CCRC信息安全服務(wù)資質(zhì)申辦流程解讀
原isccc改名后ccrc認(rèn)證-隨著我國信息化和信息安全保障工作的不斷深入推進(jìn),以應(yīng)急處理、風(fēng)險(xiǎn)評估、災(zāi)難恢復(fù)、系統(tǒng)測評、安全運(yùn)維、安全審計(jì)、安全培訓(xùn)和安全咨詢等為主要內(nèi)容的信息安全服務(wù)在信息安全保障中的作用日益突出。
ccrc-信息安全服務(wù)資質(zhì)是信息安全服務(wù)機(jī)構(gòu)提供安全服務(wù)的一種資格,包括法律地位、資源狀況、管理水平、 技術(shù)能力等方面的要求。信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)國家法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范,按照認(rèn)證基本規(guī)范及認(rèn)證規(guī)則,對提供信息安全服務(wù)機(jī)構(gòu)的信息安全服務(wù)資質(zhì)進(jìn)行評價(jià)。
通過對ccrc-信息安全服務(wù)分類分級的資質(zhì)認(rèn)證,可以對信息安全服務(wù)提供商的基本資格、管理能力、技術(shù)能力和服務(wù)過程能力等方面進(jìn)行權(quán)威、客觀、公正的評價(jià),證明其服務(wù)能力,滿足社會對服務(wù)的選擇需求。同時(shí),認(rèn)證過程也將有效促進(jìn)服務(wù)提供方完善自身管理體系,提高服務(wù)質(zhì)量和水平,引導(dǎo)行業(yè)健康規(guī)范發(fā)展。
流程如下:
自評估
組織在中國信息安全認(rèn)證中心網(wǎng)站信息安全服務(wù)資質(zhì)認(rèn)證自評估表-管理》=對應(yīng)的技術(shù)自評估表,并實(shí)施自評估。
認(rèn)定申請
組織信息安全服務(wù)資質(zhì)認(rèn)證程序、認(rèn)證實(shí)施規(guī)則中相關(guān)要求,確定申請服務(wù)資質(zhì)類別,并填寫《信息安全服務(wù)資質(zhì)認(rèn)證申請書》,組織向中國信息安全認(rèn)證中心提交《信息安全服務(wù)資質(zhì)認(rèn)證申請書》、《信息安全服務(wù)自評估表》及相關(guān)證明材料。
申請材料評審
中心依據(jù)認(rèn)證程序和相關(guān)標(biāo)準(zhǔn)要求,對申請組織提交的認(rèn)證相關(guān)材料進(jìn)行評審,并確定申報(bào)資質(zhì)類別和級別,簽訂認(rèn)證合同。
現(xiàn)場評審
認(rèn)證機(jī)構(gòu)組織評審組,依據(jù)相關(guān)標(biāo)準(zhǔn)和評審要求,到申請組織現(xiàn)場進(jìn)行評審,并出具現(xiàn)場評審報(bào)告。特別,對申請一級資質(zhì)認(rèn)證的組織,必要時(shí)選擇申請組織的客戶進(jìn)行項(xiàng)目實(shí)施現(xiàn)場見證。
現(xiàn)場驗(yàn)證符合要求后,認(rèn)證機(jī)構(gòu)組成評審組,依據(jù)相關(guān)標(biāo)準(zhǔn)和評審要求,到申請組織現(xiàn)場進(jìn)行評審,并出具現(xiàn)場評審報(bào)告。
認(rèn)證決定
認(rèn)證決定委員會由3名以上(含3名)認(rèn)證決定人員組成,作出認(rèn)證決定。
證書頒發(fā)
對于符合認(rèn)證要求的申請組織,頒發(fā)認(rèn)證證書,并予以公示。
認(rèn)證后監(jiān)督
證后監(jiān)督頻次和方式
對獲證組織實(shí)施監(jiān)督,每年度(不超過12個(gè)月)進(jìn)行一次監(jiān)督評審
當(dāng)獲得組織發(fā)生重大變更、事故或客戶投訴時(shí),可增加現(xiàn)場監(jiān)督評審的頻次。
證后監(jiān)督內(nèi)容
監(jiān)督評審除包括初次評審的內(nèi)容外,還應(yīng)對上一次評審中提出的觀察項(xiàng)所采取糾正/預(yù)防措施進(jìn)行驗(yàn)證。
監(jiān)督結(jié)論
對于通過監(jiān)督評審的獲證組織,做出維持認(rèn)證證書有效的決定;否則,暫停或撤銷其認(rèn)證證書。
信息通報(bào)
為確保獲證組織的安全服務(wù)能力持續(xù)有效,獲證組織應(yīng)建立信息通報(bào)渠道,及時(shí)報(bào)告以下信息:
組織機(jī)構(gòu)變更信息
安全事故、客戶投訴信息
其他重要信息
