近年來,我國信息化和信息安全保障工作的不斷深化,以應急處理、風險評估、災難恢復、系統測評、安全運維、安全審計、安全培訓和安全咨詢等為主要內容的信息安全服務在信息安全保障中的作用日益突出。加強和規范信息安全服務資質管理已成為信息安全管理的重要基礎性工作。
CCRC信息安全服務資質是市場上通行的服務資質認證的統稱,目前發證量最多、應用最廣、業內認可度較高的發證機構是中國網絡安全審查技術與認證中心(英文縮寫為:CCRC;曾用名:ISCCC),該機構是是依據《國家網絡安全法》和國家有關強制性產品認證、網絡安全管理法規,負責實施網絡安全審查和認證的正司局級事業單位,在業務上接受中央網信辦指導。
對特定類別的信息安全服務,有具體的評價標準。例如,信息安全應急處理服務資質認證的依據是《網絡與信息安全應急處理服務資質評估方法》(YD/T 1799-2008),信息安全風險評估服務資質認證的依據是《信息安全技術 信息安全風險評估規范》(GB/T 20984-2007)與《信息安全風險評估服務資質認證實施規則》(ISCCC-SV-002)。
認證模式:初次認證+獲證后監督
認證級別
信息安全服務認證級別分為一級、二級、三級,其中一級為最高級別。企業首次最高可以申請二級。
認證基本環節
1) 認證申請及受理
2) 文件審核
3) 現場審核
4) 結果評價與決定
5) 獲證后監督
CCRC安全服務資質分類
該資質共7個單項(2021年11月份由8個調整為7個),具體分類如下:
信息系統安全集成
01安全集成服務是指從事計算機應用系統工程和網絡系統工程的安全需求界定、安全設計、建設實施、安全保證的活動。
信息系統安全運維
02信息系統安全運維服務是指通過技術設施安全評估,技術設施安全加固,安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢,協助組織的信息系統管理人員進行信息系統的安全運維的工作。
信息安全風險評估
03通過系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和安全整改措施,防范和消除信息安全風險,或將風險控制在可接受的水平。
信息安全應急處理
04通過制定應急計劃使得影響網絡與信息系統安全的安全事件能夠得到及時響應,并在安全事件一旦發生后進行標識、記錄、分類和處理,直到受影響的業務恢復正常運行的過程。
信息安全風險評估
05將開發的軟件存在的風險控制在可接受的水平。軟件安全開發資質認證是對軟件開發方的基本資格、管理能力、技術能力和軟件安全過程能力等方面進行評價。安全軟件開發服務資質級別是衡量服務提供方的軟件安全開發服務資格和能力的尺度。
信息系統災難備份與恢復
06將信息系統的數據、數據處理系統、網絡系統、基礎設施、專業技術支持能力和運行管理能力進行備份,并在災難發生時,將其恢復到可正常運行狀態,使支持的業務功能從災難造成的不正常狀態恢復到可接受狀態,而設計和提供的活動。
網絡安全審計
07網絡安全審計機構對被審計方所屬的計算機信息系統的安全性、可靠性和經濟性進行檢查、監督,通過獲取審計證據并對其進行客觀評價所開展的系統的、獨立的、形成文件的活動。
資質申報流程
▲CCRC三級初次認證流程(以三級為例)
準備階段
· 企業根據自身實際情況確定需要申請的服務資質類型。
非現場審核及商務階段
*此階段工作應在三周內完成,
如需要企業補充材料,應在五周內完成
· 項目管理人員指派審核組長,協調審查員組建審核組;
· 審核組對申請企業提交的材料進行非現場審核,判斷機構目前提供的信息安全服務管理和技術能力是否符合信息安全服務規范的要求。
(符合要求的,審核組長在通知項目管理人員向申請單位發出受理通知書,編寫非現場審核報告,將審核材料提交中心進行認證決策;不符合要求的,審核組長通知企業重新提交補充材料,并對補充材料進行審核。)
認證決定階段
(此階段工作應在兩周內完成)
· 中心認證決定人員對審核組長提交的審核材料進行認證決定;如認證決定通過,則通知項目管理人員進行制證;如認證決定不通過,則通知企業不通過原因。
制證階段
(此階段工作應在一周內完成)
· 項目管理人員制作證書,并郵寄給申請組織。
(注:申請三級信息安全服務資質的組織,無論是否提交已實施完成并通過驗收的信息安全服務項目案例,只要通過認證決定,在第一次現場監督審核時,必須提供在該年度實施完成并通過驗收的信息安全服務項目案例。)