信息安全服务资质(CCRC)共包含8个分项,每个分项均分为3个等级,其中一级最高,三级最低。获得该资质的企业需要在每年证书到期前3个月进行年度监督审核,才能获得证书有效期的延续,那么该资质年审该注意哪些事项呢?接下来跟着九脑汇学院来一起看看:
( 1 ).频次
a.获证组织需要每年进行一次监督审核,证书每年更新一次,保证证书有效。
b.企业年审需在证书到期前3个月左右提出申请,受理审核周期为1-2个月,没有在期限内进行年审的组织,证书将失效。
c.初次获证组织,需要在12个月内进行现场监督审核。
对于第一次现场监督审核后,项目管理人员根据上一次认证审核结果,获证方在下次监督审核前可提交个服务方向的自评估材料和(或)公共管理部分的自评估材料。
d.对于信誉良好的获证组织,信任度级别高,可以根据实际情况延长监督的频次和灵活运用监督的方式。
e.当获证组织发生重大变更、事故、信任度级别低以下或客户投诉时,可增加现场监督评估的频次。
( 2 ).监督的方式
监督的方式包括非现场监督审核和现场监督审核两种方式。
企业需要年度监督审核的时候,需要在企业内部安排有专职负责人员,在进行监督审核之前,中心需要收集获证组织的安全服务管理与安全服务能力的相关信息,以确定获证组织的安全服务管理与安全服务能力相关信息是否发生变化。需要客户提供的信息包括以下几个方面:
( 1 ) .信息确认文件,包括但不限于:
a.基本信息,包括组织名称、地址、联系人、法人等信息的变化情况;
b.组织信息:包括范围、组织架构、人员数量等信息的变化情况;
c.服务管理体系相关信息,关键文件化信息的变化情况。
( 2 ) .自评价信息,包括但不限于:
a.安全服务管理运行情况,包括运行说明和运行证据;
b.安全服务管理监视、测量、分析和评价的结果和证据;
c.安全服务管理运行的持续改进情况,包括改进说明和证据;
d.满足法律法规的情况说明;
e.对安全服务管理符合性的自我评价
