随着信息技术的快速发展,信息安全问题日益突出,信息安全服务的重要性也日益凸显。CCRC信息安全服务资质认证作为信息安全服务领域的一项重要认证,对于提升企业的信息安全服务能力和水平具有重要意义。本文将详细介绍CCRC信息安全服务资质认证的流程,帮助企业更好地了解和掌握认证过程。
申请评审
认证委托
认证委托人可通过电话、信函、传真、邮件或登录中国网络安全审查认证和市场监管大数据中心(以下简称“网安中心”)网站的业务管理系统提交申请,并提供认证申请书及相关附件,附件包括但不限于:
1)信息安全服务提供者的社会统一机构代码营业执照或其他证明性文件;
2)信息安全服务提供者的组织架构图;
3)信息安全服务提供者的专职技术人员名单(包括技术负责人、技术人员等);
4)信息安全服务类别的技术规范。
申请不同服务类别、级别时,不重复提供以上附件内容,仅提供差异部分。
申请评审
网安中心对认证委托人提交的认证申请书等资料进行评审,根据评审结果发出受理通知或问题通知。认证委托人收到问题通知后,将改进情况反馈给网安中心。对于仍不符合受理要求的申请,网安中心再次发出问题通知。
认证方案策划
网安中心策划认证方案。认证方案至少包括以下内容:
1)单元划分结果;
2)明确是否需要初始现场审核;
3)明确网安中心联系人和联系方式;
4)预计认证流程周期;
5)预计认证费用。
初始现场审核
初始现场审核是指网安中心对同一个信息安全服务提供者的同一场地,按照同一认证标准进行的首次现场审核。
网安中心通知认证委托人进行现场审核,并委派审核组对信息安全服务提供者实施现场审核。
初始现场审核内容为认证依据标准规定的条款。
审核组完成审核任务后,向网安中心提交审核资料。
一个认证单元现场审核按2人日计费,每增加一个认证单元增加0.5人日,以此类推,原则上最多不超过5人日。
原则上,一般不符合项整改验证工作在下一次监督审核进行。认证委托人应及时组织信息安全服务提供者对提出的不符合项进行整改,制定整改措施,并保存好相关记录,确保在下次监督审核时能够提供。
复核
网安中心对认证申请相关信息及审核结果进行复核,形成复核结论。复核应由未参与审核过程的网安中心人员承担。
认证决定
网安中心对认证申请相关信息、复核结果及其他信息进行综合评价,做出认证决定。符合认证要求网安中心将颁发认证证书,不符合认证要求不予颁发认证证书,并通知认证委托人。
监督审核
频次和方式
网安中心委派审核组对信息安全服务提供者进行现场审核,原则上采取事先不通知的方式。监督审核周期不大于12个月。
监督实施
一个认证单元监督审核按1人日计费,每增加一个认证单元增加0.25人日, 以此类推,原则上最多不超过2.5人日。
监督审核内容为认证依据标准规定的部分条款。
审核组完成审核任务后,向网安中心提交审核资料。
原则上,一般不符合项整改验证工作在下一次监督审核时进行。认证委托人应及时组织信息安全服务提供者对提出的不符合项进行整改,制定整改措施,并保存好相关记录,确保在下次监督审核时能够提供。
复核
网安中心对监督审核相关信息及结果进行复核,形成复核结论。复核应由未参与审核过程的网安中心人员承担。
认证决定
网安中心对监督审核相关信息、复核结果及其他信息做出认证决定,符合认证要求保持认证证书,并通知认证委托人;不符合认证要求暂停或撤销认证证书,通知认证委托人,并予以公示。
特殊监督审核
网安中心可视情况对信息安全服务提供者实施特殊监督审核。
龙域认证凭借多年的行业经验和专业服务,赢得了企业的广泛认可,并成功帮助众多企业顺利解决了评估和申报中的各种难题。
热门跟贴