料。在熟悉甲方体系资料的前提下,依据准则条款,规划出融合思路,并确定人员分工,谁负责融合、编写哪部分技术规范 。预计1周。
3)申请书编写技术规范编写:各小组成员按照分工计划,编写技术规范、融合体系资料,工作量是大的部分。预计1个月。
4)确定项目:根据建立的技术体系,至少选择项目1个,要覆盖整个申请类别相关级别评估准则条款,并且覆盖整个项目生命周期。此处选定项目后,要与项目经理沟通、规避不能拿出审核的项目风险,所以存在沟通协调的环节。预计2周。
5)递交申请书:递交申请书,系统线上受理,并签约认证发受理单、走流程,等待安排现场审核时间。预计2个月。
6)补充项目资料:依据建立的技术体系、技术规范,结合现有的项目资料,补充完善项目资料。依据以往ISO 9000体系项目资料,补充增加部分在70%,故有大量的技术资料需要补充,部分需要项目经理配合。预计1个月。
7)培训模拟现场审核:确定甲方参加现场审核人员,并进行模拟现场审核,学习答辩技巧。预计2天。
8)文审/整改:初次申请此资质,行一阶段审核(俗称文审),先审核体系、技术规范、申请书、项目资料等,针对文审提出的整改项,进行整改。(肯定会提出整改项)关键看提出的整改项是在技术规范、还是项目资料,通常整改项会贯穿前后,也就是技术规范需要修改、对应的项目资料也要修改。整改通过后,进入现场审核阶段。预计2周。
9) 现场审核:配合现场审核。预计1周。
10)审核整改:根据现场审核提出的整改项,进行整改,准备整改资料、纠正措施资料,并提交审核通过后,取得证书。预计2周。
兴原认证中心是经国家认证认可监督管理(CNCA)批准,中国合格评定国家认可(CNAS)认可的具有核工业背景的第三方认证机构,可颁发带有IAF国际互认联合标识、CNAS认可标识的认证证书。1996年,“兴原质量认证中心”由原中国核工业总公司全额投资设立,“兴原”意指“振兴原子能”。自成立之初就确立了“立足核工业、服务全社会”的宗旨,积极履行“传递信任 服务发展”的责任,深耕行业二十五年,认证质量和规模协调发展,关键发展指标居认证行业前列,连续多年保持A级机构评级!兴原认证中心为中国认证认可协会理事单位;高新技术企业、中关村高新技术企业;核能行业协会理事单位;北京信用协会会员单位;中国节能协会碳交易产业联盟理事单位、碳中和服务工作组成员单位。通过多年的发展,兴原汇聚了近2000名的审核员、评审员及队伍组成的团队;形成了以北京总部为中心,下设2个事业部、7个分公司、9个工作站的市场布局;现有认证客户2万多家,涉及各行业,遍布国内外。