1)获证组织的服务管理持续地或严重地不满足认证要求;
2)逾期未按规定接受监督审核;
3)违规使用认证证书,且未造成不良影响;
4)监督审核有严重不符合项;
5)获证组织主动请求暂停;
6)其他需要暂停证书的情况。
在我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。
一、CCRC(原名ISCCC)概况 CCRC(原名ISCCC)信息安全服务资质认证是中国网络安全审查技术与认证中心依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质包括法律地位、资源状况、管理水平、 技术能力等方面的要求进行评价。 通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。 该资质共8个单项,每个单项分为一、二、三级(最低)。 1. 信息系统安全集成服务资质 2. 安全运维服务资质 3. 风险评估服务资质 4. 应急处理服务资质 5. 软件安全开发服务资质 6. 信息系统灾难备份与恢复服务资质 7. 工业控制安全服务资质 8. 网络安全审计服务资质 二、信息安全服务资质认证服务流程 那么申请CCRC信息安全服务资质认证服务,究竟是怎样的一个流程呢?下面就来给各位详细地讲解一下。 认证流程可分为:自评估-认证申请-申请材料评审-现场审核-认证决定-证书颁发-监督审核 一级/二级认证周期一般是12周,三级认证周期4周。 认证周期包括自申请被正式受理之日起至颁发认证证书时止实际发生的时间,不包括申请单位准备或补充材料的时间。 1)逾期3个月未按规定接受监督审核的; 2)证书暂停期间,未在规定时间内完成整改并通过验证; 3)违规使用认证证书,造成不良影响; 4)获证组织出现严重责任事故、被投诉且经核实,影响其继续有效提供服务; 5)获证组织因自身原因不再维持证书,可提出撤销认证证书的申请; 6)其他需要撤销证书的情况 1)仅单位名称变更、注册地址变更,可提出证书变更申请(随时申请); 2)非现场监督审核,提供监督审核通知单回执、相应专业方向自评估表、公共管理部分上一年度开具的不符合及观察项整改情况; 3)现场监督,全要素进行审核,重点关注上年度开具的不符合及观察项。 1)仅单位名称变更、注册地址变更,可提出证书变更申请(随时申请); 2)非现场监督审核,提供监督审核通知单回执、相应专业方向自评估表、公共管理部分上一年度开具的不符合及观察项整改情况; 3)现场监督,全要素进行审核,重点关注上年度开具的不符合及观察项。 现场监督审核项目数量: 三级/二级/一级申请方提供近一年内签订并完成至少1个/2个/2个信息安全服务(与申报类别一致)项目的全套资料。
