原ISCCC改名后CCRC认证-随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。
CCRC-信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。
通过对CCRC-信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
流程如下:
自评估
组织在中国信息安全认证中心网站信息安全服务资质认证自评估表-管理》=对应的技术自评估表,并实施自评估。
认定申请
组织信息安全服务资质认证程序、认证实施规则中相关要求,确定申请服务资质类别,并填写《信息安全服务资质认证申请书》,组织向中国信息安全认证中心提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料。
申请材料评审
中心依据认证程序和相关标准要求,对申请组织提交的认证相关材料进行评审,并确定申报资质类别和级别,签订认证合同。
现场评审
认证机构组织评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。特别,对申请一级资质认证的组织,必要时选择申请组织的客户进行项目实施现场见证。
现场验证符合要求后,认证机构组成评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。
认证决定
认证决定委员会由3名以上(含3名)认证决定人员组成,作出认证决定。
证书颁发
对于符合认证要求的申请组织,颁发认证证书,并予以公示。
认证后监督
证后监督频次和方式
对获证组织实施监督,每年度(不超过12个月)进行一次监督评审
当获得组织发生重大变更、事故或客户投诉时,可增加现场监督评审的频次。
证后监督内容
监督评审除包括初次评审的内容外,还应对上一次评审中提出的观察项所采取纠正/预防措施进行验证。
监督结论
对于通过监督评审的获证组织,做出维持认证证书有效的决定;否则,暂停或撤销其认证证书。
信息通报
为确保获证组织的安全服务能力持续有效,获证组织应建立信息通报渠道,及时报告以下信息:
组织机构变更信息
安全事故、客户投诉信息
其他重要信息
