奧推網

選單
科技

資訊保安服務資質(CCRC)資質分類詳解

2021-08-01由 一城龍域 發表于 科技

資訊保安服務資質(CCRC)資質分類詳解

CCRC(原名ISCCC)資訊保安服務資質認證是中國網路安全審查技術與認證中心依據國家法律法規、國家標準、行業標準和技術規範,按照認證基本規範及認證規則,對提供資訊保安服務機構的資訊保安服務資質包括法律地位、資源狀況、管理水平、 技術能力等方面的要求進行評價。該資質共8個單項,每個單項分為一、二、三級(最低)。

隨著我國資訊化和資訊保安保障工作的不斷深入推進,以應急處理、風險評估、災難恢復、系統測評、安全運維、安全審計、安全培訓和安全諮詢等為主要內容的資訊保安服務在資訊保安保障中的作用日益突出。加強和規範資訊保安服務資質管理已成為資訊保安管理的重要基礎性工作。

1、安全整合類(一、二、三級,一級最高,三級最低)

2、安全運維類(一、二、三級,一級最高,三級最低)

3、風險評估類(一、二、三級,一級最高,三級最低)

4、應急處理類(一、二、三級,一級最高,三級最低。)

5、軟體安全開發類(一、二、三級,一級最高,三級最低)

6、災難備份與恢復類(一、二、三級,一級最高,三級最低。)

7、工業控制安全類(一、二、三級,一級最高,三級最低)

8、網路安全審計類(一、二、三級,一級最高,三級最低)

1、

資訊系統安全整合服務

是指從事計算機應用系統工程和網路系統工程的安全需求界定、安全設計、建設實施、安全保證的活動。資訊系統安全整合包括在新建資訊系統的結構化設計中考慮資訊保安保證因素,從而使建設完成後的資訊系統滿足建設方或使用方的安全需求而開展的活動。也包括在已有資訊系統的基礎上額外增加資訊保安子系統或資訊保安裝置等,通常被稱為安全最佳化或安全加固。

資訊系統安全整合服務資質級別是衡量服務提供者服務能力的尺度。安全整合服務提供方的服務能力主要從以下四個方面體現:基本資格、服務管理能力、服務技術能力和服務過程能力;服務人員的能力主要從掌握的知識、安全整合服務的經驗等綜合評定。

2、

安全運維資質認證

是指透過技術設施安全評估,技術設施安全加固,安全漏洞補丁通告、安全事件響應以及資訊保安運維諮詢,協助組織的資訊系統管理人員進行資訊系統的安全運維工作,以發現並修復資訊系統中所存在的安全隱患,降低安全隱患被非法利用的可能性,並在安全隱患被利用後及時加以響應。

安全運維資質認證是對安全運維服務方的基本資格、管理能力、技術能力和安全運維過程能力等方面進行評價。安全運維服務資質級別是衡量服務提供方的安全運維服務資格和能力的尺度。

3、

安全風險評估

是資訊保安保障的基礎性工作和重要環節,貫穿於網路和資訊系統建設執行的全過程。服務提供者透過對資訊系統提供風險評估服務,系統地分析網路與資訊系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵禦威脅的防護對策和安全整改措施,防範和消除資訊保安風險,或將風險控制在可接受的水平,為網路和資訊保安保障提供科學依據。

資訊保安風險評估服務資質級別是衡量服務提供者服務能力的尺度。風險評估服務提供方的服務能力主要從以下四個方面體現:基本資格、服務管理能力、服務技術能力和服務過程能力;服務人員的能力主要從掌握的知識、風險評估服務的經驗等綜合評定。對服務提供方的背景審查主要指客戶投訴、違法違紀行為等;服務人員的背景審查主要指行業主管部門或使用單位對從事風險評估服務的人員進行必要的審查。

4、

資訊保安應急處理服務

是透過制定應急計劃使得影響網路與資訊系統安全的安全事件能夠得到及時響應,並在安全事件一旦發生後進行標識、記錄、分類和處理,直到受影響的業務恢復正常執行的過程。應急處理服務是保障業務連續性的重要手段之一,它涵蓋了在安全事件發生後為了維持和恢復關鍵業務所進行的系列活動。

資訊保安應急處理服務資質認證是對應急處理服務提供方的基本資格、管理能力、技術能力和應急處理服務過程能力等方面進行評價。資訊保安應急處理服務資質級別是衡量服務提供方應急處理服務資格和能力的尺度。

5、

軟體安全開發服務

是透過對軟體開發過程的控制,將開發的軟體存在的風險控制在可接受的水平。

軟體安全開發資質認證是對軟體開發方的基本資格、管理能力、技術能力和軟體安全過程能力等方面進行評價。安全軟體開發服務資質級別是衡量服務提供方的軟體安全開發服務資格和能力的尺度。

6、

資訊系統災難備份與恢復服務

是將資訊系統的資料、資料處理系統、網路系統、基礎設施、專業技術支援能力和執行管理能力進行備份,並在災難發生時,將資訊系統從災難造成的故障或癱瘓狀態恢復到可正常執行狀態,將其支援的業務功能從災難造成的不正常狀態恢復到可接受狀態,而設計和提供的活動。

資訊系統災難備份與恢復服務資質級別是衡量服務提供者服務能力的尺度。

7、

工業控制系統安全服務

圍繞提升工業控制系統的高可用性和業務連續性,提升功能安全、物理安全和資訊保安的保障能力為目標,涉及工業控制系統設計、建設、運維和技改各個階段,主要包括系統整合、系統運維、應急處理、風險評估等工業控制系統安全服務,形成系統的、獨立的、形成檔案的過程。

工業控制系統安全服務資質認證是對工業控制系統安全服務方的基本資格、管理能力、技術能力和工業控制系統安全服務過程能力等方面進行評價。工業控制系統安全服務資質級別是衡量服務提供方的工業控制系統安全服務資格和能力的尺度。

8、

網路安全審計服務

是指網路安全審計機構對被審計方所屬的計算機資訊系統的安全性、可靠性和經濟性進行檢查、監督,透過獲取審計證據並對其進行客觀評價所開展的系統的、獨立的、形成檔案的活動。

網路安全審計服務資質認證是對網路安全審計服務方的基本資格、管理能力、技術能力和網路安全審計過程能力等方面進行評價。網路安全審計服務資質級別是衡量服務提供方的網路安全審計服務資格和能力的尺度。

宣告:本文所用影片、圖片、文字部分來源於網際網路,版權屬原作者所有。如涉及到版權問題,請及時和我們聯絡。

一城龍域,認證圈兒的地盤~

服務安全資訊保安能力資質

相關文章閱讀