CCRC信息安全服务是含金量很高的资质,大多数的企业都想认证CCRC,办理CCRC的难易程度对于企业来说还是简单一些的,因此,CCRC资质也受到了很多企业的青睐,那企业办理CCRC都需要提前做哪些准备工作呢?同邦信息科技的小编为大家整理了一篇关于CCRC申报的相关事项内容,一起来看看吧~
CCRC是信息安全服务资质,信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。
信息安全服务资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。
一级资质:不仅对企业规模、业务条件等有更高要求。申请要求中还明确规定:企业需满足从事相关服务满5年,或先取得二级证书1年后方可申请。
二级资质:需要证明企业的服务能力具有一定的成果基础和发展潜力,适合具备服务实力及规模的企业选择(含首次申请)。
三级资质:则只需要证明企业有一定的运维服务能力,但仍存在明显问题需要纠正。建议首次申请从本级开始。
CCRC七大类别方向
安全集成
安全运维
应急处理
风险评估
灾难备份与恢复
安全软件开发
网络安全审计
CCRC信息安全服务资质,是企业能力得到第三方权威机构认证认可的依据,取得CCRC认证是企业综合实力的体现,能够证明企业在技术、资源以及管理等方面的资质和能力,优势可参考以下内容:
(1)是企业能力获得第三方权威机构认证认可的依据;
(2)是需方选择的依据,可以提高需方对服务商的信任度;
(3)规范管理与技术,提高客户满意度;
(4)拓宽企业的业务范围,获得更多业务机会。
除此之外,企业获得CCRC认证资质后,还能得到不少政府补贴~~小编为大家整理了部分地市区的奖励
对产品被评定为省级、国家级首版次软件产品的企业,分别给予50万元、150万元一次性奖励。对软件企业首次通过CMMI、T/SIA009-2020三级以上资质认证的,每提高一级资质认证给予20万元奖励;对软件企业首次通过T/SIA010.11-2021.1、ITSS、CS、CCRC三级以上资质认证的,每提高一级资质认证分别给予10万元奖励;对软件企业首次通过ISO27001/BS7799资质认证的,给予10万元奖励。对列入我市软件产业领域关键核心技术攻关专项的,给予最高100万元补助;对列入国家、省重点研发专项的,最高可给予1:1配套补助。
(五)创建标杆示范企业。鼓励企业提升资质能力,首次通过ITSS(信息技术服务标准)或CCRC(信息安全服务资质)三级、二级、一级认证,分别奖励5万元、10万元、15万元;首次通过CMMI(软件能力成熟度模型集成)三级、四级和五级认证,分别奖励10万元、20万元、30万元。企业入选电子信息百强、互联网百强、软件与信息技术服务百强企业,省级或国家级以上分别奖励20万元、30万元。
4.对当年首次取得信息技术服务标准(ITSS)资质一级、信息安全服务资质五级、软件能力成熟度模型集成(CMMI)资质五级或信息安全等级保护资质五级其中之一的企业,一次性给予50万元的奖励。
5.对当年首次取得信息技术服务标准(ITSS)资质二级、信息安全服务资质四级、软件能力成熟度模型集成(CMMI)资质四级或信息安全等级保护资质四级其中之一的企业,一次性给予30万元的奖励。
6.对当年首次取得信息技术服务标准(ITSS)资质三级、信息安全服务资质三级、软件能力成熟度模型集成(CMMI)资质三级或信息安全等级保护资质三级其中之一的企业,一次性给予10万元的奖励。
8. 支持新一代信息技术企业资质能力建设。对瑶海区新一代信息技术企业首次获得工业控制系统信息安全认证、信息安全服务资质认证、信息系统安全等级保护测评等信息安全相关资质的,每家企业每项给予5万元奖励,最高不超过10万元。
对当年首次取得信息技术服务标准(ITSS)资质一级、信息安全服务资质五级、软件能力成熟度模型集成(CMMI)资质五级、信息安全等级保护资质五级或其中之一的企业,一次性给予50万元的奖励。
证书有效期三年,每年更新一次。对获证组织实施监督审核,每年度(不超过12个月)进行一次监督审核。对于初次获证组织, 需要在12个月内进行现场监督审核。
|
申请条件 |
三级要求 |
二级要求 |
一级要求 |
|
基本要求 |
公司成立满 1 年 |
可直接申请,或获得三级资质一年 以上 |
二级资质一年以上 |
|
人员要求 |
组织负责人拥有 2 年以上信息技术领域管理经历。近三个月人员社保(每个方向三人) |
组织负责人拥有 3 年以上信息技术领域管理经历。近三个月人员社保(每个方向六人) |
组织负责人拥有 4 年以上信息技术领域管理经历。近三个月人员社保(每个方向十人) |
|
业绩要求 (初审) |
1、从事信息安全服务 6 个月以上 2、近三年内签订并完成至少 1 个信息安全服务项目 |
1、从事同类别信息安全服务 3 年以上,或取得同类别三级资质 1 年以上。 2、近三年内签订并完成至少 6 个信息安全服务项目 (至少 2 套项目材料) |
1、从事同类别信息安全服务 5 年以上,或取得同类别二级资质 1 年以上。 2、近三年内签订并完成至少 10 个信息安全服务项目 (至少 2 套项目材料) |
|
业绩要求(监督) |
近一年内签订并完成至少 1 个同类别信息安全服务项目 |
近 1 年内签订并完成至少 2 个信息安全服务项目 |
近 1 年内签订并完成至少 3 个信息安全服务项目 |
|
其他要求 |
无 |
安全工具、公司内部测试环境 |
安全工具、公司内部测试环境 |
|
管理要求 |
无 |
至少具备 ISO9001 体系文件和ISO27001或ISO20000 体系文件 |
至少具备 ISO9001 体系文件和ISO27001或IS020000 体系文件 |
具体办理条件可以咨询我们顾问老师来解答哟!18620517693
一级/二级认证周期一般是12周,三级认证周期4周。(认证周期包括自正式受理之日起至认证证书颁发之日起的实际时间,不包括申请人准备或补充材料的时间)。申请过程主要分为准备阶段、审计阶段、认证决策阶段和认证制定阶段四个阶段。
1、准备阶段:申请组织根据自身实际情况确定服务资格类型,登录中国信息安全认证中心网站,提交准备好的材料、文件和自评证明材料。
2.审核阶段:审计形式存在较大差异,需要注意:
(1)初步认证:一、二、三级资格审查形式均为文件审查+现场审查。
(2)监督审核:一、二、三级资质为文件审核+现场审核+服务点审核。服务点审核抽样要求:在申请组织提交正在进行的项目中,现场审核时随机抽查一个项目;
审核流程:
(1)项目管理人员指派审核组长,协调审核员成立审核组;
(2)审核组长编制审核计划,通过项目管理人员发送给审核组全体成员;
(3)审计组对申请组织提交的材料进行审计,判断组织提供的信息安全服务管理和技术能力是否符合《信息安全服务规范》的要求。符合要求的,审计组长应当通知项目管理人员向申请组织出具受理通知书(申请组织有需要的,也可以签订《服务资格认证合同》)、收取认证费后,编制《非现场审计报告》,汇总《信息安全服务资质认证公共管理审计记录表》等审计材料,提交中心作出认证决定;不符合要求的,审计组长通知申请组织重新提交补充材料,审核补充材料(申请组织补充材料仍不符合要求的,审计组长应通知项目经理,项目经理通知申请组织不符合申请资格条件)。
3、认证决定阶段(本阶段工作应在两周内完成)
中心认证决定人员对审计组长提交的审计材料作出认证决定;
认证决定通过的,通知项目管理人员制证;认证决定不通过的,通知申请组织不通过的原因。
4、认证阶段(本阶段工作应在一周内完成)
项目经理制作证书并邮寄给申请人。电子证书可在中国网络安全审查认证技术中心网站查询。
1)仅单位名称变更、注册地址变更,可提出证书变更申请(随时申请);
2)非现场监督审核,提供监督审核通知单回执、相应专业方向自评估表、公共管理部分上一年度开具的不符合及观察项整改情况;
3)现场监督,全要素进行审核,重点关注上年度开具的不符合及观察项。
1)每年均需监督审核,提前2个月提交监督审核通知单回执及自评价表(系统提前3个月邮件通知);
2)原则上证后第1年监督审核为现场审核;
3)在认证风险可控的情况下,原则上证后第2年为非现场审核,第3年为现场审核,以此类推;
4)若存在影响认证有效性的情况,增加现场审核的频度与部分项的审核力度。
广州同邦信息科技股份有限公司是一家致力于信息技术领域提供解决方案的IT技术和咨询服务提供商,专业从事企业资质认证,目前累计服务客户3000+,累计发出证书3500+,覆盖行业30+,目前公司拥有一支导师式、顾问型的创新服务专家团队,以提升客户价值为目标,帮助企业通过资质认证!