Negocios del Centro de Certificación de Seguridad de la Información de China

En febrero de 2001, la Administración General de Supervisión de Calidad, Inspección y Cuarentena emitió el "Reglamento de Gestión de Certificación Obligatoria de Productos", reemplazando la importación original por el sistema de certificación obligatoria de productos.

Sistema de licencias de calidad y seguridad de productos básicos y sistema de certificación de seguridad de productos eléctricos. La certificación obligatoria de productos de China se conoce como certificación CCC o certificación 3C. Es un sistema de certificación de seguridad legal y obligatorio, y también es una práctica básica ampliamente adoptada internacionalmente para proteger los derechos e intereses de los consumidores y mantener la seguridad personal y de propiedad de los consumidores. En el ámbito de la certificación obligatoria de productos, la agencia de certificación designada para productos WLAN y productos de seguridad de la información es el Centro de Certificación de Seguridad de la Información de China. Sistema de gestión de seguridad de la información

Daños por virus, ataques de hackers, parálisis del sistema, errores de empleados y daños maliciosos, espionaje comercial, etc. Cada vez más problemas de seguridad de la información se han convertido en importantes riesgos de seguridad que amenazan la supervivencia y el desarrollo de las organizaciones. El Sistema de Gestión de Seguridad de la Información (SGSI) basado en el último estándar internacional ISO/IEC27001:2005 es la solución de seguridad de la información más avanzada del mundo y está siendo adoptado por cada vez más organizaciones. Utiliza el método de proceso PDCA y 133 medidas de control de seguridad de la información para ayudar a las organizaciones a resolver problemas de seguridad de la información y alcanzar objetivos de seguridad de la información. La certificación ISMS es un medio eficaz para que las organizaciones demuestren que sus niveles y capacidades de seguridad de la información cumplen con los requisitos de los estándares internacionales. Ayudará a las organizaciones a ahorrar costos de seguridad de la información, mejorar la confianza de los clientes, socios y otras partes relevantes, y mejorar la imagen pública y la competitividad de la organización.

La norma ISO/IEC 27001 es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro). ISO/IEC 27001 presenta requisitos para el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora de SGSI documentados desde la perspectiva del riesgo comercial general de la organización. Especifica requisitos para la implementación de controles de seguridad personalizados para satisfacer las necesidades de diferentes organizaciones o sus departamentos.

La certificación ISO/IEC 27001 puede aportar los siguientes beneficios a las organizaciones: 1. Permitir que la organización obtenga el mejor modelo operativo de seguridad de la información; 2. Garantizar la seguridad del negocio de la organización; 3. Reducir los riesgos comerciales y evitar pérdidas organizacionales; 4. Mantener las principales ventajas competitivas de la organización; 6. Mejorar la competitividad de la organización; 7. Cumplir con los requisitos del cliente; 8. Garantizar el desarrollo sostenible del negocio de la organización; 9. Hacer que la organización cumpla mejor con las leyes y regulaciones;

Certificación de calificación de servicios

El Centro de certificación de seguridad de la información de China es una organización aprobada por la Administración Nacional de Certificación y Acreditación para participar en la certificación de calificación de servicios de seguridad de la información.

(Para más detalles, consulte la Carta de aprobación del organismo de certificación CNCA-R-2007-138). En la "Respuesta sobre la aprobación del Centro de Certificación de Seguridad de la Información de China para participar en el trabajo piloto de certificación y capacitación de servicios de seguridad de la información", Guo Shen Han [2007] No. 150 aclaró que el centro es una unidad piloto para llevar a cabo la seguridad de la información. negocio de certificación de calificación de servicios. Al mismo tiempo, el centro también ha sido reconocido por el Servicio Nacional de Acreditación para la Evaluación de la Conformidad de China, número de certificado: No. CNASCO66-V. La certificación de calificación de los servicios de seguridad de la información se basa en las leyes y regulaciones nacionales, los estándares nacionales y los estándares de la industria. y especificaciones técnicas, así como especificaciones básicas de certificación y reglas de certificación para evaluar las calificaciones de los servicios de seguridad institucional en servicios de seguridad de la información. Estándares de certificación: La certificación de calificación de los servicios de seguridad de la información se basa en las leyes y reglamentos nacionales, los estándares nacionales, los estándares de la industria y las especificaciones técnicas. Actualmente, el Centro de Certificación de Seguridad de la Información de China ha lanzado un negocio de certificación de calificación de respuesta a emergencias de seguridad de la información, basado en YD/T 1799-2008 "Método de evaluación de calificación del servicio de respuesta a emergencias de seguridad de la información y redes".

YD/T 1799-2008 "Método de evaluación de calificación del servicio de respuesta a emergencias de seguridad de la información y la red" se basa en los requisitos de la gestión del servicio de respuesta a emergencias de seguridad de la información y la red de mi país, teniendo en cuenta la seguridad de la información y la red nacional proveedores de servicios de respuesta a emergencias La situación real se formula con referencia a YD/T 1621-2007 "Criterios de evaluación de calificación de servicios de seguridad de la información y redes" y "Sistema de información informática". El objeto de evaluación de este estándar es proporcionar una respuesta a emergencias de seguridad de la información y las redes.

Los servicios de emergencia de seguridad de la información de red son uno de los medios importantes para garantizar la continuidad del negocio. Cubre una serie de actividades para mantener y restaurar aplicaciones críticas después de un incidente de seguridad. El nivel de calificación del servicio de respuesta a emergencias de seguridad de la información y la red es una medida de las calificaciones y capacidades del servicio de respuesta a emergencias del proveedor de servicios. Los niveles de calificación se dividen en tres niveles, el nivel más alto y el nivel más bajo.

La evaluación de la calificación del servicio de emergencia de seguridad de la información y la red es una medición y evaluación específicas del estado de calificación, la solidez económica, las capacidades técnicas y la capacidad para implementar procesos de servicio de emergencia de los proveedores de servicios de emergencia de seguridad de la información y la red. Este estándar especifica los requisitos de calificación de servicios para organizaciones que brindan servicios de respuesta a emergencias de seguridad de la información y redes a propietarios de sistemas de información, así como los métodos de evaluación para organizaciones que brindan servicios de respuesta a emergencias de seguridad de la información y redes. Este estándar es adecuado para que agencias de evaluación de terceros evalúen las calificaciones del servicio de respuesta a emergencias de seguridad de la información y la red de organizaciones que brindan servicios de respuesta a emergencias de seguridad de la información y la red. Puede usarse como base para que los propietarios de sistemas de información seleccionen organizaciones que brinden servicios de red. y servicios de respuesta a emergencias de seguridad de la información, que pueden usarse como especificaciones técnicas para que las autoridades competentes pertinentes administren organizaciones que brindan servicios de respuesta a emergencias de seguridad de la información y redes. Puede usarse como referencia para que las agencias de certificación certifiquen organizaciones que brindan redes e información. Servicios de respuesta a emergencias de seguridad. También se puede utilizar como referencia para organizaciones que brindan servicios de respuesta a emergencias de seguridad de la información y redes. Proporcionar orientación a las instituciones para mejorar sus capacidades.

YD/T 1621-2007 "Estándares de evaluación de calificación de servicios de seguridad de información y redes" estipula los requisitos de calificación de servicios de seguridad de información y redes para organizaciones que brindan servicios de seguridad de información y redes a empresas operadoras de telecomunicaciones. operadores de telecomunicaciones. Evaluación de las calificaciones de servicios de seguridad de la información y de redes de las organizaciones que brindan servicios de seguridad de la información y de redes a empresas operativas. Puede servir como especificación técnica para que las autoridades nacionales competentes pertinentes administren e inspeccionen las agencias de servicios de seguridad de la información y las redes, y también puede usarse como guía para que las agencias que brindan servicios de seguridad de la información y las redes mejoren sus capacidades. Este estándar involucra servicios de consultoría de seguridad de la información, servicios de ingeniería de seguridad de la información, servicios de capacitación en seguridad de la información y servicios de soporte de operaciones de seguridad de la información.