| CCRC信息安全服務(wù)資質(zhì) |
| 新聞類(lèi)別: 行業(yè)動(dòng)態(tài) 瀏覽量:6489 |
01 資質(zhì)概念
信息安全服務(wù)資質(zhì)是對信息系統安全服務(wù)的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)和能力,以及其穩定性、可靠性進(jìn)行評估,并依據公開(kāi)的標準和程序,對其安全服務(wù)保障能力進(jìn)行認證的過(guò)程。
02 資質(zhì)級別
信息安全服務(wù)資質(zhì)級別分為一級、二級、三級,其中一級最高,三級最低。資質(zhì)級別是衡量服務(wù)提供者服務(wù)能力的尺度。
03 認證意義
1、是企業(yè)能力獲得第三方權威機構認證認可的依據; 2、是需方選擇的依據,可以提高需方對服務(wù)商的信任度; 3、規范管理與技術(shù),提高客戶(hù)滿(mǎn)意度; 4、拓寬企業(yè)的業(yè)務(wù)范圍,獲得更多業(yè)務(wù)機會(huì )。
04 認證類(lèi)別
(1)安全集成服務(wù)資質(zhì) 信息系統安全集成服務(wù)是指從事計算機應用系統工程和網(wǎng)絡(luò )系統工程的安全需求界定、安全設計、建設實(shí)施、安全保證的活動(dòng)。
安全集成服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現:基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力;服務(wù)人員的能力主要從掌握的知識、安全集成服務(wù)的經(jīng)驗等綜合評定。
(2)安全運維服務(wù)資質(zhì) 通過(guò)技術(shù)設施安全評估,技術(shù)設施安全加固,安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢(xún),協(xié)助組織的信息系統管理人員進(jìn)行信息系統的安全運維工作,以發(fā)現并修復信息系統中所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時(shí)加以響應。
安全運維資質(zhì)認證是對安全運維服務(wù)方的基本資格、管理能力、技術(shù)能力和安全運維過(guò)程能力等方面進(jìn)行評價(jià)。
(3)風(fēng)險評估服務(wù)資質(zhì) 信息安全風(fēng)險評估是信息安全保障的基礎性工作和重要環(huán)節,貫穿于網(wǎng)絡(luò )和信息系統建設運行的全過(guò)程。
風(fēng)險評估服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現:基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力;服務(wù)人員的能力主要從掌握的知識、風(fēng)險評估服務(wù)的經(jīng)驗等綜合評定。
(4)應急服務(wù)資質(zhì) 信息安全應急處理服務(wù)是通過(guò)制定應急計劃使得影響網(wǎng)絡(luò )與信息系統安全的安全事件能夠得到及時(shí)響應,并在安全事件一旦發(fā)生后進(jìn)行標識、記錄、分類(lèi)和處理,直到受影響的業(yè)務(wù)恢復正常運行的過(guò)程。應急處理服務(wù)是保障業(yè)務(wù)連續性的重要手段之一,它涵蓋了在安全事件發(fā)生后為了維持和恢復關(guān)鍵業(yè)務(wù)所進(jìn)行的系列活動(dòng)。
信息安全應急處理服務(wù)資質(zhì)認證是對應急處理服務(wù)提供方的基本資格、管理能力、技術(shù)能力和應急處理服務(wù)過(guò)程能力等方面進(jìn)行評價(jià)。
(5)軟件安全開(kāi)發(fā)服務(wù)資質(zhì) 通過(guò)對軟件開(kāi)發(fā)過(guò)程的控制,將開(kāi)發(fā)的軟件存在的風(fēng)險控制在可接受的水平。
軟件安全開(kāi)發(fā)資質(zhì)認證是對軟件開(kāi)發(fā)方的基本資格、管理能力、技術(shù)能力和軟件安全過(guò)程能力等方面進(jìn)行評價(jià)。
(6)信息系統災難備份與恢復服務(wù)資質(zhì) 信息系統災難備份與恢復服務(wù)是將信息系統的數據、數據處理系統、網(wǎng)絡(luò )系統、基礎設施、專(zhuān)業(yè)技術(shù)支持能力和運行管理能力進(jìn)行備份,并在災難發(fā)生時(shí),將信息系統從災難造成的故障或癱瘓狀態(tài)恢復到可正常運行狀態(tài),將其支持的業(yè)務(wù)功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài),而設計和提供的活動(dòng)。
(7)工業(yè)控制安全服務(wù)資質(zhì) 工業(yè)控制系統安全服務(wù)圍繞提升工業(yè)控制系統的高可用性和業(yè)務(wù)連續性,提升功能安全、物理安全和信息安全的保障能力為目標,涉及工業(yè)控制系統設計、建設、運維和技改各個(gè)階段,主要包括系統集成、系統運維、應急處理、風(fēng)險評估等工業(yè)控制系統安全服務(wù),形成系統的、獨立的、形成文件的過(guò)程。
工業(yè)控制系統安全服務(wù)資質(zhì)認證是對工業(yè)控制系統安全服務(wù)方的基本資格、管理能力、技術(shù)能力和工業(yè)控制系統安全服務(wù)過(guò)程能力等方面進(jìn)行評價(jià)。
(8)網(wǎng)絡(luò )安全審計服務(wù)資質(zhì)認證 網(wǎng)絡(luò )安全審計是指網(wǎng)絡(luò )安全審計機構對被審計方所屬的計算機信息系統的安全性、可靠性和經(jīng)濟性進(jìn)行檢查、監督,通過(guò)獲取審計證據并對其進(jìn)行客觀(guān)評價(jià)所開(kāi)展的系統的、獨立的、形成文件的活動(dòng)。
網(wǎng)絡(luò )安全審計服務(wù)資質(zhì)認證是對網(wǎng)絡(luò )安全審計服務(wù)方的基本資格、管理能力、技術(shù)能力和網(wǎng)絡(luò )安全審計過(guò)程能力等方面進(jìn)行評價(jià)。
05 認證依據
對特定類(lèi)別的信息安全服務(wù),有具體的評價(jià)標準。例如,信息安全應急處理服務(wù)資質(zhì)認證的依據是《網(wǎng)絡(luò )與信息安全應急處理服務(wù)資質(zhì)評估方法》(YD/T 1799-2008),信息安全風(fēng)險評估服務(wù)資質(zhì)認證的依據是《信息安全技術(shù) 信息安全風(fēng)險評估規范》(GB/T 20984-2007)與《信息安全風(fēng)險評估服務(wù)資質(zhì)認證實(shí)施規則》(ISCCC-SV-002)。
06 通用要求
通用評價(jià)要求適用于風(fēng)險評估、安全集成、應急處理、災難備份與恢復、軟件安全開(kāi)發(fā)、安全運維等類(lèi)別的信息安全服務(wù)認證評價(jià),均分為三個(gè)級別。
申請一級資質(zhì)時(shí),要求需要取得信息安全服務(wù)(與申報類(lèi)別一致)二級資質(zhì)1 年以上。(行業(yè)領(lǐng)頭企業(yè)除外)。
07 認證流程
認證的基本環(huán)節:認證申請與受理—文檔審核—現場(chǎng)審核—認證決定—年度監督審核。
認證周期一般是10周,包括自申請被正式受理之日起至頒發(fā)認證證書(shū)時(shí)止所實(shí)際發(fā)生的時(shí)間,不包括由于申請單位準備或補充材料的時(shí)間。
|
