京华北斗(北京)管理咨询有限公司
主营产品: ISO9001、ISO27001、ISO13485 、GB/T50430、ISO22000、ISO20000、ISO45001、ISO14001、HACCP、ITSMS20000、CCC、CQC、TS16949、ISO系列认证、资质认证、产品认证等
CCRC和 ISO27001存在以下一些相同点:
发布时间:2024-11-21

CCRC(中国网络安全审查技术与认证中心开展的信息安全服务资质认证)和 ISO 27001(信息安全管理体系认证)存在以下一些相同点:

一、关注信息安全领域


核心主题:

两者都紧密围绕信息安全这一核心主题展开。CCRC 主要侧重于对企业在信息安全服务方面的能力进行评估和认证,确保企业在开展诸如安全集成、安全运维、风险评估等具体信息安全服务时,能保障相关信息的安全。

ISO 27001 聚焦于企业整体的信息安全管理体系的建立、实施、维护和持续改进,旨在通过一套完善的管理体系来确保企业自身以及相关方的信息资产安全,涵盖信息的保密性、完整性和可用性等方面。

二、重视管理体系建设


体系构建要求:

CCRC 认证虽然重点在考察企业的信息安全服务能力,但也要求企业具备相应的管理体系来支撑这些服务的开展。例如,在人员管理方面要有明确的岗位职责和资质要求,在项目管理上要有规范的流程和质量控制措施等,以此构建起能保障信息安全服务有效开展的管理体系。

ISO 27001 更是以信息安全管理体系的建设为核心,要求企业全面识别信息资产,进行风险评估,制定控制措施,编制管理手册、程序文件等一系列文件来构建完整的信息安全管理体系,确保其有效运行以保护信息资产安全。

持续改进强调:

获得 CCRC 认证的企业在证书有效期内,需要通过每年的监督审核等方式不断完善自身的信息安全服务管理体系。针对审核中发现的问题进行整改,持续提升服务能力和管理水平,以适应不断变化的信息安全市场需求和技术发展。

同样,ISO 27001 认证企业在取得证书后,也需定期进行内部审核和管理评审,根据审核结果对管理体系进行持续改进,优化风险控制措施、提升信息安全管理的有效性等,确保信息安全管理体系始终保持良好的运行状态和有效性。

三、认证流程存在相似环节


前期准备工作:

对于 CCRC 和 ISO 27001 认证,企业在申请认证之前都需要进行自我评估。CCRC 要求企业评估自身在人员、技术能力、管理体系、项目经验等方面是否满足相应认证等级的要求;ISO 27001 则要求企业判断自身是否具备构建和实施信息安全管理体系的基础条件,包括对现有信息资产的识别、风险评估能力等方面的评估。

并且,两者在前期准备阶段都需要准备相关的证明材料。CCRC 需要准备如基本资质证明材料、人员资质证明材料、管理体系证明材料、项目经验证明材料等;ISO 27001 则需要准备关于信息资产识别、风险评估、管理体系构建等方面的证明材料。

审核环节:

两种认证都包含文件审核和现场审核环节。在文件审核阶段,认证机构会对企业提交的申请材料进行审核,检查材料的完整性、准确性以及是否符合相应认证标准的要求。如果文件审核发现问题,都会通知企业补充或修改材料。

经过文件审核通过后,都会进入现场审核环节。对于 CCRC,一级和二级项目在文件审核通过后会进行现场审核,对企业的办公现场及其服务实施现场进行验证;对于 ISO 27001,现场审核会对企业的办公现场、生产现场等进行实地考察,验证管理体系的实际运行情况。

认证决定与后续监督:

在完成审核后,两者都会根据审核结果做出认证决定,颁发认证证书给符合要求的企业,或者通知企业不通过的原因。

而且,获得认证证书后,企业都需要接受定期的监督审核。CCRC 认证证书有效期通常为三年,企业每年需要进行一次监督审核;ISO 27001 认证证书有效期一般为三年,认证机构也会每年对企业进行一次监督审核。在监督审核中发现企业不符合认证要求,都会要求企业限期整改,若整改后仍不符合要求,可能会会吊销证书。


虽然 CCRC 和 ISO 27001 有上述相同点,但它们在认证侧重点、适用范围等方面仍存在明显区别,企业应根据自身实际情况选择适合的认证方式。


展开全文
拨打电话 微信咨询 发送询价