信息安全服务资质认证自评估表公共管理
信息安全服务资质认证自评估表-公共管理
48.
中国信息安全认证中心 制
第 9 页 共 9 页
序 号
自评估 结论 要点 条款 需提供证明材料 符 合 不 符 合 证明材料清单
1.
仅适用于初次认证 财务审计报告或(仅限于三级)加盖 近3年经营状况良好,财务数据真实可 本单位公章的财务报表(近 3 年) 。 信,应提供在中华人民共和国境内登记 注册的会计师事务所出具的近 3年财务 财务资信 审计报告。 要求 监督审核: 应提供在中华人民共和国境内登记注 册的会计师事务所出具的近1 年财务审 计报告。
36.
申请一级 资质条件
37. 38.
以下内容适用于年度监督 近一年业务发展情况,签订、完成的 项目数量及情况,项目经验及教训
业绩情况
业绩情况
中国信息安全认证中心 制
第 7 页 共 9 页
ISCCC-QOT-0432-B/2
信息安全服务资质认证自评估表-公共管理
序 号
自评估 结论 要点 条款 需提供证明材料 符 合 等。 不 符 合 证明材料清单
8.
9.
10. 技术工具 要求 11.
用于信息安全服务的主要软、硬件工 具清单;工具管理程序和要求;有自 主开发产品或工具,并在安全服务项 目中实际应用,需详细介绍,提供产 品销售许可证或软件著作权证书。 提供首个信息安全服务(与申报类别 一致)项目合同,其中包括但不限于 项目名称、合同签订时间、项目验收 时间。 信息安全服务项目(与申报类别一 致)合同及验收报告,项目清单包括 但不限于项目名称、合同金额、签订 时间、验收时间、项目数量、服务内 容等,提交申请书时间为截止时间。
客户投诉制度建设,投诉及处理情况
上一年度提出的观察项跟踪验证情况(如有)
信息安全服务资质公共管理类自评估表讲课教案
信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。
信息安全服务资质认证自评估表-公共管理【模板】
信息安全服务资质认证自评估表-公共管理填表说明:
1、该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
2、表中要求的所有程序文件均已发布实施。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》级要求,申请第三方审核。
信息系统安全集成服务资质认证自评估表.doc
25.
安全保障-系统试运行
为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况,试运行周期至少一个月。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。系统试运行记录。
26.
仅二级/一级要求:试运行结束后,项目组制定系统试运行报告,并提交客户。
仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制需求分析报告。
6.
仅一级要求:协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
7.
集成准备-签订服务协议
与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
2.
基于系统建设需求,提出产品选型方案和建设预算。
3.
结合系统建设和安全需求,与客户、设计、开发等充分沟通,达成共识并形成记录。
4.
仅二级/一级要求:准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求,提出系统安全保障策略和建议。
系统安全需求分析报告,内容应覆盖审核条款要求。
5.
29.
仅一级要求:提供三个月以上的试运行记录和报告。
30.
安全保障-验收
根据合同约定,配合组织项目验收,出具项目验收报告。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。项目终验报告。
自评估结论:
经自主评估,本单位的信息系统安全集成服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方评审。
仅二级/一级要求:产品、设备安装调试过程中,应完整妥善记录相关信息,并提交完工报告。
信息系统安全运维服务资质认证自评估表
应急响应服预案,应急演练的记录;
变更管理程序,已审批并发布;
运维过程中的变更记录单。
54.
仅一级要求:建立运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
针对运维有审批并发布的变更管理程序;运维过程中的变更应有响应的变更记录。
仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
安全运维服务目录,内容包含条款要求。
13.
信息系统相关的IT资产进行识别。
IT资产识别清单,内容有IT资产识别的标识、分级、保护和软件配置建立基础资料档案;
有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。
14.
对安全设备进行日常维护及监控,并记录硬件故障。
安全设备的日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计的记录。
信息系统的可用性事件、计划、报告。
23.
仅二级要求:形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。
24.
仅一级要求:编制安全运维项目作业指导书。
安全运维项目中各模块作业指导书。
25.
仅一级要求:建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。
运维数据收集记录,内容应包含条款中的要求。
57.
对运维实现情况进行监视测量,未能实现的目标应采取纠正预防措施。
安全运维实现情况监视测量清单,如客户满意度、投诉建议、KPI等;
纠正预防措施记录单。
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序 号
要点
条款
需提供证明材料
自评估 结论
证明材料清单
符
合
不 符 合
1.
技术服务 要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程,流程图 中应包括每个阶段对应的职责、 输入 输出等。
2.
制定信息系统安全集成服务规范并按 照规范实施。
14.
仅二级/一级要求:结合技术方案,对 项目组及第三方配合人员进行业务和 技能培训。
项目方案设计阶段控制程序文件, 内 容应覆盖审核条款要求。提供业务和 技能的相关培训记录。
15.
仅一级要求:结合项目需要,编制安全 集成项目施工手册和作业指导书。
项目方案设计阶段控制程序文件, 内 容应覆盖审核条款的要求。提供安全 集成项目施工手册和作业指导书。
项目安全保障阶段控制程序文件, 内 容应覆盖审核条款的要求。提供项目 终验申请、项目终验报告。
40.
根据合同约定,配合组织项目验收,出 具项目验收报告
41.
安全保障-运行维护
根据合同约定,向客户提供维保服务, 并形成维保记录。
项目安全保障阶段控制程序文件, 内 容应覆盖审核条款的要求。提供系统 维护记录。
项目方案设计阶段控制程序文件,包
括明确工作内容、流程、文档模板, 内容应覆盖审核条款的要求。项目技
11.
结合技术方案和实施方案,与客户进行 沟通,获得客户认可。
丿术丿J案、实施丿J案、/沟通t记录。
12.
仅二级/一级要求:结合需求分析和客 户在保障系统安全方面的投入能力,提 出系统建设安全设计说明书,明确系统 架构、产品选型、产品功能、性能及配 置等参数。
信息安全风险评估服务资质认证自评估表
应对脆弱性进行赋值。
已完成项目的脆弱性赋值列表。
28.
风险识别阶段-威胁识别
应参考国家或国际标准,对威胁进行分类;
威胁分类清单。
29.
应识别所评估信息资产存在的潜在威胁;
已完成项目中的威胁识别清单。
30.
应识别威胁利用脆弱性的可能性;
已完成项目中分析威胁利用脆弱性可能性的证明材料。
31.
应分析威胁利用脆弱性对组织可能造成的影响。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
49.
风险处置阶段-组织评审会
仅一级要求:协助被评估组织召开评审会。
服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。
50.
仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。
25.
仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。
26.
风险识别阶段-脆弱性识别
应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技术脆弱性列表。
已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。
15.
应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。
16.
应对评估团队实施风险评估前进行安全教育和技术培训。
项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。
17.
信息安全服务资质公共管理填写指南
信息安全服务资质认证自评估表-公共管理填写指南填写要求:
1.当条款对应的需提供证明材料为营业证照、财务审计报告、房屋产权证明、租赁合同、人员简历、业绩等内容时,在“证明材料清单栏目”中直接按照本文档中的格式,填写关键内容即可。
2.当条款对应的需提供证明材料为制度或项目文档时,在“证明材料清单栏目”填写文档的完整名称。
例如《XX公司培训管理制度》、《XX公司项目管理制度》、《XX公司测评工具管理制度》等,并概括地介绍制度或项目文档各章节的主要内容。
3.当条款对应的需提供证明材料为记录文档时,在“证明材料清单栏目”填写记录的完整名称。
例如《2016年XX公司培训计划》、《XX 项目人员培训记录》、《XX公司供应商名录》等,并概括地介绍记录文档的主要内容。
4.当条款对应的需提供证明材料为某制度或文档的某章节内容时,在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。
例如《XX项目调研报告》第X章安全服务需求分析、《XX项目合同》第X条保密要求等,并对相关内容进行总结概括。
5.所有出现在“证明材料清单”栏目中的文档,都需提供相应的电子版文档或纸质文档的扫描件作为证明材料,并按照条款的序号建立文件夹整理归档,建立文件夹的格式为“序号-条款的考核内容”,例如“1-营业执照”、“2-审计报告”、“5-技术负责人简历”、“9-人员管理及培训”等。
以下给出了一份填写样例,供填报组织进行参考。
填报组织应按照填写样例的细粒度,进行相关信息的填报。
信息系统安全运维自评估表-信息安全服务资质
仅二级要求:建立信息系统安全配置
20.
库。
及的配置项,如安全设备的配置项有安全
策略、管理员账户、IP 等。
仅一级要求:建立信息系统应急事件
21.
响应机制和恢复保障。
信息系统的应急响应计划和恢复计划。
仅一级要求:编制安全运维项目作业 安全运维作业指导书,例如:配置核查操
22.
指导书。
作手册、常见安全事件处理指南等。
段-需求
信息系统安全运维预算,其中包括运维服
4.
调 研 与 进行信息系统运维预算,定义运维服 务内容、每项服务的工作量、每项服务的
分析
务。
人力资源项目经费等。
与客户进行沟通,达成共识并形成记 与客户沟通形成的记录,内容应有对运维
5.
录。
服务项目达成共识的体现。
证明材料清单
中国网络安全审查技术与认证中心 制
仅一级要求:建立应急响应和灾难恢
23.
复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
仅一级要求:在安全运维服务方案中
24.
明确漏洞管理的工作流程。
漏洞管理的方案、流程。
运维服 25. 务实施 实施初始服务,完成资产识别。
资产识别表,为 IT 资产的标识、分级、保 护和软件配置建立基础资料档案;有设备 和系统的种类、型号、功能、物理位置、 端口对应情况、部署情况等资产详细信
完整性、可用性(专职管理)。
项有安全策略、管理员账户、IP等。
仅二级/一级要求:实施安全设备、网
络设备、中间件、数据库、服务器等
34.
配置项的更新和维护记录。 资产的安全配置管理,定期对配置项
进行更新和维护。
信息安全应急处理服务资质认证自评估表
54.
提供网络或信息安全事件处理报告。
已完成项目的网络安全事件处理报告(报告模板及实际报告)。
55.
提供网络或信息安全方面的建议和意见,必要时指导和协助客户实施。
已完成项目中向客户提供的网络安全建议。
56.
仅二级/一级要求:网络与信息安全事件处理记录应具备可追溯性。
信息安全
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
服务技术要求
建立信息安全应急处理服务流程。
按照相关标准建立的信息安全应急处理服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定信息安全应急处理服务规范并按照规范实施。
已制定的信息安全应急处理服务规范。
27.
仅二级/一级要求:建立有针对常规应用系统、安全设备、常见网络与信息安全事件的检测技术规范。
提供相应的检测技术规范列表及各规范内容(范本或应用本),如针对windows、Aix、Unix、Linux、oracle、Firewalls、Router等。
28.
仅二级/一级要求:协助客户确定安全事件等级。
19.
仅一级要求:与客户之间建立安全保密的信息传输渠道。
与客户传输信息时采用可信及保密传输渠道的证明材料。
20.
仅一级要求:具有自主开发专业检测工具的能力。
该级别服务提供商需具备自主开发专业安全检测工具的能力,如有自主知识产权的工具产品(自主知识产权书、商用产品检测证书、安全产品认证证书等)。
21.
信息收集的过程及确定安全事件等级的证明材料。
信息安全风险评估服务资质认证自评估表
53.
上一年度提出的观察项整改情况(如有)
54.
55.
56.
上一年度提出的不符合项整改情况(如有)
57.
58.
自评估结论:
经自主评估,本单位的信息安全风险评估服务满足《信息安全服务规范》级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
14.
准备阶段-人员和工具管理
应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。
已完成项目的风险评估方案中对风险评估实施团队成员及团队构架的介绍。
15.
应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。
16.
应对评估团队实施风险评估前进行安全教育和技术培训。
48.
风险处置阶段-安全整改建议
仅二级/一级要求:对组织不可接受的风险提出风险处置措施。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
49.
风险处置阶段-组织评审会
仅一级要求:协助被评估组织召开评审会。
服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。
仅一级要求:需采取相关措施,保障工具管理的规范性。
已制定的工具管理制度及执行记录。
19.
风险识别阶段-资产识别
参考国家或国际标准,对资产进行分类。
参照已发布的标准,形成的资产分类列表。
20.
识别重
对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。
信息安全服务资质自评价表-中国信息安全认证中心
信息系统安全集成服务资质认证自评估表
提出的观察项整改情况(如有)提出的不符合项整改情况(如有)
CCRC-QOT-0429-B/4 信息系统安全集成服务资质认证自评估表自评估结论:
经自主评估,本单位的信息系统安全集成服务满足《信息安全服务规范》级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
中国网络安全审查技术与认证中心制第 5 页共5 页。
信息系统安全运维服务资质认证自评估表
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
43.
服务实施阶段
实施初始服务:完成资产识别,定期配置项的更新和维护,实施相关运维流程。
资产识别表,对配置项的更新和维护记录,实施相关运维流程的记录。
44.
实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
运维前的信息系统运维预算表,内容应包括工作量、人力资源项目经费、项目节点等。
3.
与客户进行沟通,达成共识并形成记录 。
运维前与客户沟通的记录,应有沟通结果双方达成共识的体现。
4.
仅二级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。
信息系统运维过程中的历史数据清单;
历史数据清单的分析报告,内容包含指标完成情况、违例操作、重大事件、重大(失败)变更等。
安全组织架构图及相关运维人员清单,其中应有安全领导小组;
外包模式的执行组中应有第三方参与运维的人员。
10.
仅一级要求:采用基于PDCA的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。
信息系统安全运维服务有策划,实施,监视与评审和持续改进流程。
11.
仅一级要求:建立安全运维可视化视图。基于信息系统安全的生命周期,建立信息系统安全运维的整体策略。基于客户、业务的价值体现,形成安全运维的整体视图。
纠正措施的进展情况;
可能影响安全运维服务的变更;
改进的机会,如指标为满足、运维中存在的问题、服务提升点等。
61.
仅一级要求:形成体系化的审核机制及企业文化。
信息安全服务资质认证自评估表公共管理[0001]资料
![信息安全服务资质认证自评估表公共管理[0001]资料](https://img.taocdn.com/s3/m/8328b78790c69ec3d4bb7512.png)
信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。
信息系统安全运维服务资质认证自评估表
收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。
有对网络及安全设备日志,服务器、操作系统等日志,网络应用日志的记录与分析报告。
18.
仅二级要求:对信息安全事件进行统计与分析。
信息安全事件的统计表,分析报告;
信息系统的可用性事件、计划、报告;
安全运维角色清单。
19.
仅二级要求:编写安全运维服务目录,目录内容包括但不限于:运维监控与分析、终端安全监控、等级保护合规性运维。
信息系统的可用性事件、计划、报告。
23.
仅二级要求:形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。
24.
仅一级要求:编制安全运维项目作业指导书。
安全运维项目中各模块作业指导书。
25.
仅一级要求:建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。
内部审核的响应文件与记录;
管理评审的响应文件与记录,内容应包含服务和流程的执行情况和符合性;
60.
仅二级要求:定期回顾安全运维服务,确保其持续适用和有效。管理评审的输入至少包括:客户反馈、服务和流程的执行情况和符合性、当前和预测资源水平、纠正措施的进展情况、可能影响安全运维服务的变更、改进的机会。
当前和预测资源水平;
15.
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
有安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件记录。
16.
采集系统配置、流量信息、系统状态等安全信息。
安全设备、业务系统的健康检查服务,应与安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件的记录。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全服务资质认证自评估表公共管理
填表说明:
、申请三级信息安全服务资质认证时,仅需填写该自评估表。
、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
、表中要求的所有程序文件均已发布实施。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。