昆明濼溪商務(wù)信息咨詢有限公司-濼溪商務(wù)一站式科技服務(wù)平臺(tái)
聯(lián)系人二維碼
官方小程序
協(xié)會(huì)二維碼
聯(lián)系人二維碼
官方小程序
協(xié)會(huì)二維碼
信息安全服務(wù)資質(zhì)認(rèn)證證書(CCRC)簡(jiǎn)介 一、項(xiàng)目名稱:信息安全服務(wù)資質(zhì)認(rèn)證證書(簡(jiǎn)稱:CCRC)二、發(fā)證單位:中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心三、證書模板四、項(xiàng)目簡(jiǎn)介CCRC在IT行業(yè)中,一般辦理較多的為六大方向,安全集成服務(wù)、安全運(yùn)維服務(wù)、風(fēng)險(xiǎn)評(píng)估服務(wù)、應(yīng)急處理服務(wù)、…
詳情
信息安全服務(wù)資質(zhì)認(rèn)證證書(CCRC)簡(jiǎn)介
一、項(xiàng)目名稱:信息安全服務(wù)資質(zhì)認(rèn)證證書(簡(jiǎn)稱:CCRC)
二、發(fā)證單位:中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心
三、證書模板
四、項(xiàng)目簡(jiǎn)介
CCRC在IT行業(yè)中,一般辦理較多的為六大方向,安全集成服務(wù)、安全運(yùn)維服務(wù)、風(fēng)險(xiǎn)評(píng)估服務(wù)、應(yīng)急處理服務(wù)、軟件安全開發(fā)服務(wù)、災(zāi)難備份與恢復(fù)服務(wù)。
(一)安全集成服務(wù)
信息系統(tǒng)安全集成服務(wù)是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計(jì)、建設(shè)實(shí)施、安全保證的活動(dòng)。
信息系統(tǒng)安全集成包括在新建信息系統(tǒng)的結(jié)構(gòu)化設(shè)計(jì)中考慮信息安全保證因素,從而使建設(shè)完成后的信息系統(tǒng)滿足建設(shè)方或使用方的安全需求而開展的活動(dòng)。也包括在已有信息系統(tǒng)的基礎(chǔ)上額外增加信息安全子系統(tǒng)或信息安全設(shè)備等,通常被稱為安全優(yōu)化或安全加固。
(二)安全運(yùn)維服務(wù)
信息系統(tǒng)安全集成服務(wù)是指通過技術(shù)設(shè)施安全評(píng)估,技術(shù)設(shè)施安全加固,安全漏洞補(bǔ)丁通告、安全事件響應(yīng)以及信息安全運(yùn)維咨詢,協(xié)助組織的信息系統(tǒng)管理人員進(jìn)行信息系統(tǒng)的安全運(yùn)維工作,以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)中所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時(shí)加以響應(yīng)。
(三)軟件安全開發(fā)服務(wù)
通過對(duì)軟件開發(fā)過程的控制,將開發(fā)的軟件存在的風(fēng)險(xiǎn)控制在可接受的水平。軟件安全開發(fā)資質(zhì)認(rèn)證是對(duì)軟件開發(fā)方的基本資格、管理能力、技術(shù)能力和軟件安全過程能力等方面進(jìn)行評(píng)價(jià)。安全軟件開發(fā)服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供方的軟件安全開發(fā)服務(wù)資格和能力的尺度。
(四)應(yīng)急處理服務(wù)
信息安全應(yīng)急處理服務(wù)是通過制定應(yīng)急計(jì)劃使得影響網(wǎng)絡(luò)與信息系統(tǒng)安全的安全事件能夠得到及時(shí)響應(yīng),并在安全事件一旦發(fā)生后進(jìn)行標(biāo)識(shí)、記錄、分類和處理,直到受影響的業(yè)務(wù)恢復(fù)正常運(yùn)行的過程。應(yīng)急處理服務(wù)是保障業(yè)務(wù)連續(xù)性的重要手段之一,它涵蓋了在安全事件發(fā)生后為了維持和恢復(fù)關(guān)鍵業(yè)務(wù)所進(jìn)行的系列活動(dòng)。
(五)風(fēng)險(xiǎn)評(píng)估服務(wù)
信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié),貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程。服務(wù)提供者通過對(duì)信息系統(tǒng)提供風(fēng)險(xiǎn)評(píng)估服務(wù),系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和安全整改措施,防范和消除信息安全風(fēng)險(xiǎn),或?qū)L(fēng)險(xiǎn)控制在可接受的水平,為網(wǎng)絡(luò)和信息安全保障提供科學(xué)依據(jù)。
(六)災(zāi)難備份與恢復(fù)服務(wù)
信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)是將信息系統(tǒng)的數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運(yùn)行管理能力進(jìn)行備份,并在災(zāi)難發(fā)生時(shí),將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài),將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài),而設(shè)計(jì)和提供的活動(dòng)。
目前,云南省市場(chǎng)內(nèi)的IT企業(yè)做安全集成服務(wù)、安全運(yùn)維服務(wù)和軟件安全開發(fā)服務(wù)三項(xiàng)業(yè)務(wù)的較多。
五、證書級(jí)別的劃分
該證書劃分為三個(gè)級(jí)別,等級(jí)從低到高分別為三級(jí)、二級(jí)、一級(jí)。
六、三級(jí)證書的申請(qǐng)條件
(一)法律地位要求
在中華人民共和國(guó)境內(nèi)注冊(cè)的獨(dú)立法人組織,發(fā)展歷程清晰,產(chǎn)權(quán)關(guān)系明確。遵循國(guó)家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求,無違法違規(guī)記錄。
(二)財(cái)務(wù)資信要求
提供本單位出具的近3年財(cái)務(wù)報(bào)表。
辦公場(chǎng)所要求:擁有長(zhǎng)期固定辦公場(chǎng)所和相適應(yīng)的辦公條件,能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。
(三)人員要求
組織負(fù)責(zé)人信息技術(shù)管理領(lǐng)域經(jīng)歷2年以上;
技術(shù)負(fù)責(zé)人:技術(shù)負(fù)責(zé)人具備信息安全服務(wù)(與申報(bào)類別一致)技術(shù)能力,經(jīng)考核合格或通過專業(yè)認(rèn)證;
項(xiàng)目負(fù)責(zé)人:項(xiàng)目負(fù)責(zé)人、項(xiàng)目工程師具備信息安全服務(wù)(與申報(bào)類別一致)管理能力,經(jīng)考核合格或通過專業(yè)認(rèn)證;
信息安全保障人員:2名以上(與申報(bào)類別一致)。(需參加中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的培訓(xùn)并通過考試)
(三)業(yè)績(jī)要求(與申報(bào)類別一致)
需提供公司簽訂的首個(gè)信息安全服務(wù)項(xiàng)目合同,時(shí)間要求在4個(gè)月以上。
(四)服務(wù)管理要求
1、建立并運(yùn)行人員管理程序,識(shí)別安全服務(wù)人員的服務(wù)能力要求,明確安全服務(wù)人員的崗位職責(zé)、技術(shù)能力要求,并通過評(píng)價(jià)證明其能夠勝任其承擔(dān)的職責(zé);
2、制定服務(wù)人員能力培養(yǎng)計(jì)劃,包括網(wǎng)絡(luò)與信息安全相關(guān)的技術(shù)、技能、管理、意識(shí)等內(nèi)容,并執(zhí)行計(jì)劃,確保服務(wù)人員持續(xù)勝任其承擔(dān)的職責(zé);
3、建立文檔管理程序,包括組織管理、服務(wù)過程管理、質(zhì)量管理等內(nèi)容,明確項(xiàng)目產(chǎn)生、發(fā)布、保存、傳輸、使用(包括交付和內(nèi)部使用)、廢棄等環(huán)節(jié)的文檔控制;
4、建立并運(yùn)行項(xiàng)目管理程序,明確服務(wù)項(xiàng)目的組織、計(jì)劃、實(shí)施、風(fēng)險(xiǎn)控制、交付等環(huán)節(jié)的操作規(guī)程;
5、建立并運(yùn)行保密管理程序,明確崗位保密責(zé)任,簽訂保密協(xié)議,并能夠適時(shí)對(duì)相關(guān)人員進(jìn)行保密教育;
6、建立與運(yùn)行供應(yīng)商管理程序,確保其供應(yīng)商滿足服務(wù)安全要求;
7、建立合同管理程序,制定統(tǒng)一合同模板,按照合同約定實(shí)施信息安全服務(wù)項(xiàng)目。按照客戶要求,對(duì)于接觸到的客戶敏感信息和知識(shí)產(chǎn)權(quán)信息予以保護(hù),并確保服務(wù)方人員了解客戶的相關(guān)要求;
(五)技術(shù)服務(wù)要求
制定信息安全服務(wù)(與申報(bào)類別一致)流程,流程圖中應(yīng)包括每個(gè)階段對(duì)應(yīng)的職責(zé)、輸入輸出等;
制定信息安全服務(wù)(與申報(bào)類別一致)要求的規(guī)范標(biāo)準(zhǔn),并按照規(guī)范實(shí)施。
七、證書申請(qǐng)的其它條件
安全集成服務(wù):提供安全集成類項(xiàng)目全套過程資料;
安全運(yùn)維服務(wù):提供安全運(yùn)維類項(xiàng)目全套過程資料;有運(yùn)維場(chǎng)地可供評(píng)審老師現(xiàn)場(chǎng)參觀。
軟件安全開發(fā)服務(wù):提供軟件開發(fā)類項(xiàng)目全套過程資料;有軟件開發(fā)團(tuán)隊(duì),具備一定軟件開發(fā)實(shí)力。
風(fēng)險(xiǎn)評(píng)估服務(wù):提供風(fēng)險(xiǎn)評(píng)估類項(xiàng)目全套過程資料;能提供相關(guān)業(yè)務(wù)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的漏洞掃描報(bào)告。
應(yīng)急處理服務(wù):提供應(yīng)急處理類(或運(yùn)維類)項(xiàng)目全套過程資料。
八、證書有效期
有效期為三年,三年到期重新申請(qǐng)。
每年進(jìn)行監(jiān)督審核。
九、申報(bào)流程和周期
1、申報(bào)周期:3-6個(gè)月,具體時(shí)間以管理部門為準(zhǔn)。
2、申報(bào)流程如下:
簽訂合同——資料收集審核及編制——提交評(píng)審機(jī)構(gòu)——現(xiàn)場(chǎng)審核——不符合項(xiàng)整改——資料復(fù)審——領(lǐng)取證書。
十、涉及的人員證書
CISAW信息安全人員(安全集成方向)
CISAW信息安全人員(安全運(yùn)維方向)
CISAW信息安全人員(風(fēng)險(xiǎn)管理方向)
CISAW信息安全人員(應(yīng)急處理方向)
CISAW信息安全人員(安全軟件方向)
4-信息安全服務(wù)資質(zhì)自評(píng)估表填寫規(guī)范.pdf
下載
3-信息安全服務(wù)資質(zhì)現(xiàn)場(chǎng)監(jiān)督審核流程圖.pdf
下載
2-信息安全服務(wù)資質(zhì)認(rèn)證實(shí)施細(xì)則.pdf
下載
1-信息安全服務(wù)規(guī)范.pdf
下載
Copyright ? 2022 昆明濼溪商務(wù)信息咨詢有限公司 | 地址:昆明市五華區(qū)東風(fēng)西路123號(hào)三合商利寫字樓13樓D座 電話:0871-63855889 滇ICP備2021008526號(hào)
