很多IT企業(yè)想要了解信息安全類認(rèn)證，一般老板會和行政或者辦事人員說讓了解一下信息安全類資質(zhì)，可是咱們沒有接觸過這類資質(zhì)的小伙伴可能會比較迷茫，不知道如何入手，下面擎標(biāo)來給大家講解一下信息安全管理體系和信息安全服務(wù)資質(zhì)的異同點(diǎn)。

一、ISO27001是什么？

ISO27001是信息安全管理體系認(rèn)證，是由國際標(biāo)準(zhǔn)化組織(ISO)采納英國標(biāo)準(zhǔn)協(xié)會BS7799-2標(biāo)準(zhǔn)后實(shí)施的管理體系，成為了“信息安全管理”的國際通用語言，企業(yè)建立ISO27001體系能有效保證企業(yè)在信息安全領(lǐng)域的可靠性，降低企業(yè)泄密風(fēng)險，更好的保存核心數(shù)據(jù)和重要信息。

ISO27001針對信息安全領(lǐng)域，不僅包含資產(chǎn)管理、數(shù)據(jù)處理以及信息管理等技術(shù)層面要求，還涉及法律法規(guī)、人員管理、權(quán)限管理等諸多方面，對信息安全、隱私保護(hù)管理提出了非常具體的要求和標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)通過14個安全控制域、114項控制措施的選擇和落實(shí)，實(shí)現(xiàn)了對信息安全的全面保障。

?

二、CCRC是什么?

信息安全服務(wù)資質(zhì)是信息安全服務(wù)機(jī)構(gòu)提供安全服務(wù)的一種資格，包括法律地位、資源狀況、管理水平、 技術(shù)能力等方面的要求。信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)國家法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范，按照認(rèn)證基本規(guī)范及認(rèn)證規(guī)則，對提供信息安全服務(wù)機(jī)構(gòu)的信息安全服務(wù)資質(zhì)進(jìn)行評價。

信息安全服務(wù)資質(zhì)級別分為一級、二級、三級共三個級別，其中一級最高，三級最低。共分7個不同的方向，分別是：安全集成、安全運(yùn)維、應(yīng)急處理、風(fēng)險評估、災(zāi)難備份與恢復(fù)、安全軟件開發(fā)、網(wǎng)絡(luò)安全審計。申請方可根據(jù)自身業(yè)務(wù)需求來申請對應(yīng)方向的。

?

三、兩個證書的不同點(diǎn)

（一）．評審機(jī)構(gòu)不同

1、ISO27001審批組織較多，只要通過國家認(rèn)監(jiān)委辦理備案，具有審批ISO的權(quán)威認(rèn)證都能夠從事審核工作并頒發(fā)證書；

2、CCRC現(xiàn)在只有中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（CCRC，原中國信息安全認(rèn)證中心）一家機(jī)構(gòu)可以審批的企業(yè)資質(zhì)證書。

（二）申請條件差異

ISO27001申請條件：

1、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件;

2、申請方的信息安全管理體系已按ISO/IEC 27001:2005標(biāo)準(zhǔn)要求建立，并實(shí)施運(yùn)行3個月以上。

3、至少完成一次內(nèi)部審核，并進(jìn)行了管理評審。

4、信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。

CCRC申請條件：

根據(jù)申請方向和申請等級來，申請條件有所區(qū)別。

等級

硬性要求

三級

提供近三年完成1個申請方向的項目

年審需要2本cisaw證書

從事行業(yè)至少4個月

二級

提供近三年完成的6個項目并抽查2個項目

年審需要6本cisaw證書

從事行業(yè)至少3年/取得三級資質(zhì)1年以上

一級

提供近三年完成的10個項目并抽查2個項目

年審需要10本cisaw證書

從事行業(yè)至少5年/取得二級資質(zhì)1年以上

?

（三）側(cè)重點(diǎn)不同

1、ISO27001信息安全管理體系側(cè)重信息安全管理領(lǐng)域；

2、信息系統(tǒng)安全服務(wù)資質(zhì)側(cè)重在信息安全服務(wù)領(lǐng)域，管理和服務(wù)屬于不同的兩個領(lǐng)域。

（四）作用不同

1、根據(jù)iso信息安全體系認(rèn)證，能夠有效控制信息網(wǎng)絡(luò)資源,維護(hù)信息化過程身心健康、井然有序、可持續(xù)發(fā)展觀，表明機(jī)構(gòu)信息安全管理方法已設(shè)立了一套科學(xué)合理有效管理管理體系做為確保，偏重于信息安全管理方法行業(yè)；

2、根據(jù)信息系統(tǒng)安全服務(wù)分類分級的認(rèn)證證書，能夠?qū)π畔踩?wù)服務(wù)提供商的最基本資質(zhì)、管理水平、專業(yè)能力與服務(wù)過程能力等多個方面權(quán)威性、客觀性、公正的點(diǎn)評，證明其服務(wù)水平，達(dá)到社會對提供服務(wù)的挑選要求，與此同時，驗證全過程都將合理推動服務(wù)提供方完善自身體系管理，提升服務(wù)質(zhì)量和水平，指引領(lǐng)域身心健康發(fā)展創(chuàng)新，偏重于在信息安全服務(wù)行業(yè)，管理與服務(wù)歸屬于不同類型的2個行業(yè)。

四、兩個證書的共同點(diǎn)

1.?都可用于企業(yè)投標(biāo)加分，提升企業(yè)競爭力。

2.?出具的證書都是三年有效，每年會有一次監(jiān)督審核，保證證書有效性。

通過這篇文章企業(yè)可以了解信息安全類資質(zhì)的不同點(diǎn)，也能根據(jù)企業(yè)情況去判斷哪些資質(zhì)適合做，也可以通過擎標(biāo)信息進(jìn)行了解，擎標(biāo)信息技術(shù)服務(wù)有限公司（www.itsscs.cn）是一家致力于科技風(fēng)險與合規(guī)內(nèi)控領(lǐng)域提供解決方案的咨詢服務(wù)機(jī)構(gòu)。公司主要從事ITSS、CMMI、ISO27001、ISO27701、ISO22301、ISO20000、CCRC、涉密資質(zhì)等領(lǐng)域的管理規(guī)劃、體系建設(shè)、工具支持及咨詢評估服務(wù)。