CCRC(中国网络安全审查技术与认证中心)安全运维服务资质认证和ITSS(信息技术服务标准)是两个不同的体系,它们在目的、内容、实施机构和应用范围等方面有所区别:
内容不同
CCRC
CCRC信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。信息系统安全运维服务认证是CCRC认证主要方向之一,是对安全运维服务方的基本资格、管理能力、技术能力和安全运维过程能力等方面进行评价。CCRC的内容多为符合安全等级要求的资格认定条件,侧重于评估组织的信息安全运维服务能力。
ITSS
ITSS是在工业和信息化部、国家标准化管理委员会的联合指导下,由国家信息技术服务标准工作组组织研究制定的,是我国IT服务行业最佳实践的总结和提升,也是我国从事IT服务研发、供应、推广和应用等各类组织自主创新成果的固化。ITSS充分借鉴了质量管理原理和过程改进方法的精髓,规定了IT服务的组成要素和生命周期,并对其进行标准化。ITSS提供了关于如何实施能力管理和能力四要素的具体要求,为企业提升运维服务能力给出方法和途径。
关注点不同
CCRC安全运维服务资质主要衡量服务提供方的安全运维服务资格和能力。
ITSS面向服务的供需双方,更强调相关性、关键性和可重复性,关注能力管理和人员、过程、技术和资源这四个能力要素。
适用对象不同
CCRC适用于运维服务供方,用于进行等级评定。
ITSS适用于运维服务的供需双方,既帮助需方选择和评价供方,也帮助供方提升自身能力。
级别设置不同
CCRC
CCRC认证分为三个级别,其中一级最高,三级最低。首次认证可以认证二级或三级。
ITSS
ITSS认证分为四个级别,从低到高依次为四、三、二、一表示,对应基本级(四级)、拓展级(三级)、改进(协同)级(二级)、提高(量化)级(一级)。首次认证可以认证三级或四级。
