CCRC认证的要求和资质
一、CCRC基本信息
按照分类分级的工作思路,目前中国网络安全审查技术与认证中心已经开展了安全集成、安全运维、风险评估、应急处理、软件安全开发、灾难备份、网络安全审计七类服务资质工作。
级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。
有效期:三年,获证之日起12-18月内完成一次监督审核。(旧版2021年10月15日之前证书有效期为一年)
中国网络安全审查技术与认证中心(CCRC)对服务资质认证规范及实施规则进行了修订,于2021年10月15日发布了2021版CCRC-ISV-C01:2021《信息安全服务规范》、CCRC-ISV-R01:2021《信息安全服务资质认证实施规则》,并从发布之日起正式实施。自当日起,CCRC启动按照新版认证实施规则的认证申请受理工作,不再受理依据旧版认证实施规则的认证申请。
所有按照旧版认证实施规则要求颁发的信息安全服务资质认证证书将在2022年9月30日前全部完成转换,超期未完成转换的证书将做暂停处理。
二、CCRC公示查询平台
CCRC的官方网站为:中国网络安全审查技术与认证中心https://www.isccc.gov.cn
证书出证后查询平台为:“认e云 全国认证认可信息公共服务平台”http://cx.cnca.cn/CertECloud/index/index/page
三、成都CCRC认证办理条件
● 三级
1.企业成立满半年
2.近三个月社保6人及以上
3.申报类别的安全项目1个及以上
4.CISAW证书申报类别2人或年审前培训
5.组织负责人拥有2年以上信息技术领域管理经历
● 二级
1.企业成立满三年或三级证书满一年
2.近三个月社保20人及以上
3.申报类别的安全项目6个及以上
4.CISAW证书申报类别6人或年审前培训
5.组织负责人拥有3年以上信息技术领域管理经历
6.通过ISO27001或20000,覆盖范围含信息安全服务
● 一级
1.企业成立满三年且二级证书满一年
2.近三个月社保30人及以上
3.申报类别的安全项目10个及以上
4.CISAW证书申报类别10人或年审前培训
5.组织负责人拥有4年以上信息技术领域管理经历
6.通过ISO27001或20000,覆盖范围含信息安全服务
四、CCRC申报流程
从需求调研、准备资料到申请、现场审核、获得信息安全服务资质预计需要3个月。项目成员确定项目组成员,包括甲方配合人员、我方项目成员,明确分工、职责。
1.需求调研:了解甲方公司体系、资质情况、项目情况、技术规范情况。需充分解读甲方体系资料,为后续将该申请类别的准则条款要求,形成规范融合到现有体系中,工作量较大。预计1周
2.差距分析:根据需求调研结果,与信息安全相关申请类别评估准则核对,进行差距分析,确定需要增加、修订补充的技术规范、体系资料。在熟悉甲方体系资料的前提下,依据准则条款,规划出融合思路,并确定人员分工,谁负责融合、编写哪部分技术规范 。预计1周
3.申请书编写技术规范编写:各小组成员按照分工计划,编写技术规范、融合体系资料,工作量是最大的部分。预计1个月
4. 确定项目:根据建立的技术体系,至少选择项目1个,要覆盖整个申请类别相关级别评估准则条款,并且覆盖整个项目生命周期。此处选定项目后,要与项目经理沟通、规避不能拿出审核的项目风险,所以存在沟通协调的环节。预计2周
5.递交申请书:递交申请书,官方系统线上受理,并签约认证发受理单、走流程,等待安排现场审核时间。预计2个月
6.补充项目资料:依据建立的技术体系、技术规范,结合现有的项目资料,补充完善项目资料。依据以往ISO 9000体系项目资料,补充增加部分在70%,故有大量的技术资料需要补充,部分需要项目经理配合。预计1个月
7.培训模拟现场审核:确定甲方参加现场审核人员,并进行模拟现场审核,学习答辩技巧。预计2天
8. 文审/整改:初次申请此资质,先进行一阶段审核(俗称文审),先审核体系、技术规范、申请书、项目资料等,针对文审提出的整改项,进行整改。(肯定会提出整改项)关键看提出的整改项是在技术规范、还是项目资料,通常整改项会贯穿前后,也就是技术规范需要修改、对应的项目资料也要修改。整改通过后,进入现场审核阶段。预计2周
9. 现场审核:配合现场审核。预计1周
10.审核整改:根据现场审核提出的整改项,进行整改,准备整改资料、纠正措施资料,并提交审核通过后,取得证书。