CCRC认证新版实施规则

CCRC信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、 技术能力等方面的要求。CCRC信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。根据信息安全服务资质认证业务现状及发展需要,中国网络安全审查技术与认证中心(CCRC)对服务资质认证规范及实施规则进行了修订,于2021年10月15日发布了2021版CCRC-ISV-C01:2021《信息安全服务规范》、CCRC-ISV-R01:2021《信息安全服务资质认证实施规则》,并从发布之日起正式实施。自即日起,CCRC启动按照新版认证实施规则的认证申请受理工作,不再受理依据旧版认证实施规则的认证申请。

擎标梳理了主要变化点,供大家参考使用:

  • 证书有效期由1年变更为3年;

  • 监督评审周期由12个月内增加至12-18个月;

  • 审核形式变化较大,增加服务点抽查要求等内容;

  • 删除了工业控制系统安全分项等。

2022年4月1日后CCRC的审核规则又发生了细微调整,主要变化如下:

  • 三级初审由远程文件审核改为现场审核;

  • 证书到期前需提前三个月提出在线申请;

  • 不再开具证书延期说明,证书过期后需重提提交认证申请。

CCRC信息安全服务资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。