CCRC和ISO27001的区别在哪？

很多IT企业想要了解信息安全类认证，一般老板会和行政或者办事人员说让了解一下信息安全类资质，可是咱们没有接触过这类资质的小伙伴可能会比较迷茫，不知道如何入手，下面擎标来给大家讲解一下信息安全管理体系和信息安全服务资质的异同点。

一、ISO27001是什么？

ISO27001是信息安全管理体系认证，是由国际标准化组织(ISO)采纳英国标准协会BS7799-2标准后实施的管理体系，成为了“信息安全管理”的国际通用语言，企业建立ISO27001体系能有效保证企业在信息安全领域的可靠性，降低企业泄密风险，更好的保存核心数据和重要信息。

ISO27001针对信息安全领域，不仅包含资产管理、数据处理以及信息管理等技术层面要求，还涉及法律法规、人员管理、权限管理等诸多方面，对信息安全、隐私保护管理提出了非常具体的要求和标准。该标准通过14个安全控制域、114项控制措施的选择和落实，实现了对信息安全的全面保障。

 

二、CCRC是什么?

信息安全服务资质是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的信息安全服务资质进行评价。

信息安全服务资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。共分7个不同的方向，分别是：安全集成、安全运维、应急处理、风险评估、灾难备份与恢复、安全软件开发、网络安全审计。申请方可根据自身业务需求来申请对应方向的。

 

三、两个证书的不同点

（一）．评审机构不同

1、ISO27001审批组织较多，只要通过国家认监委办理备案，具有审批ISO的权威认证都能够从事审核工作并颁发证书；

2、CCRC现在只有中国网络安全审查技术与认证中心（CCRC，原中国信息安全认证中心）一家机构可以审批的企业资质证书。

（二）申请条件差异

ISO27001申请条件：

1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;

2、申请方的信息安全管理体系已按ISO/IEC 27001:2005标准要求建立，并实施运行3个月以上。

3、至少完成一次内部审核，并进行了管理评审。

4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

CCRC申请条件：

根据申请方向和申请等级来，申请条件有所区别。

等级

硬性要求

三级

提供近三年完成1个申请方向的项目

年审需要2本cisaw证书

从事行业至少4个月

二级

提供近三年完成的6个项目并抽查2个项目

年审需要6本cisaw证书

从事行业至少3年/取得三级资质1年以上

一级

提供近三年完成的10个项目并抽查2个项目

年审需要10本cisaw证书

从事行业至少5年/取得二级资质1年以上

 

（三）侧重点不同

1、ISO27001信息安全管理体系侧重信息安全管理领域；

2、信息系统安全服务资质侧重在信息安全服务领域，管理和服务属于不同的两个领域。

（四）作用不同

1、根据iso信息安全体系认证，能够有效控制信息网络资源,维护信息化过程身心健康、井然有序、可持续发展观，表明机构信息安全管理方法已设立了一套科学合理有效管理管理体系做为确保，偏重于信息安全管理方法行业；

2、根据信息系统安全服务分类分级的认证证书，能够对信息安全服务服务提供商的最基本资质、管理水平、专业能力与服务过程能力等多个方面权威性、客观性、公正的点评，证明其服务水平，达到社会对提供服务的挑选要求，与此同时，验证全过程都将合理推动服务提供方完善自身体系管理，提升服务质量和水平，指引领域身心健康发展创新，偏重于在信息安全服务行业，管理与服务归属于不同类型的2个行业。

四、两个证书的共同点

1. 都可用于企业投标加分，提升企业竞争力。

2. 出具的证书都是三年有效，每年会有一次监督审核，保证证书有效性。

通过这篇文章企业可以了解信息安全类资质的不同点，也能根据企业情况去判断哪些资质适合做，也可以通过擎标信息进行了解，擎标信息技术服务有限公司（www.itsscs.cn）是一家致力于科技风险与合规内控领域提供解决方案的咨询服务机构。公司主要从事ITSS、CMMI、ISO27001、ISO27701、ISO22301、ISO20000、CCRC、涉密资质等领域的管理规划、体系建设、工具支持及咨询评估服务。