CCRC信息安全服務(wù)資質(zhì)申辦流程解讀
原isccc改名后ccrc認(rèn)證-隨著我國(guó)信息化和信息安全保障工作的不斷深入推進(jìn),以應(yīng)急處理、風(fēng)險(xiǎn)評(píng)估、災(zāi)難恢復(fù)、系統(tǒng)測(cè)評(píng)、安全運(yùn)維、安全審計(jì)、安全培訓(xùn)和安全咨詢等為主要內(nèi)容的信息安全服務(wù)在信息安全保障中的作用日益突出。
ccrc-信息安全服務(wù)資質(zhì)是信息安全服務(wù)機(jī)構(gòu)提供安全服務(wù)的一種資格,包括法律地位、資源狀況、管理水平、 技術(shù)能力等方面的要求。信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)國(guó)家法律法規(guī)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范,按照認(rèn)證基本規(guī)范及認(rèn)證規(guī)則,對(duì)提供信息安全服務(wù)機(jī)構(gòu)的信息安全服務(wù)資質(zhì)進(jìn)行評(píng)價(jià)。
通過(guò)對(duì)ccrc-信息安全服務(wù)分類分級(jí)的資質(zhì)認(rèn)證,可以對(duì)信息安全服務(wù)提供商的基本資格、管理能力、技術(shù)能力和服務(wù)過(guò)程能力等方面進(jìn)行權(quán)威、客觀、公正的評(píng)價(jià),證明其服務(wù)能力,滿足社會(huì)對(duì)服務(wù)的選擇需求。同時(shí),認(rèn)證過(guò)程也將有效促進(jìn)服務(wù)提供方完善自身管理體系,提高服務(wù)質(zhì)量和水平,引導(dǎo)行業(yè)健康規(guī)范發(fā)展。
流程如下:
自評(píng)估
組織在中國(guó)信息安全認(rèn)證中心網(wǎng)站信息安全服務(wù)資質(zhì)認(rèn)證自評(píng)估表-管理》=對(duì)應(yīng)的技術(shù)自評(píng)估表,并實(shí)施自評(píng)估。
認(rèn)定申請(qǐng)
組織信息安全服務(wù)資質(zhì)認(rèn)證程序、認(rèn)證實(shí)施規(guī)則中相關(guān)要求,確定申請(qǐng)服務(wù)資質(zhì)類別,并填寫《信息安全服務(wù)資質(zhì)認(rèn)證申請(qǐng)書》,組織向中國(guó)信息安全認(rèn)證中心提交《信息安全服務(wù)資質(zhì)認(rèn)證申請(qǐng)書》、《信息安全服務(wù)自評(píng)估表》及相關(guān)證明材料。
申請(qǐng)材料評(píng)審
中心依據(jù)認(rèn)證程序和相關(guān)標(biāo)準(zhǔn)要求,對(duì)申請(qǐng)組織提交的認(rèn)證相關(guān)材料進(jìn)行評(píng)審,并確定申報(bào)資質(zhì)類別和級(jí)別,簽訂認(rèn)證合同。
現(xiàn)場(chǎng)評(píng)審
認(rèn)證機(jī)構(gòu)組織評(píng)審組,依據(jù)相關(guān)標(biāo)準(zhǔn)和評(píng)審要求,到申請(qǐng)組織現(xiàn)場(chǎng)進(jìn)行評(píng)審,并出具現(xiàn)場(chǎng)評(píng)審報(bào)告。特別,對(duì)申請(qǐng)一級(jí)資質(zhì)認(rèn)證的組織,必要時(shí)選擇申請(qǐng)組織的客戶進(jìn)行項(xiàng)目實(shí)施現(xiàn)場(chǎng)見證。
現(xiàn)場(chǎng)驗(yàn)證符合要求后,認(rèn)證機(jī)構(gòu)組成評(píng)審組,依據(jù)相關(guān)標(biāo)準(zhǔn)和評(píng)審要求,到申請(qǐng)組織現(xiàn)場(chǎng)進(jìn)行評(píng)審,并出具現(xiàn)場(chǎng)評(píng)審報(bào)告。
認(rèn)證決定
認(rèn)證決定委員會(huì)由3名以上(含3名)認(rèn)證決定人員組成,作出認(rèn)證決定。
證書頒發(fā)
對(duì)于符合認(rèn)證要求的申請(qǐng)組織,頒發(fā)認(rèn)證證書,并予以公示。
認(rèn)證后監(jiān)督
證后監(jiān)督頻次和方式
對(duì)獲證組織實(shí)施監(jiān)督,每年度(不超過(guò)12個(gè)月)進(jìn)行一次監(jiān)督評(píng)審
當(dāng)獲得組織發(fā)生重大變更、事故或客戶投訴時(shí),可增加現(xiàn)場(chǎng)監(jiān)督評(píng)審的頻次。
證后監(jiān)督內(nèi)容
監(jiān)督評(píng)審除包括初次評(píng)審的內(nèi)容外,還應(yīng)對(duì)上一次評(píng)審中提出的觀察項(xiàng)所采取糾正/預(yù)防措施進(jìn)行驗(yàn)證。
監(jiān)督結(jié)論
對(duì)于通過(guò)監(jiān)督評(píng)審的獲證組織,做出維持認(rèn)證證書有效的決定;否則,暫停或撤銷其認(rèn)證證書。
信息通報(bào)
為確保獲證組織的安全服務(wù)能力持續(xù)有效,獲證組織應(yīng)建立信息通報(bào)渠道,及時(shí)報(bào)告以下信息:
組織機(jī)構(gòu)變更信息
安全事故、客戶投訴信息
其他重要信息
