最近,CCRC、ISCC、信息安全服务资格非常多,关键词多的是“CCRC是什么?“ISCCC改名CCRC了吗?“ISCC认证价值大吗?这样的问题。今天的小Q-ing让我们普及一下CCRC。
1.CCRC概念信息安全服务资质是信息安全服务机构提供安全服务的资质,包括法律地位、资源状况、管理水平、技术能力等要求。信息安全服务资质认证是根据国家法律法规、国家标准、行业标准和技术规范,根据认证的基本规范和认证规则,评价提供信息安全服务机构的信息安全服务资格。信息安全服务资质等级分为一级、二级、三级共三个等级,其中一级最高、三级最低。分为安全整合、安全运输、紧急处理、风险评估、灾害备份和恢复、安全软件开发、网络安全审计、工业控制系统安全8个不同方向。申请人可以根据自己的业务需求申请相应的方向。
通过对信息安全服务分类等级的资质认证,可以对信息安全服务提供商的基本资质、管理能力、技术能力和服务流程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。同时,认证流程也将有效促进服务提供商完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
CCRC的类别。
CCRC认证周期和流程。
一级/二级认证周期一般为12周,三级认证周期为4周。
认证周期包括申请正式受理之日起至发放认证证书时间的实际发生时间,不包括申请人准备或补充资料的时间。
证书管理。
证书状态:有效、暂停、撤销。
证书暂停的情况(最长3个月):
1)认证组织的服务管理不断或严重满足认证要求
2)逾期未按规定接受监督审查
3)违反使用认证证书,没有不良影响
4)监督审查有严重不符的项目
5)证券组织自愿要求暂停
6)其他需要暂停证书的情况。
引起取消的情况:
1)逾期三个月未按规定接受监督审查的;
2)证书暂停期间,未在规定时间内完成整改,通过验证
3)违反使用认证证书,产生不良影响
4)获得证据的组织发生重大责任事故,被投诉验证,影响继续有效提供服务
5)认证组织因自身原因不维持证书,可提出取消认证证证书的申请
6)其他需要取消证书的情况。
年度审查监督1)单位名称变更、注册地址变更,可提交证书变更申请(随时申请)2)异地监督审查,提供监督审查通知书的发票,相应的专业方向自我评价表,公共管理部分上年度发行的不符合和观察项目的整改状况
3)现场监督,全要素审查,重点关注上年度发行的不符合和观察项目。
获得证书后的监督审查周期。
1)每年需要监督审查,2个月前提交监督审查通知书的收据和自我评价表(系统3个月前发出邮件通知)
2)原则上证后第一年监督审查现场审查
3)在可以控制认证风险的情况下,原则上证明的第二年是非现场审查,第三年是现场审查,以此类推
4)如果有影响认证的有效性,增加现场审查的频率和部分项目的审查力。
现场监督审查项目的数量。
三级/二级/一级申请人在近一年内签订,至少完成一个/两个/两个信息安全服务(与申报类别一致)项目的一套资料。
