京华北斗(北京)管理咨询有限公司
主营产品: ISO9001、ISO27001、ISO13485 、GB/T50430、ISO22000、ISO20000、ISO45001、ISO14001、HACCP、ITSMS20000、CCC、CQC、TS16949、ISO系列认证、资质认证、产品认证等
CCR和ISO20000有一些相似点
发布时间:2024-11-21

CCRC(中国网络安全审查技术与认证中心开展的信息安全服务资质认证)和 ISO 20000(信息技术服务管理体系认证)虽然存在诸多差异,但也有一些相似点,主要体现在以下几个方面:

一、目的部分重合


提升服务质量:

两者都旨在促使企业提升相关服务的质量。CCRC 通过对信息安全服务领域各项能力的考核,确保企业在开展如安全集成、安全运维等具体信息安全服务时,能以专业、规范的方式进行,从而为客户提供高质量的信息安全服务。

ISO 20000 则聚焦于信息技术服务管理体系,促使企业建立完善的服务管理流程,从服务策划、交付到支持、改进等各个环节进行规范,以此提升企业提供信息技术服务的整体质量,满足客户对信息技术服务的需求。

二、都涉及管理体系相关内容


管理体系构建与运行:

CCRC 认证要求企业具备健全的管理体系来支撑其信息安全服务业务的开展。例如,在人员管理方面,要有明确的人员资质要求、岗位职责划分等;在项目管理上,需对项目的流程、质量控制等有相应规定,以确保整个信息安全服务管理体系能够有效运行。

ISO 20000 更是围绕信息技术服务管理体系展开,要求企业构建包括管理方针、目标设定、程序文件编制等在内的完整管理体系,并通过实施、审核等环节确保其持续有效运行,以实现对信息技术服务的科学管理。

持续改进要求:

获得 CCRC 认证的企业在证书有效期内,需要通过每年的监督审核等方式不断完善自身的信息安全服务管理体系,针对审核中发现的问题进行整改,持续提升服务能力和管理水平,以适应不断变化的信息安全市场需求和技术发展。

同样,ISO 20000 认证企业在取得证书后,也需定期进行内部审核和管理评审,根据审核结果对管理体系进行持续改进,优化服务流程、提升资源利用效率等,确保信息技术服务管理体系始终保持良好的运行状态和有效性。

三、认证流程有相似环节


前期准备工作:

无论是 CCRC 还是 ISO 20000 认证,企业在申请认证之前都需要进行自我评估。对于 CCRC,企业要评估自身在人员、技术能力、管理体系、项目经验等方面是否满足相应认证等级的要求;对于 ISO 20000,企业要判断自身是否具备构建和运行信息技术服务管理体系的基础条件,包括对现有服务流程、人员能力、资源配置等方面的评估。

并且,两者在前期准备阶段都需要准备相关的证明材料。CCRC 需要准备如基本资质证明材料、人员资质证明材料、管理体系证明材料、项目经验证明材料等;ISO 20000 则需要准备关于管理体系构建、服务流程设计、人员培训等方面的证明材料。

审核环节:

两种认证都包含文件审核和现场审核环节。在文件审核阶段,认证机构会对企业提交的申请材料进行审核,检查材料的完整性、准确性以及是否符合相应认证标准的要求。如果文件审核发现问题,都会通知企业补充或修改材料。

经过文件审核通过后,都会进入现场审核环节。对于 CCRC,一级和二级项目在文件审核通过后会进行现场审核,对企业的办公现场及其服务实施现场进行验证;对于 ISO 20000,现场审核会对企业的办公现场、生产现场等进行实地考察,验证管理体系的实际运行情况。

认证决定与后续监督:

在完成审核后,两者都会根据审核结果做出认证决定,颁发认证证书给符合要求的企业,或者通知企业不通过的原因。

而且,获得认证证书后,企业都需要接受定期的监督审核。CCRC 认证证书有效期通常为三年,企业每年需要进行一次监督审核;ISO 20000 认证证书有效期一般为三年,认证机构也会每年对企业进行一次监督审核。在监督审核中发现企业不符合认证要求,都会要求企业限期整改,若整改后仍不符合要求,可能会吊销证书。


综上所述,CCRC 和 ISO 20000 认证在提升服务质量、涉及管理体系相关内容以及认证流程等方面存在一些相似点,不过它们在具体侧重点、适用范围等方面还是有明显区别的,企业应根据自身实际情况选择适合的认证方式。


展开全文
拨打电话 微信咨询 发送询价