近年來,我國信息化和信息安全保障工作的不斷深化,以應急處理、風險評估、災難恢復、系統測評、安全運維、安全審計、安全培訓和安全咨詢等為主要內容的信息安全服務在信息安全保障中的作用日益突出。加強和規范信息安全服務資質管理已成為信息安全管理的重要基礎性工作。
CCRC信息安全服務資質是市場上通行的服務資質認證的統稱,目前發證量最多、應用最廣、業內認可度較高的發證機構是中國網絡安全審查技術與認證中心(英文縮寫為:CCRC;曾用名:ISCCC),該機構是是依據《國家網絡安全法》和國家有關強制性產品認證、網絡安全管理法規,負責實施網絡安全審查和認證的正司局級事業單位,在業務上接受中央網信辦指導。
認證依據 CCRC 對特定類別的信息安全服務,有具體的評價標準。例如,信息安全應急處理服務資質認證的依據是《網絡與信息安全應急處理服務資質評估方法》(YD/T 1799-2008),信息安全風險評估服務資質認證的依據是《信息安全技術 信息安全風險評估規范》(GB/T 20984-2007)與《信息安全風險評估服務資質認證實施規則》(ISCCC-SV-002)。
認證模式 CCRC 初次認證+獲證后監督
認證級別 CCRC 信息安全服務認證級別分為一級、二級、三級,其中一級為最高級別。企業首次最高可以申請二級。
認證基本環節 CCRC 1) 認證申請及受理 2) 文件審核 3) 現場審核 4) 結果評價與決定 5) 獲證后監督
CCRC安全服務資質分類 CCRC 該資質共7個單項(2021年11月份由8個調整為7個),具體分類如下:
信息系統安全集成 安全集成服務是指從事計算機應用系統工程和網絡系統工程的安全需求界定、安全設計、建設實施、安全保證的活動。 信息系統安全運維 信息系統安全運維服務是指通過技術設施安全評估,技術設施安全加固,安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢,協助組織的信息系統管理人員進行信息系統的安全運維的工作。 信息安全風險評估 通過系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和安全整改措施,防范和消除信息安全風險,或將風險控制在可接受的水平。 信息安全應急處理 通過制定應急計劃使得影響網絡與信息系統安全的安全事件能夠得到及時響應,并在安全事件一旦發生后進行標識、記錄、分類和處理,直到受影響的業務恢復正常運行的過程。 信息安全風險評估 將開發的軟件存在的風險控制在可接受的水平。軟件安全開發資質認證是對軟件開發方的基本資格、管理能力、技術能力和軟件安全過程能力等方面進行評價。安全軟件開發服務資質級別是衡量服務提供方的軟件安全開發服務資格和能力的尺度。 信息系統災難備份與恢復 將信息系統的數據、數據處理系統、網絡系統、基礎設施、專業技術支持能力和運行管理能力進行備份,并在災難發生時,將其恢復到可正常運行狀態,使支持的業務功能從災難造成的不正常狀態恢復到可接受狀態,而設計和提供的活動。 網絡安全審計 網絡安全審計機構對被審計方所屬的計算機信息系統的安全性、可靠性和經濟性進行檢查、監督,通過獲取審計證據并對其進行客觀評價所開展的系統的、獨立的、形成文件的活動。
燃氣用鋁合金襯塑PE管" width="160" height="152">
鋁合金襯PE-RT" width="160" height="152">
