通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。安全运维资质认证是对安全运维服务方的基本资格、管理能力、技术能力和安全运维过程能力等方面进行评价。安全运维服务资质级别是衡量服务提供方的安全运维服务资格和能力的尺度。
通过对软件开发过程的控制,将开发的软件存在的风险控制在可接受的水平。软件安全开发资质认证是对软件开发方的基本资格、管理能力、技术能力和软件安全过程能力等方面进行评价。安全软件开发服务资质级别是衡量服务提供方的软件安全开发服务资格和能力的尺度。
获证后的监督审核周期
(1)每年均需监督审核,提前2个月提交监督审核通知单回执及自评价表(系统提前3个月邮件通知);
(2)原则上证后第1年监督审核为现场审核;
(3)在认证风险可控的情况下,原则上证后第2年为非现场审核,第3年为现场审核,以此类推;
(4)若存在影响认证有效性的情况,增加现场审核的频度与部分项的审核力度。