关键词 |
CCRC信息安全服务资质认证 |
面向地区 |
信息安全风险评估是信息安全保障的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,防范和消除信息安全风险,或将风险控制在可接受的水平,为网络和信息安全保障提供科学依据。信息安全风险评估服务资质级别是衡量服务提供者服务能力的尺度。风险评估服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、风险评估服务的经验等综合评定。对服务提供方的背景审查主要指客户投诉、违法违纪行为等;服务人员的背景审查主要指行业主管部门或使用单位对从事风险评估服务的人员进行必要的审查。
通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全运维等类别的信息安全服务认证评价,均分为三个级别,其中高。申请资质时,要求需要取得信息安全服务(与申报类别一致)二级资质1 年以上。(行业企业除外)。
获证后的监督审核周期
(1)每年均需监督审核,提前2个月提交监督审核通知单回执及自评价表(系统提前3个月邮件通知);
(2)原则上证后第1年监督审核为现场审核;
(3)在认证风险可控的情况下,原则上证后第2年为非现场审核,第3年为现场审核,以此类推;
(4)若存在影响认证有效性的情况,增加现场审核的频度与部分项的审核力度。
————— 认证资质 —————
徐州本地CCRC信息安全服务资质认证热销信息
