隨著我國信息化和信息安全保障工作的不斷深入推進���,以應急處理�����、風險評估�����、信息系統安全集成��、災難備份與恢復��、軟件開發�����、安全運維為主要內容的信息安全服務在信息安全保障中的作用日益突出���。加強和規范信息安全服務資質管理已成為信息安全管理的重要基礎性工作��。
通過對信息安全服務分類分級的資質認證���,可以對信息安全服務提供商的基本資格��、管理能力��、技術能力和服務過程能力等方面進行權威���、客觀���、公正的評價��,證明其服務能力�����,滿足社會對服務的選擇需求�����。同時�����,認證過程也將有效促進服務提供方完善自身管理體系���,提高服務質量和水平�����,引導行業健康規范發展���。
一��、CCRC信息安全服務資質認證的基本環節
①認證申請與受理�����;
②文檔審核���;
③現場審核��;
④認證決定���;
⑤年度監督審核��。
二���、CCRC信息安全服務資質認證的申請資料
初次申請服務資質認證時���,申請單位應填寫認證申請書�����,并提交資格�����、能力方面的證明材料���。申請材料通常包括:
①服務資質認證申請書��;
②獨立法人資格證明材料��;
③從事信息安全服務的相關資質證明���;
④工作保密制度及相應組織監管體系的證明材料�����;
⑤與信息安全風險評估服務人員簽訂的保密協議復印件�����;
⑥人員構成與素質證明材料�����;
⑦公司組織結構證明材料��;
⑧具備固定辦公場所的證明材料��;
⑨項目管理制度文檔��;
⑩信息安全服務質量管理文件�����;
?項目案例及業績證明材料��;
?信息安全服務能力證明材料等���。
三�����、CCRC信息安全服務資質認證依據
對特定類別的信息安全服務��,有具體的評價標準��。例如�����,信息安全應急處理服務資質認證的依據是《網絡與信息安全應急處理服務資質評估方法》(YD/T 1799-2008)�����,信息安全風險評估服務資質認證的依據是《信息安全技術 信息安全風險評估規范》(GB/T 20984-2007)與《信息安全風險評估服務資質認證實施規則》(ISCCC-SV-002)��。
四��、CCRC信息安全服務資質認證的8大認證分項
CCRC信息安全服務資質包含8大認證分項���,即信息系統安全集成服務資質認證�����、安全運維服務資質認證��、風險評估服務資質認證��、應急處理服務資質認證��、軟件安全開發服務資質認證��、信息系統災難備份與恢復服務資質認證���、工業控制安全服務資質認證��、網絡安全審計服務資質認證��。
