中心設(shè)有國家信息安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心(北京)。中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心(英文縮寫為:CCRC,原為中國信息安全認證中心)于2006年由中央機構(gòu)編制委員會辦公室批準成立,為國家市場監(jiān)督管理總局直屬正司局級事業(yè)單位。在批準范圍內(nèi)開展與網(wǎng)絡(luò)安全相關(guān)的產(chǎn)品,管理體系,服務(wù),人員認證和培訓等工作。依據(jù)《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審查辦法》及國家有關(guān)強制性產(chǎn)品認證法律法規(guī),承擔網(wǎng)絡(luò)安全審查技術(shù)支撐和認證工作。
*信息安全認證中心
辦公地點:北京市朝陽區(qū)朝外大街甲10號中認大廈(100020)
強制性產(chǎn)品認證
2001年12月,國家質(zhì)檢總局發(fā)布了《強制性產(chǎn)品認證管理規(guī)定》,以強制性產(chǎn)品認證制度替代原來的進口商品安全質(zhì)量許可制度和電工產(chǎn)品安全認證制度。*強制性產(chǎn)品認證簡稱CCC認證或3C認證。是一種法定的強制性安全認證制度,也是國際上廣泛采用的保護消費者權(quán)益、維護消費者人身財產(chǎn)安全的基本做法。在實施強制性產(chǎn)品認證的產(chǎn)品范圍中,無線局域網(wǎng)產(chǎn)品和信息安全產(chǎn)品的指定認證機構(gòu)為*信息安全認證中心。
信息安全管理體系
病毒破壞、黑客攻擊、系統(tǒng)癱瘓、員工失誤和惡意破壞、商業(yè)間諜等,越來越多的信息安全問題成為威脅組織生存和發(fā)展的重要的安全隱患。基于*國際標準ISO/IEC27001:2005的信息安全管理體系(Information Security Management System, ISMS)是目前國際上先進的信息安全解決方案,正在被越來越多的組織所采用。它運用PDCA過程方法和133項信息安全控制措施來幫助組織解決信息安全問題,實現(xiàn)信息安全目標。ISMS認證是一個組織證明其信息安全水平和能力符合國際標準要求的有效手段,它將幫助組織節(jié)約信息安全成本,增強客戶、合作伙伴等相關(guān)方的信心和信任,提高組織的公眾形象和競爭力。
ISO/IEC 27001標準適用于所有類型的組織(例如,商業(yè)企業(yè)、政府機構(gòu)、非贏利組織)。ISO/IEC 27001從組織的整體業(yè)務(wù)風險的角度,為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS規(guī)定了要求。它規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實施要求。
ISO/IEC 27001認證能為組織帶來如下收益:1.使組織獲得*信息安全運行方式;2.保證組織業(yè)務(wù)的安全;3.降低組織業(yè)務(wù)風險、避免組織損失;4.保持組織核心競爭優(yōu)勢;5.提供組織業(yè)務(wù)活動中的信譽;6.增強組織競爭力;7.滿足客戶要求;8.保證組織業(yè)務(wù)的可持續(xù)發(fā)展;9.使組織更加符合法律法規(guī)的要求。
服務(wù)資質(zhì)認證
*信息安全認證中心是國家認證認可監(jiān)督管理委員會批準的一家可以從事信息安全服務(wù)資質(zhì)認證的機構(gòu)(詳見CNCA-R-2007-138《認證機構(gòu)批準書》)。在國認可函【2007】150號《關(guān)于批準*信息安全認證中心從事信息安全服務(wù)資質(zhì)認證和培訓試點工作的批復》中明確了中心是作為開展信息安全服務(wù)資質(zhì)認證業(yè)務(wù)的試點單位。同時,中心也獲得了*合格評定國家認可委員會的認可,證書編號:No. CNAS CO66-V。信息安全服務(wù)資質(zhì)認證是依據(jù)國家法律法規(guī)、國家標準、行業(yè)標準和技術(shù)規(guī)范,按照認證基本規(guī)范及認證規(guī)則,對提供信息安全服務(wù)機構(gòu)的安全服務(wù)資質(zhì)進行評價。
認證標準:開展信息安全服務(wù)資質(zhì)認證的依據(jù)是國家法律法規(guī)、國家標準、行業(yè)標準和技術(shù)規(guī)范。目前我中心開展了信息安全應(yīng)急處理資質(zhì)認證業(yè)務(wù),依據(jù)標準是YD/T 1799-2008《網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評估方法》。
YD/T 1799-2008《網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評估方法》是根據(jù)我國網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)管理的需求,同時考慮到國內(nèi)網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)提供商的實際情況,參考YD/T 1621-2007《網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評估準則》、《計算機信息系統(tǒng)集成資質(zhì)管理辦法》等文件和相關(guān)國際國內(nèi)標準制定而成。該標準的評估對象是為信息系統(tǒng)所有者提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織。
網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)是保障業(yè)務(wù)連續(xù)性的重要手段之一,它涵蓋了在安全事件發(fā)生后為了維持和恢復關(guān)鍵的應(yīng)用所進行的系列活動。網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)等級是衡量服務(wù)提供方應(yīng)急處理服務(wù)資格和能力的尺度。資質(zhì)等級分為三級,一級*,三級*。
網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評估是對網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)提供方的資格狀況、經(jīng)濟實力、技術(shù)能力和實施應(yīng)急服務(wù)過程能力等方面的具體衡量和評價。該標準規(guī)定了為信息系統(tǒng)所有者提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織應(yīng)具備的服務(wù)資質(zhì)要求,以及對提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織進行評估的方法。該標準適用于第三方評估機構(gòu)對提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織進行網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評估,可作為信息系統(tǒng)所有者選擇提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)組織的依據(jù),可以作為有關(guān)主管部門對提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織進行管理的技術(shù)性規(guī)范,可供認證機構(gòu)認證提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織時參考,也可為提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織改進自身能力提供指導。
YD/T 1621-2007《網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評估準則》規(guī)定為電信運營企業(yè)提供網(wǎng)絡(luò)與信息安全服務(wù)的組織應(yīng)具備的網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)要求,適用于為電信運營企業(yè)提供網(wǎng)絡(luò)與信息安全服務(wù)的組織進行網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評估,可以作為國家有關(guān)主管部門對網(wǎng)絡(luò)與信息安全服務(wù)的組織進行管理、檢查的技術(shù)性規(guī)范,也可為網(wǎng)絡(luò)與信息安全服務(wù)的組織改進自身能力的指導。該標準涉及到了信息安全咨詢服務(wù)、信息安全工程服務(wù)、信息安全培訓服務(wù)、信息安全運行支持服務(wù)。
中心內(nèi)設(shè)9個處室,分別為辦公室(人事部)、財務(wù)處、黨委辦公室(工會)、綜合業(yè)務(wù)處、科技處、產(chǎn)品認證處、體系認證處、服務(wù)資質(zhì)處、質(zhì)量監(jiān)督處。
【1】 官網(wǎng) isccc/
客觀公正,科學規(guī)范,優(yōu)質(zhì)高效
法律和行政法規(guī)
國務(wù)院辦公廳關(guān)于加強認證認可工作的通知
中華人民共和國計量法實施細則
中華人民共和國標準化法實施條例
中華人民共和國進出口商品檢驗法實施條例
中華人民共和國認證認可條例
中華人民共和國計量法
部門規(guī)章
強制性產(chǎn)品認證標志管理辦法
認證咨詢機構(gòu)管理辦法
認證培訓機構(gòu)管理辦法
強制性產(chǎn)品認證機構(gòu)、檢查機構(gòu)和實驗室管理辦法
認證證書和認證標志管理辦法
認證及認證培訓、咨詢?nèi)藛T管理辦法
行政規(guī)范文件
認證技術(shù)規(guī)范管理辦法
強制性產(chǎn)品認證檢查員管理辦法
認證認可申訴、投訴處理辦法
依據(jù)國家信息安全管理的法律法規(guī)、《認證認可條例》及實施規(guī)則,在指定的業(yè)務(wù)范圍內(nèi),對信息安全產(chǎn)品實施認證,并開展信息安全有關(guān)的管理體系認證和人員培訓、技術(shù)研發(fā)等工作。具體包括:
1、在信息安全領(lǐng)域開展產(chǎn)品、管理體系等認證工作;
2、對認證及與認證有關(guān)的檢測、檢查、評價人員進行認證標準、程序及相關(guān)要求的培訓;
3、對提供信息安全服務(wù)的機構(gòu)、人員進行資質(zhì)培訓、注冊;
4、開展信息安全認證、檢測技術(shù)研究工作;
5、依據(jù)法律、法規(guī)及授權(quán)從事其他相關(guān)工作。
溫馨提醒:文章觀點來源網(wǎng)絡(luò),隨時光飛逝,歲月變遷,準確性、可靠性、難免有所變動,因此本文內(nèi)容僅供參考!