在线免费观看黄页_欧美综合在线五月天色婷婷_亚洲成无码电影_日韩欧美伊人久久大香_yyy亚洲私人影院_欧美另类videossexo高潮_台湾av国片精品秋霞电影_人妻熟妇一区二区三区丁香五月_波多野结衣色av一本一道_手机在线观看亚洲AV每日更新

信息安全服務(wù)資質(zhì)認(rèn)證證書(CCRC)簡(jiǎn)介

一、項(xiàng)目名稱：信息安全服務(wù)資質(zhì)認(rèn)證證書(簡(jiǎn)稱：CCRC)

二、發(fā)證單位：中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心

三、證書模板

四、項(xiàng)目簡(jiǎn)介

CCRC在IT行業(yè)中，一般辦理較多的為六大方向，安全集成服務(wù)、安全運(yùn)維服務(wù)、風(fēng)險(xiǎn)評(píng)估服務(wù)、應(yīng)急處理服務(wù)、軟件安全開發(fā)服務(wù)、災(zāi)難備份與恢復(fù)服務(wù)。

（一）安全集成服務(wù)

信息系統(tǒng)安全集成服務(wù)是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計(jì)、建設(shè)實(shí)施、安全保證的活動(dòng)。

信息系統(tǒng)安全集成包括在新建信息系統(tǒng)的結(jié)構(gòu)化設(shè)計(jì)中考慮信息安全保證因素，從而使建設(shè)完成后的信息系統(tǒng)滿足建設(shè)方或使用方的安全需求而開展的活動(dòng)。也包括在已有信息系統(tǒng)的基礎(chǔ)上額外增加信息安全子系統(tǒng)或信息安全設(shè)備等，通常被稱為安全優(yōu)化或安全加固。

（二）安全運(yùn)維服務(wù)

信息系統(tǒng)安全集成服務(wù)是指通過技術(shù)設(shè)施安全評(píng)估，技術(shù)設(shè)施安全加固，安全漏洞補(bǔ)丁通告、安全事件響應(yīng)以及信息安全運(yùn)維咨詢，協(xié)助組織的信息系統(tǒng)管理人員進(jìn)行信息系統(tǒng)的安全運(yùn)維工作，以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時(shí)加以響應(yīng)。

（三）軟件安全開發(fā)服務(wù)

通過對(duì)軟件開發(fā)過程的控制，將開發(fā)的軟件存在的風(fēng)險(xiǎn)控制在可接受的水平。軟件安全開發(fā)資質(zhì)認(rèn)證是對(duì)軟件開發(fā)方的基本資格、管理能力、技術(shù)能力和軟件安全過程能力等方面進(jìn)行評(píng)價(jià)。安全軟件開發(fā)服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供方的軟件安全開發(fā)服務(wù)資格和能力的尺度。

（四）應(yīng)急處理服務(wù)

信息安全應(yīng)急處理服務(wù)是通過制定應(yīng)急計(jì)劃使得影響網(wǎng)絡(luò)與信息系統(tǒng)安全的安全事件能夠得到及時(shí)響應(yīng)，并在安全事件一旦發(fā)生后進(jìn)行標(biāo)識(shí)、記錄、分類和處理，直到受影響的業(yè)務(wù)恢復(fù)正常運(yùn)行的過程。應(yīng)急處理服務(wù)是保障業(yè)務(wù)連續(xù)性的重要手段之一，它涵蓋了在安全事件發(fā)生后為了維持和恢復(fù)關(guān)鍵業(yè)務(wù)所進(jìn)行的系列活動(dòng)。

（五）風(fēng)險(xiǎn)評(píng)估服務(wù)

信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過程。服務(wù)提供者通過對(duì)信息系統(tǒng)提供風(fēng)險(xiǎn)評(píng)估服務(wù)，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和安全整改措施，防范和消除信息安全風(fēng)險(xiǎn)，或?qū)L(fēng)險(xiǎn)控制在可接受的水平，為網(wǎng)絡(luò)和信息安全保障提供科學(xué)依據(jù)。

（六）災(zāi)難備份與恢復(fù)服務(wù)

信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)是將信息系統(tǒng)的數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運(yùn)行管理能力進(jìn)行備份，并在災(zāi)難發(fā)生時(shí)，將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)，將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)，而設(shè)計(jì)和提供的活動(dòng)。

目前，云南省市場(chǎng)內(nèi)的IT企業(yè)做安全集成服務(wù)、安全運(yùn)維服務(wù)和軟件安全開發(fā)服務(wù)三項(xiàng)業(yè)務(wù)的較多。

五、證書級(jí)別的劃分

該證書劃分為三個(gè)級(jí)別，等級(jí)從低到高分別為三級(jí)、二級(jí)、一級(jí)。

六、三級(jí)證書的申請(qǐng)條件

（一）法律地位要求

在中華人民共和國(guó)境內(nèi)注冊(cè)的獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。遵循國(guó)家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求，無違法違規(guī)記錄。

（二）財(cái)務(wù)資信要求

提供本單位出具的近3年財(cái)務(wù)報(bào)表。

辦公場(chǎng)所要求：擁有長(zhǎng)期固定辦公場(chǎng)所和相適應(yīng)的辦公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。

（三）人員要求

組織負(fù)責(zé)人信息技術(shù)管理領(lǐng)域經(jīng)歷2年以上；

技術(shù)負(fù)責(zé)人：技術(shù)負(fù)責(zé)人具備信息安全服務(wù)（與申報(bào)類別一致）技術(shù)能力，經(jīng)考核合格或通過專業(yè)認(rèn)證；

項(xiàng)目負(fù)責(zé)人：項(xiàng)目負(fù)責(zé)人、項(xiàng)目工程師具備信息安全服務(wù)（與申報(bào)類別一致）管理能力，經(jīng)考核合格或通過專業(yè)認(rèn)證；

信息安全保障人員：2名以上（與申報(bào)類別一致）。（需參加中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的培訓(xùn)并通過考試）

（三）業(yè)績(jī)要求（與申報(bào)類別一致）

需提供公司簽訂的首個(gè)信息安全服務(wù)項(xiàng)目合同，時(shí)間要求在4個(gè)月以上。

（四）服務(wù)管理要求

1、建立并運(yùn)行人員管理程序，識(shí)別安全服務(wù)人員的服務(wù)能力要求，明確安全服務(wù)人員的崗位職責(zé)、技術(shù)能力要求，并通過評(píng)價(jià)證明其能夠勝任其承擔(dān)的職責(zé)；

2、制定服務(wù)人員能力培養(yǎng)計(jì)劃，包括網(wǎng)絡(luò)與信息安全相關(guān)的技術(shù)、技能、管理、意識(shí)等內(nèi)容，并執(zhí)行計(jì)劃，確保服務(wù)人員持續(xù)勝任其承擔(dān)的職責(zé)；

3、建立文檔管理程序，包括組織管理、服務(wù)過程管理、質(zhì)量管理等內(nèi)容，明確項(xiàng)目產(chǎn)生、發(fā)布、保存、傳輸、使用（包括交付和內(nèi)部使用）、廢棄等環(huán)節(jié)的文檔控制；

4、建立并運(yùn)行項(xiàng)目管理程序，明確服務(wù)項(xiàng)目的組織、計(jì)劃、實(shí)施、風(fēng)險(xiǎn)控制、交付等環(huán)節(jié)的操作規(guī)程；

5、建立并運(yùn)行保密管理程序，明確崗位保密責(zé)任，簽訂保密協(xié)議，并能夠適時(shí)對(duì)相關(guān)人員進(jìn)行保密教育；

6、建立與運(yùn)行供應(yīng)商管理程序，確保其供應(yīng)商滿足服務(wù)安全要求；

7、建立合同管理程序，制定統(tǒng)一合同模板，按照合同約定實(shí)施信息安全服務(wù)項(xiàng)目。按照客戶要求，對(duì)于接觸到的客戶敏感信息和知識(shí)產(chǎn)權(quán)信息予以保護(hù)，并確保服務(wù)方人員了解客戶的相關(guān)要求；

（五）技術(shù)服務(wù)要求

制定信息安全服務(wù)（與申報(bào)類別一致）流程，流程圖中應(yīng)包括每個(gè)階段對(duì)應(yīng)的職責(zé)、輸入輸出等；

制定信息安全服務(wù)（與申報(bào)類別一致）要求的規(guī)范標(biāo)準(zhǔn)，并按照規(guī)范實(shí)施。

七、證書申請(qǐng)的其它條件

    安全集成服務(wù)：提供安全集成類項(xiàng)目全套過程資料；

安全運(yùn)維服務(wù)：提供安全運(yùn)維類項(xiàng)目全套過程資料；有運(yùn)維場(chǎng)地可供評(píng)審老師現(xiàn)場(chǎng)參觀。

軟件安全開發(fā)服務(wù)：提供軟件開發(fā)類項(xiàng)目全套過程資料；有軟件開發(fā)團(tuán)隊(duì)，具備一定軟件開發(fā)實(shí)力。

風(fēng)險(xiǎn)評(píng)估服務(wù)：提供風(fēng)險(xiǎn)評(píng)估類項(xiàng)目全套過程資料；能提供相關(guān)業(yè)務(wù)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的漏洞掃描報(bào)告。

應(yīng)急處理服務(wù)：提供應(yīng)急處理類（或運(yùn)維類）項(xiàng)目全套過程資料。

八、證書有效期

有效期為三年，三年到期重新申請(qǐng)。

每年進(jìn)行監(jiān)督審核。

九、申報(bào)流程和周期

1、申報(bào)周期：3-6個(gè)月，具體時(shí)間以管理部門為準(zhǔn)。

2、申報(bào)流程如下：

簽訂合同——資料收集審核及編制——提交評(píng)審機(jī)構(gòu)——現(xiàn)場(chǎng)審核——不符合項(xiàng)整改——資料復(fù)審——領(lǐng)取證書。

十、涉及的人員證書

CISAW信息安全人員（安全集成方向）

CISAW信息安全人員（安全運(yùn)維方向）

CISAW信息安全人員（風(fēng)險(xiǎn)管理方向）

CISAW信息安全人員（應(yīng)急處理方向）

CISAW信息安全人員（安全軟件方向）