中心简介 中国信息安全认证中心是经中央编制委员会批准成立，由国务院信息化工作办公室、国家认证认可监督管理委员会等八部... 中心业务 CCC产品认证 自愿性产品认证 ISMS认证 ITSM认证 服务资质认证 信息安全培训

当前位置： 新闻动态 -> 最新公告 我中心正式启动信息安全风险评估服务资质认证工作 时间：2010-06-21 　　作者：中国信息安全认证中心 　　继2008年开展信息安全应急处理服务资质认证工作以来，我中心对风险评估服务资质认证工作进行了认真的研究和准备。在国家标准《信息安全风险评估规范》等相关标准的基础上，我中心近期启动了信息安全风险评估服务资质认证工作，于2010年4月召开了认证说明会，并接受了部分从事风险评估工作的技术机构和企业的资质认证申请。经过对申请单位的审核，2010年6月10日，我中心举办了信息安全风险评估服务资质认证颁证大会，颁发了首批18张信息安全风险评估服务资质认证证书。 　　信息安全服务资质认证是依据国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对相关机构提供信息安全服务的资质条件进行评价的活动。近年来，信息安全服务的专业性越来越强，分类越来越细，通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力和专业技术能力等方面进行权威、客观、公正的评价，证明其服务资质能力，满足社会对不同类别专业服务的选择需求。同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。 　　信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生所能造成的危害，提出有针对性的抵御威胁的防护对策和整改措施。为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全提供科学依据。风险评估是信息安全保障工作的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程，已经成为国内几种主流类别的信息安全服务中需求最为普遍的基础性服务之一。在网络与信息系统建设和运行中，风险评估在有效识别安全风险、加强安全控制方面发挥了重要作用。风险评估服务资质认证工作的实施，是国家加强信息安全管理的需要，是行业健康发展的需要。面对日益增长的政府和社会对信息系统安全管理的需求，我中心对国内外相关风险评估政策、标准和规范进行了密切跟踪和研究，联合国内权威机构和专家制定了评估准则，推出了风险评估服务资质认证业务。 　　对首批18家申请认证单位进行的文档和现场审核表明，他们均为国内技术能力强、风险评估经验丰富、管理规范的单位。首批风险评估服务资质认证证书的颁发，标志着信息安全风险评估服务资质认证工作正式开始实施。通过服务资质认证，必将进一步规范获证组织的各项管理活动，增强客户信心，引领行业健康发展，开创风险评估工作的新局面。 　　现就申请方可能关心的几个具体问题简要说明如下： 　　一、关于认证申请： 初次申请风险评估服务资质认证时，申请单位应提交的以下材料： 　　1. 信息安全风险评估服务资质认证申请书； 　　2. 独立法人资格证明材料； 　　3. 从事信息安全风险评估服务的相关资质证明； 　　4. 工作保密制度及相应组织监管体系的证明材料； 　　5. 与信息安全风险评估服务人员签订的保密协议复印件； 　　6. 人员构成与素质证明材料； 　　7. 公司组织结构证明材料； 　　8. 具备固定办公场所的证明材料； 　　9. 项目管理制度文档； 　　10. 信息安全风险评估服务质量管理文件； 　　11. 项目案例及业绩证明材料； 　　12. 信息安全风险评估服务能力证明材料等。 　　具体申请书等文档参见我中心网站http://www.isccc.gov.cn。已经获得我中心应急处理服务资质认证的申请方可以填写完整的风险评估服务资质认证申请书，也可以在已经获得的应急处理服务资质认证基础上，填写简化版的风险评估服务资质认证申请书。 　　二、关于认证依据：信息安全风险评估服务资质认证的依据是GB/T 20984-2007《信息安全技术 信息安全风险评估规范》与ISCCC-ISV-002《信息安全风险评估服务资质认证实施规则》。GB/T 20984-2007《信息安全技术 信息安全风险评估规范》标准明确了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。ISCCC-ISV-002《信息安全风险评估服务资质认证实施规则》提出了信息安全风险评估服务提供者应具备的服务能力要求及实施信息安全风险评估服务资质认证的程序与管理要求，用于对服务提供者服务能力的评价。 　　三、关于认证的环节和流程：参见我中心网站上的ISCCC-ISV-001《信息安全服务资质认证实施规则》及认证流程图。认证的主要环节包括认证受理、文档审核、现场审核、认证决定以及证书颁发环节。申请单位申请任何一类信息安全服务资质认证业务时，认证周期一般情况下是10周，包括自申请被正式受理之日起至颁发认证证书时止所实际发生的时间，不包括由于申请单位准备或补充材料的时间。申请方如果已获得我中心的信息安全应急处理服务资质认证，再申请风险评估服务资质认证，认证周期可适当缩短。