CCRC认证是中国网络安全审查技术和认证中心授权发证的,该机构也是原来在ISCCC的基础上由国家八个部委授权成立的专门机构。CCRC是信息安全服务资质的简称,信息安全服务资质的获取可以让企业在包括法律地位、资源状况、管理水平、技术能力等方面的要求的积极评价。同时信息安全服务认证也是可以建立生态证明自己以及认识自身不足的机会。获得CCRC资质的企业也可以提高企业竞争力规范企业的技术能力、管理能力;降低企业的运营风险;减少企业的经营成本。
服务认证一共分为8个方向分别是:安全集成、安全运维、风险评估、应急处理、灾难备份与恢复、软件安全开发、网络安全审计、工控安全。这八个方向有个公共管理部分,建立的目的是建立并运行安全服务管理体系,保障信息安全服务质量的一致性。优势是可以提升申请方服务人员管理能力;加强服务工具管理,提升项目流程管理及执行过程中的安全控制意识;加大项目规范管理能力,提升项目文档管理能力,加大服务供应商、服务外包管理能力,提升项目管理意识,加大保密管理,合同管理能力,加强服务质量、信息安全内部评审管理评审。下面是八个方向的优势:
安全集成服务目的:按照信息系统安全集成服务流程与规范实施服务,保障服务质量。优势是信息系统的安全性贯穿整个服务过程,包括安全需求的分析、针对安全需求的设计、安全功能的测试验证;模拟攻击场景进行安全性测试,既促使获证方提高自身的安全测试能力,也使得企业交付的项目质量更高,避免出现较多的安全问题,提升企业在安全集成项目中的质量管控,包括应急意识、施工质量检查、项目的沟通与协调、关键点评审方面的能力。
安全运维服务目的:按照信息系统安全运维服务流程与操作规范,规范服务过程、提升安全运维服务质量。提高相关方对安全运维服务的统一认识,安全运维服务能容丰富,安全性要求高,发现甲方信息系统的潜在安全隐患并能够进行针对性的预防工作,并将风险降到最低,对安全运维结果统计、分析、不断优化运维过程,通过不断积累数据,逐步实现运维工具化,可视化提升运维服务价值促进行业发展。
应急处理服务目的:按照应急处理流程,规范服务技术与管理过程、保证服务质量。引导申请方在开展信息安全应急处理服务过程中,充分考虑应急处置过程中的风险并规避风险、尽可能保留过程和证据,与客户充分沟通并获得客户的授权,确保整个过程能够追溯,提升企业在应急处理过程中的风险管控意识,提升企业应急处理过程的完备性;提升申请方在处理过程中对工具的严格要求;有效应对影响范围大且影响严重的网络安全事件处置能力,提高处置效率降低不良影响。
软件安全开发服务目的:按照软件安全开发服务流程。规范服务技术与管理过程、保障服务质量。将软件开发与软件本身的安全性思维贯穿整个主线,包括安全需求分析、方案设计、安全编码、安全测试等保障最终交付给客户的系统具有高健壮性、低风险的特征。提升企业对安祖去拿开发的认识,尤其是基于软件危险的建模,从而提升企业在安全需求分析设计安全编码的一致性。提升企业对代码安全性检查的认识。提升企业对软件漏洞缺陷管理的认识。提升企业对开发系统的安全测试的认识,因为目前大部分的测试都是功能及性能的测试。