四川CCIA认证标准

安全集成服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。

应急处理服务资质简介。信息安全应急处理服务是通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应，并在安全事件一旦发生后进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程。应急处理服务是保障业务连续性的重要手段之一，它涵盖了在安全事件发生后为了维持和恢复关键业务所进行的系列活动。信息安全应急处理服务资质认证是对应急处理服务提供方的基本资格、管理能力、技术能力和应急处理服务过程能力等方面进行评价。信息安全应急处理服务资质级别是衡量服务提供方应急处理服务资格和能力的尺度。

工业控制系统安全服务资质认证是对工业控制系统安全服务方的基本资格、管理能力、技术能力和工业控制系统安全服务过程能力等方面进行评价。

认证好处
获得ISMS认证您将获得以下好处：
 保护企业的知识产权、商标、竞争优势
 维护企业的声誉、品牌和客户信任
 减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失
 强化员工的信息安全意识，规范组织信息安全行为
 在信息系统受到侵袭时，确保业务持续开展并将损失降到低程度

系统规划主要是明确信息安全管理的目标、范围和政策，并收集和公司信息安全相关的数据、文件。系统规划阶段应该由一个跨部门的「信息安全」来负责，并且拥有高管理的支持。

ISMS的目标是透过系统的安全风险评估确定安全需求，并对实施控制措施的支出与安全事故可能造成的商业损失进行权衡考虑；透过风险评估可以了解风险的权重和等级，以供建立安全控制机制的参考。风险评估的过程包括：
*资产清查、分类与评价
*威胁与脆弱性分析
*对业务需求、法规需求的评估
*评估风险等级
*评估可接受之风险等级
*建议安全控制措施
风险评估的总结报告应该呈现给「信息安全」来评估处理风险的策略(移转、避免、降低或接受)，以及决定开始用的工具和办法。