信息安全服务的概念是信息安全服务机构提供安全服务的资质,可以提高服务质量和水平,引导行业健康规范发展。此外,类别还包括安全集成服务资质、安全运维服务资质、应急服务资质等。接下来给大家介绍一下细节。
一、基本概念
1、信息系统安全教育服务资质是信息网络安全文化服务机构发展提供一个安全服务的一种资格,包括法律地位、资源状况、管理人员水平、 技术创新能力分析等方面的要求。信息数据安全服务资质认证是依据国家经济法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供会计信息质量安全服务机构的信息安全服务资质进行教学评价。
(二)应急服务是指对影响计算机系统和网络安全的不当行为(事件)进行识别、记录、分类和处理,直至受影响业务恢复正常运营的过程。
3.风险评估服务是从风险管理的角度对网络和信息系统面临的威胁和脆弱性进行系统分析,采用科学的方法和手段,评估一旦发生安全事件可能造成的损害程度,并提出针对性的对策和纠正措施,以防范威胁,从而防止和减轻信息安全风险,或将风险控制在可接受的水平。
4.通过信息安全服务分类资质认证,可以对信息安全服务中提供者的基本资质、管理能力、技术能力、服务流程能力等做出权威、客观、公正的评价,从而证明其服务能力,满足社会对服务选择的需求。同时,认证过程也将有效促进服务商完善自身管理体系,提升服务质量和水平,引导行业健康规范发展。
二、CCRC信息安全服务认证的类别
1、安全集成服务资质
信息管理系统进行安全集成服务是指从事计算机应用系统工程和网络控制系统工程的安全教育需求界定、安全问题设计、建设项目实施、安全保证的活动。
安全集成服务提供商的服务能力主要体现在以下四个方面:基本资质、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从其掌握的知识和安全集成服务的经验来评价。
2、安全运维服务资质
通过对技术设施的安全评估,技术设施的安全加固,安全漏洞补丁通知,安全事件响应,信息安全运行和维护咨询,协助组织信息系统管理人员开展信息系统的安全运行,发现和修复信息系统中的安全隐患,减少安全隐患被非法利用的可能性,并在安全隐患被利用后及时作出反应。安全作业资格认证是对安全作业服务提供者的基本资格、管理能力、技术能力和安全作业过程能力的评价。
3、风险评估服务资质
信息安全风险评估是信息安全的基础工作和重要环节,贯穿于网络与信息系统建设和运行的全过程。
风险进行评估企业服务提供方的服务工作能力主要从以下四个方面可以体现:基本资格、服务质量管理创新能力、服务信息技术研究能力和服务过程能力;服务人员的能力主要从学生掌握的知识、风险评估服务的经验等综合评定。
4、应急服务资质
信息安全应急服务是指制定应急预案,使影响网络和信息系统安全的安全事件得到及时响应,一旦安全事件发生,识别、记录、分类和处理。 受影响业务恢复正常运营前的流程。 应急服务是保障业务连续性的重要手段之一。 它涵盖了安全事件后维护和恢复关键业务的一系列活动。 信息安全应急服务资质证书是对应急服务提供方的基本资质、管理能力、技术能力和应急服务流程能力进行评估。
5、安全开发服务资质
通过对软件开发过程的控制,将软件开发的风险控制在一个可接受的水平。软件安全开发资格认证是对软件开发人员的基本资格、管理能力、技术能力和软件安全过程能力的评价。
6、信息系统灾难备份和恢复服务资质
信息安全系统灾难备份与恢复社会服务是将信息控制系统的数据、数据分析处理工作系统、网络环境系统、基础教育设施、专业知识技术可以支持发展能力和运行成本管理创新能力方面进行备份,并在灾难发生时,将信息通过系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计和提供的活动。
7、工控安全服务资质
工业控制系统保安服务旨在提高工业控制系统的高可用性和业务连续性,以及加强确保功能安全、实体安全和资讯安全的能力。保安服务涉及工业控制系统设计、建造、运作和技术改善的各个阶段,主要包括系统集成、系统运作和维修、紧急事故处理、风险评估等,是一个有系统、独立和有文件记录的过程。
工业控制系统安全服务资质认证是对工业控制系统安全服务提供者的基本资质、管理能力、技术能力和过程能力进行评价。
8、网络信息安全审计工作服务资质认证
网络安全审计是指网络安全审计机构对被审计方所属计算机信息系统的安全性、可靠性和经济性进行的检查和监督。 通过获取和客观评估审计证据而进行的系统、独立、有记录的活动。 网络安全审计服务资格认证是对网络安全审计服务提供商的基本资质、管理能力、技术能力和处理能力进行评价。