信息安全应急处理自评估表(信息安全服务资质)
信息安全服务资质认证
信息安全服务资质认证
监督审核通知单
:
您好,贵组织已获中国网络安全审查技术与认证中心颁发的:
安全集成服务资质级认证证书(获证日期:年月日)
应急处理服务资质级认证证书(获证日期:年月日)
风险评估服务资质级认证证书(获证日期:年月日)
安全开发服务资质级认证证书(获证日期:年月日)
安全运维服务资质级认证证书(获证日期:年月日)
灾难备份与恢复服务资质A类级认证证书(获证日期:年月日)灾难备份与恢复服务资质B类级认证证书(获证日期:年月日)网络安全审计服务资质级认证证书(获证日期:年月日)
工业控制系统安全服务资质级认证证书(获证日期:年月日)根据《信息安全服务资质认证实施规则》的要求,贵方应于年月日前接受我中心的年度监督审核并交纳监督审核费用。
请在十个工作日内,将本通知的回执回复至本邮箱,我中心将在收到款项后开具发票并安排审核。
另外,请在贵方计划的审核日期两个月之前提交自评估材料(例如:如果计划在9月10日接受审核,自评估材料需在7月10日之前提交至中心,自评估表在“,自评估表及其附件要求的证明材料只接收电子版)。
如贵组织申请的认证类别和级别发生变化,针对有变化的认证类别需重新填写申请书和自评估表。
联系人:彭琳赓;联系电话:/4648
联系地址:北京市朝阳区朝外大街甲10号中国网络安全审查技术与认证中心。
收款账户:户名:中国信息安全认证中心;
开户行:中信银行北京国际大厦支行
账号:7
特此通知。
中国网络安全审查技术与认证中心
年月日
回执。
信息科技风险自评估表
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
信息安全工作缺乏有效的监督和评价,信息安全风险管理无法有效的落实和改进。
等级保护-安全管理机构-审核和检查
a)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;
b)应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
非法访问者对物理设施进行有意或者无意的破坏。
等级保护-物理安全-物理访问控制:
a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
ISO27001:2005-控制目标:
1、信息安全方针;2、信息安全组织;3、资产管理;4、人力资源安全;5、物理与环境安全;6、通讯及操作管理;7、访问控制;8、信息系统的获取、开发和维护;9、信息安全事故管理;10、业务连续性管理;11、符合性。
12
风险识别和评估流程
准确定位存在隐患的区域;评价风险对其业务的潜在影响;对风险进行分类排序;确定风险防范活动及必备资源的优先级。
d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
等级保护-物理安全-防盗窃和防破坏:
a)应将主要设备放置在机房内
b)应对设备或主要部件进行固定,并设置明显的不易除去的标记
c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中
d)应对介质分类标识,存储在介质库或档案室中
2019年最新的ISO27001-2018信息安全风险评估表(ISMS信息安全风险评估)
通过服务器备份数据
2
3
30
3
控制
增加专业数据备份系统,对数据进行实时备份
5
1
1
5
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份,设置放雷机制
1
2
10
1
接受
自然灾难:地震、洪水、台风
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份
不正确的废弃
人员缺乏安全意识
文件信息外泄
5
进行员工信息安全意识培训,
1
2
10
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
文件信息丢失,人事工作开展困难
5
设置必要的放火,放雷机制
2
3
30
3
接受
自然灾难:地震、洪水、台风
缺乏应急机制
文件信息丢失,人事工作开展困难
5
对重要数据进行定期移动硬盘备份
1
公司销售信息被竞争对手获得,业务无法开展
5
通过域控,系统密码控制,严格控制访问权限
SL-DATA-022
供应商合作协议书
采购合同
代理合同
厂商报价
合同
未经授权使用、访问、复制
缺乏物理防护机制
供应商信息被客户或竞争对手获得,供应商投诉或业务无法开展
5
合同报价等资料放在上锁的文件柜中
1
2
10
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
CCRC-QOT-0430-B 4 应急处理
仅一级要求:告知客户所发生事件可能涉及到的法律诉讼方面的法律要求或影响。
应急处理中涉及到司法相关告知的相关文档。
58.
上一年度提出的观察项整改情况(如有)
59.
60.
61.
上一年度提出的不符合项整改情况(如有)
62.
63.
自评估结论:
经自主评估,本单位的信息安全应急处理服务满足《信息安全服务规范》级要求,申请第三方审核。
根除建议(方案)的内容。
37.
应明确告知客户所采取的根除措施可能带来的风险。
应急处理根除阶段涉及的风险阐述及告知记录。
38.
找出导致网络或信息安全事件发生的原因,并予以彻底消除。
安全事件得到根除的证明材料。
39.
仅一级要求:应使用可信的工具进行安全事件的根除处理,不得使用受害系统已有的不可信文件。
根除过程中用到的可信工具列表、工具简介。
重建系统过程中关于数据备份的相关过程记录。
45.
(不需重建系统时适用该条款)应建立重建系统的应急工作流程及规范,并开展重建系统的应急演练工作。
重建系统的应急工作流程及规范,重建系统的应急演练记录。
46.
仅二级/一级要求:与客户共同制定系统恢复方案,根据实际情况协助客户选择合理的恢复方法。
形成的系统响进行分析的证明材料。
31.
抑制阶段
与客户充分沟通,使其了解所面临的首要问题及抑制处理的目的。
沟通的内容及结果。
32.
在采取抑制措施之前,应告知客户可能存在的风险。
应急处理抑制阶段涉及的风险阐述及告知记录。
33.
严格执行抑制处理方案中规定的内容,如有必要更改,须获得客户的授权。
7.
工具包应定期更新。
信息安全服务资质申请书(风险评估一级)
编号:国家信息安全测评信息安全服务资质申请书(风险评估一级)申请单位(公章):填表日期:©版权2014—中国信息安全测评中心2014年5月1日目录填表须知 (4)申请表 (5)一、申请单位基本情况 (6)二、申请单位概况 (7)三、申请单位近三年资产运营情况 (8)四、申请单位人员情况 (11)五、申请单位技术能力基本情况 (20)六、申请单位的安全风险评估服务过程能力 (24)6.1风险评估的准备 (25)6.2评估系统安全威胁的能力 (27)6.3评估系统脆弱性的能力 (29)6.4评估安全对系统的影响的能力 (31)6.5评估已有安全措施的能力 (33)6.6评估系统安全风险的能力 (35)七、申请单位的项目和组织过程能力 (37)7.1实现质量保证的能力 (38)7.2管理项目风险的能力 (40)7.3规划项目技术活动的能力 (43)7.4监控技术活动的能力 (46)7.5提供不断发展的知识和技能的能力 (49)7.6与供应商协调的能力 (52)八、申请单位安全服务项目汇总 (55)九、申请单位获奖、资格授权情况 (58)十、申请单位在安全服务方面的发展规划 (59)十一、申请单位其他说明情况 (60)十二、申请单位附加信息 (61)申请单位声明 (62)填表须知用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全测评中心对下列对象进行测评:●信息技术产品●信息系统●提供信息安全服务的组织和单位●信息安全专业人员2.申请单位应仔细阅读《信息安全服务资质申请指南(风险评估一级)》,并按照其要求如实、详细地填写本申请书所有项目。
3.申请单位应按照申请书原有格式进行填写。
如填写内容较多,可另加附页。
4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材料是否完整。
5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方,必须加盖公章,同时提交一份对应的电子文档。
CCRC-QOT-0434-B 4 安全运维
安全运维作业指导书,例如:配置核查操作手册、常见安全事件处理指南等。
23.
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
24.
仅一级要求:在安全运维服务方案中明确漏洞管理的工作流程。
漏洞管理的方案、流程。
25.
运维服务实施
12.
明确安全运维的方式,方式包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。
项目合同/协议中应有明确的安全运维模式。
13.
仅二级/一级要求:签订服务级别协议。
与客户签订的服务级别协议,协议中应承诺信息系统核心指标,如:可用性、安全事件解决率等。
14.
方案设计阶段
根据系统安全运维需求,编制安全运维服务方案,明确安全运维服务时间、服务内容、服务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管理等方面要求。
37.
仅一级要求:实施安全培训服务:完成安全意识、基本安全技术的培训服务。
安全培训服务记录。
38.
仅一级要求:实施安全通告及漏洞分析服务:完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告。
通告与漏洞分析记录,内容为业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告,以及基于通告进行的分析。
所运维信息系统的可用性指标,如整体指标或单系统指标等。
8.
仅二级/一级要求:分析以往服务的数据,提取出来未来可自动化的服务。(监审时适用)
运维服务报告,其中应对以往安全服务进行总结,对安全事件的解决效率进行分析,适宜时提出未来可自动化的服务。
(最新版)信息安全应急处置记录表
(最新版)信息安全应急处置记录表
本记录表用于记录信息安全应急处置过程中的关键信息,以便于分析和追踪事件处理情况。
请按照以下格式填写。
---
基本信息
事件名称
事件编号
报告日期
报告时间
报告人
报告人联系方式
受影响系统
受影响业务
受影响范围
是否影响生产环境
---
事件描述
事件发生时间
事件发现时间
事件描述
请详细描述事件发生的过程、现象以及可能的原因。
---
应急处置
应急响应等级
应急响应人员
应急响应时间
采取的措施
请详细描述采取的应急措施,包括初步排查、隔离、修复等步骤。
---
事件分析
原因分析
请分析事件发生的原因,包括系统、人员、操作等方面。
风险评估
请评估事件可能带来的风险,包括数据泄露、业务中断等。
---
后续处理
后续改进措施
请列出为防止类似事件再次发生而需要采取的改进措施。
整改责任人
整改完成时间
---
审批
审批人
审批时间
审批结果
---
备注
请记录其他需要说明或补充的信息。
信息安全风险服务资质认证自表填写
中国信息安全认证中心 制
第 1 页 共 12 页
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
组织名称 评估时间
XX 公司(全称) XX 年 X 月 X 日-X 月 X 日
申报级别
X级
评估部门/人员 XX 部/XX
自评估
序 要点
号
条款
需提供证明材料
结论 不
符 符
合 合
行业类型:
中国信息安全认证中心 制
第 2 页 共 12 页
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
自评估
序 要点
号
条款
需提供证明材料
结论 不
符 符
合 合
证明材料清单
该系统的用户数在 10,000 以上;具备从 脆弱性识别的材料。
系统规模(用户数):
管理和技术层面对脆弱性进行识别的
用户数在 100,000 以上;具备从业务、 层面对脆弱性进行识别的材料。
行业类型: 系统规模(用户数): 合同签订时间:
管理和技术层面对脆弱性进行识别的
项目验收时间:
能力。
合同金额:
3.项目名称:
行业类型:
系统规模(用户数):
合同签订时间:
项目验收时间:
合同金额:
中国信息安全认证中心 制
第 3 页 共 12 页
证明材料清单
提供《信息安全风险评估服务流程》(包含 XX 阶段、XX
阶段、XX 阶段、XX 阶段),对每个阶段的目标、角色、
1.
建立信息安全风险评估服务流程。 服务技术
要求
按照相关标准建立的信息安全风险 评估服务流程,流程图中应包括每个 阶段对应的职责、输入输出等。
互联网新闻信息服务安全评估分析及方法
T 互联网+安全Internet Security互联网新闻信息服务安全评估分析及方法□黄倩张晓然国家计算机网络应急技术处理协调中心河北分中心【摘要】互联网新闻信息服务是互联网技术、新闻行业融合发展的新型服务,为人们新闻信息获取提供了很大便捷。
但互联网自身 的不安全性也给新闻信息的传播带来了安全风险,针对互联网新闻信息服务的安全评估显得尤为重要。
本文分析了互联网新闻信息服 务安全风险和评估要素,以评估指引表方式对互联网新闻服务开展安全评估,为互联网新闻行业安全评估开展提供参考支撑。
【关键词】互联网新闻信息服务安全评估评估方法引言:近些年来,随着互联网行业蓬勃发展,在新闻信息服务 行业相关的新技术新应用也不断涌现。
各种各样互联网平台 更便捷的帮助人们获取新闻信息,快速地改变着当今社会的生活方式。
但与此同时,在新闻信息服务中利用互联网技术散播违 法违规信息等安全风险也随之而来,扰乱着互联网新闻信息 的传播秩序。
而互联网新闻信息服务开展新技术新应用安全评估,对 互联网新闻相关服务进行信息安全风险评估,可有效减少新 闻信息服务中网络违法犯罪的发生,推动新闻信息服务行业 更加健康有序发展。
一、 互联网新闻信息服务安全评估互联网新闻信息服务即新闻单位采用网站、应用程序、 公众账号、论坛、博客、网络直播等互联网平台,以更加便 捷的方式向大众提供新闻类服务,互联网新闻信息服务主要 包含三种,即采编发布服务、转载服务和传播服务。
互联网新闻信息服务新技术新应用安全评估(以下简称 “互联网新闻信息服务安全评估”)指对提供互联网新闻信 息服务的创新性应用(包括功能及应用形式)及相关支撑技 术,对其新闻舆论属性、社会动员能力及由此产生的信息内 容安全风险确定评估等级,审査评价其信息安全管理制度和 技术保障措施。
互联网新闻信息服务安全评估包括以下情形, 当满足任一情形时应及时开展安全评估:1. 应用新技术、调整增设具有新闻舆论属性或社会动员 能力的应用功能的;2.新技术、新应用功能在用户规模、功能属性、技术实现方式、基础资源配置等方面的改变导致新闻舆论属性或社 会动员能力发生重大变化的。
信息安全风险评估服务资质认证自评估表
应对脆弱性进行赋值。
已完成项目的脆弱性赋值列表。
28.
风险识别阶段-威胁识别
应参考国家或国际标准,对威胁进行分类;
威胁分类清单。
29.
应识别所评估信息资产存在的潜在威胁;
已完成项目中的威胁识别清单。
30.
应识别威胁利用脆弱性的可能性;
已完成项目中分析威胁利用脆弱性可能性的证明材料。
31.
应分析威胁利用脆弱性对组织可能造成的影响。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
49.
风险处置阶段-组织评审会
仅一级要求:协助被评估组织召开评审会。
服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。
50.
仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。
25.
仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。
26.
风险识别阶段-脆弱性识别
应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技术脆弱性列表。
已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。
15.
应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。
16.
应对评估团队实施风险评估前进行安全教育和技术培训。
项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。
17.
信息系统安全运维自评估表-信息安全服务资质
仅二级要求:建立信息系统安全配置
20.
库。
及的配置项,如安全设备的配置项有安全
策略、管理员账户、IP 等。
仅一级要求:建立信息系统应急事件
21.
响应机制和恢复保障。
信息系统的应急响应计划和恢复计划。
仅一级要求:编制安全运维项目作业 安全运维作业指导书,例如:配置核查操
22.
指导书。
作手册、常见安全事件处理指南等。
段-需求
信息系统安全运维预算,其中包括运维服
4.
调 研 与 进行信息系统运维预算,定义运维服 务内容、每项服务的工作量、每项服务的
分析
务。
人力资源项目经费等。
与客户进行沟通,达成共识并形成记 与客户沟通形成的记录,内容应有对运维
5.
录。
服务项目达成共识的体现。
证明材料清单
中国网络安全审查技术与认证中心 制
仅一级要求:建立应急响应和灾难恢
23.
复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
仅一级要求:在安全运维服务方案中
24.
明确漏洞管理的工作流程。
漏洞管理的方案、流程。
运维服 25. 务实施 实施初始服务,完成资产识别。
资产识别表,为 IT 资产的标识、分级、保 护和软件配置建立基础资料档案;有设备 和系统的种类、型号、功能、物理位置、 端口对应情况、部署情况等资产详细信
完整性、可用性(专职管理)。
项有安全策略、管理员账户、IP等。
仅二级/一级要求:实施安全设备、网
络设备、中间件、数据库、服务器等
34.
配置项的更新和维护记录。 资产的安全配置管理,定期对配置项
进行更新和维护。
信息安全应急处理服务资质认证自评估表
54.
提供网络或信息安全事件处理报告。
已完成项目的网络安全事件处理报告(报告模板及实际报告)。
55.
提供网络或信息安全方面的建议和意见,必要时指导和协助客户实施。
已完成项目中向客户提供的网络安全建议。
56.
仅二级/一级要求:网络与信息安全事件处理记录应具备可追溯性。
信息安全
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
服务技术要求
建立信息安全应急处理服务流程。
按照相关标准建立的信息安全应急处理服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定信息安全应急处理服务规范并按照规范实施。
已制定的信息安全应急处理服务规范。
27.
仅二级/一级要求:建立有针对常规应用系统、安全设备、常见网络与信息安全事件的检测技术规范。
提供相应的检测技术规范列表及各规范内容(范本或应用本),如针对windows、Aix、Unix、Linux、oracle、Firewalls、Router等。
28.
仅二级/一级要求:协助客户确定安全事件等级。
19.
仅一级要求:与客户之间建立安全保密的信息传输渠道。
与客户传输信息时采用可信及保密传输渠道的证明材料。
20.
仅一级要求:具有自主开发专业检测工具的能力。
该级别服务提供商需具备自主开发专业安全检测工具的能力,如有自主知识产权的工具产品(自主知识产权书、商用产品检测证书、安全产品认证证书等)。
21.
信息收集的过程及确定安全事件等级的证明材料。
软件安全开发服务资质认证自评价表
仅一级要求:对集成测试结果进行分析,形成分析报告。
测试分析报告。
42.
测试阶段-系统测试
依据软件设计方案、设计说明书对软件功能、安全功能进行测试。
系统测试相关文档,内容应覆盖审核条款的要求。
43.
对测试过程中发现的漏洞进行分析并有效修复。
漏洞发现、分析与修复的情况说明文档。
44.
仅二级/一级要求:制定针对系统安全性测试在内的测试计划和测试设计,并执行系统测试,形成测试记录。
需求阶段项目文档包括可行性报告、招标文件、需求分析报告等。
15.
结合软件项目需求、安全需求,与客户充分沟通,达成共识并形成记录。
与客户沟通的记录。
16.
仅二级/一级要求:准确识别和综合分析软件项目在可用性、完整性、真实性、机密性、不可否认性、可控性和可靠性等方面的安全需求。
需求分析报告,内容应覆盖审核条款的要求。
培训管理制度,安全培训计划和记录。
6.
建立独立的开发环境,确保开发环境与运行环境隔离。
软件开发规范,开发环境和运行环境说明文档。
7.
仅二级/一级要求:建立软件安全开发项目风险管理机制,对软件项目进行风险评估。
风险管理制度,风险分析报告,内容应覆盖审核条款的要求。
8.
仅二级/一级要求:使用配置管理工具对软件项目进行配置管理。
渗透性测试方案、测试记录和测试报告,内容应覆盖审核条款的要求。
48.
验收阶段-系统试运行
测试系统运行的可靠性、稳定性和安全性,进行试运行,并记录系统运行状况,试运行周期至少一个月。
系统试运行相关记录,内容应覆盖审核条款的要求。
49.
基于系统试运行相关记录,及时对软件进行调整、维护。
CCRC信息安全服务资质认证流程知识点汇总
CCRC信息安全服务资质认证流程知识点汇总在我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。
加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。
一、CCRC(原名ISCCC)概况CCRC(原名ISCCC)信息安全服务资质认证是中国网络安全审查技术与认证中心依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质包括法律地位、资源状况、管理水平、技术能力等方面的要求进行评价。
通过对信息安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。
同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
该资质共8个单项,每个单项分为一、二、三级(最低)。
1. 信息系统安全集成服务资质2. 安全运维服务资质3. 风险评估服务资质4. 应急处理服务资质5. 软件安全开发服务资质6. 信息系统灾难备份与恢复服务资质7. 工业控制安全服务资质8. 网络安全审计服务资质二、信息安全服务资质认证服务流程那么申请CCRC信息安全服务资质认证服务,究竟是怎样的一个流程呢?下面就来给各位详细地讲解一下。
认证流程可分为:自评估-认证申请-申请材料评审-现场审核-认证决定-证书颁发-监督审核1、CCRC信息安全服务资质申请条件:2、CCRC认证时所需的11项资料清单:3、CCRC信息安全服务资质认证周期:一级/二级认证周期一般是12周,三级认证周期4周。
认证周期包括自申请被正式受理之日起至颁发认证证书时止实际发生的时间,不包括申请单位准备或补充材料的时间。
4、CCRC信息安全服务资质证书管理:证书状态:有效、暂停、撤销造成证书暂停的情况(最长3个月):1)获证组织的服务管理持续地或严重地不满足认证要求;2)逾期未按规定接受监督审核;3)违规使用认证证书,且未造成不良影响;4)监督审核有严重不符合项;5)获证组织主动请求暂停;6)其他需要暂停证书的情况。
信息安全服务资质非现场监督审核流程
不通过 通过
进行认证决定
《认证决定表》 《证书》
中国信息安全认证中心
第 1 页,共 2 页
ISCCC-QOT-0405-B/0 信息安全服务资质非现场监督审核流程
项目管理人员在持证组织证书到期前3个月,将《监督审核通知单》发送给持证组织, 通知本年度非现场监督审核工作启动;
持证组织登录中国信息安全认证中心网站,下载《信息安全服务资质认证自评估表-公 共管理》、对应的技术自评估表,实施自评估后(具体自评估表的填写方法可参考中心网站 上的《信息安全服务资质认证自评估表填写指南》),将上述文档、自评估证明材料、《监 督审核通知单》回执提交中心。
给持证组织
受理持证组织的材料,收 取认证费用,指派审核组 长,并协调审查员组建审 核组,对材料进行非现场
审核
《监督审核通知 单》
《自评估表》及证 明材料、《监督审 核通知单》回执
《受理通知单》或 《合同》、《非现 场审核任务委托
书》
编制《非现场审核计 划》,通过项目管理人员
发送给审核组全体成员
《非现场审核计 划》
项目管理人员向持证组织出具《受理通知单》(如持证组织有需求,也可签订《服务资 质认证合同》),收取认证费用。
2、 非现场审核阶段(此阶段工作应在三周内完成,如需要持证组织补充材料, 应在五周内完成)
项目管理人员指派审核组长,协调审查员组建审核组; 审核组长编制《非现场审核计划》,通过项目管理人员发送给审核组全体成员; 审核组对持证组织提交的材料进行非现场审核工作,判断该组织目前对外提供的信息安 全服务管理及技术能力是否符合《信息安全服务规范》的要求。如满足要求,审核组长编制 《非现场审核报告》,并汇总《审核记录表》等审核材料提交中心进行认证决定;如不满足 要求,审核组长通知持证组织补充材料重新提交,并对补充材料进行审核(如持证组织所补 充的材料仍无法满足要求,审核组长通过项目管理人员通知持证组织,不推荐其继续持有 证书,并在《非现场审核报告》中注明不满足资质要求的具体情况)。
2024年信息安全风险评估与管理合同
专业合同封面COUNTRACT COVER20XXP ERSONAL甲方:XXX乙方:XXX2024年信息安全风险评估与管理合同本合同目录一览第一条合同主体与范围1.1 甲方主体信息1.2 乙方主体信息1.3 合同范围界定第二条服务内容2.1 信息安全风险评估2.2 信息安全风险管理2.3 信息安全风险报告第三条服务期限与时间安排3.1 服务期限3.2 各阶段时间安排第四条技术支持和人员配备4.1 技术支持4.2 人员配备第五条保密条款5.1 保密义务5.2 保密期限5.3 例外情况第六条费用与支付6.1 费用金额6.2 支付方式6.3 发票开具第七条违约责任7.1 违约定义7.2 违约责任第八条争议解决8.1 争议解决方式8.2 适用法律第九条合同的生效、变更与终止9.1 合同生效条件9.2 合同变更9.3 合同终止第十条一般条款10.1 通知10.2 完整协议10.3 第三方受益10.4 法律适用10.5 争议解决第十一条附件11.1 附件一:风险评估详细方案11.2 附件二:风险管理策略11.3 附件三:服务时间表第十二条签字页12.1 甲方签字12.2 乙方签字第十三条附属条款13.1 技术交流会议安排13.2 定期报告提交13.3 安全事件应急响应第十四条补充协议14.1 补充协议内容14.2 补充协议生效条件第一部分:合同如下:第一条合同主体与范围1.1 甲方主体信息甲方全称:×××公司甲方地址:××省××市××区××路××号联系人:×××联系电话:×××××××××1.2 乙方主体信息乙方全称:×××信息安全科技有限公司乙方地址:××省××市××区××路××号联系人:×××联系电话:×××××××××1.3 合同范围界定本合同所述信息安全风险评估与管理服务范围包括但不限于:网络安全评估、系统安全评估、应用安全评估、数据安全评估、物理安全评估、人员安全评估、安全管理体系有效性评估等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应急抑制处理方案的变更管理(变更 管理涉及的文档)。 抑制措施的内容。
抑制过程中用到的可信工具列表、工 具简介。
根除建议(方案)的内容。
应急处理根除阶段涉及的风险阐述 及告知记录。 安全事件得到根除的证明材料。
根除过程中用到的可信工具列表、工 具简介。 应急处理恢复阶段涉及的风险阐述 及告知记录。
(如需重建系统时适用该条款)对于不 重建系统的相关过程记录。
序 要点
号
33. 34. 35.
36. 37.
根除阶段 38. 39. 40.
恢复阶段 41.
条款 存在的风险。
需提供证明材料 及告知记录。
自评估 结论 不
符 符
合 合
严格执行抑制处理方案中规定的内容, 如有必要更改,须获得客户的授权。 抑制措施应能够限制受攻击的范围,抑 制潜在的或进一步的攻击和破坏行为。 仅一级要求:应使用可信的工具进行安 全事件的抑制处理,不得使用受害系统 已有的不可信文件。 协助客户检查所有受影响的系统,提出 根除的方案建议,并协助客户进行具体 实施。 应明确告知客户所采取的根除措施可能 带来的风险。 找出导致网络或信息安全事件发生的原 因,并予以彻底消除。 仅一级要求:应使用可信的工具进行安 全事件的根除处理,不得使用受害系统 已有的不可信文件。 告知客户网络或信息安全事件的恢复方 法及可能存在的风险。
与客户充分沟通,并预测应急处理方案 应急处理方案涉及的风险阐述(风险
可能造成的影响。
识别与风险控制措施)。
应急处理工作流程或其他文档中约 检测工作应在客户的监督与配合下完
定的工作配合/监督机制,相关过程 成。
记录。
仅二级/一级要求:建立有针对常规应用 提供相应的检测技术规范列表及各 系统、安全设备、常见网络与信息安全 规范内容(范本或应用本),如针对
配备有处理网络或信息安全事件的工具 5.
包,包括常用的系统命令、工具软件等。 工具包及工具列表
6.
仅二级/一级要求:网络与信息安全事件
证明材料清单
中国网络安全审查技术与认证中心 制
第1页共9页
CCRC-QOT-0430-B/4
序 要点
号
条款
工具包中应配备专业技术检测设备。
需提供证明材料
自评估 结论 不
重建系统过程中按照初始化安全策
42.
客户按照系统的初始化安全策略恢复系
略恢复系统的相关过程记录。
统。
(如需重建系统时适用该条款)应协助 重建系统过程中关于确认系统配置
43.
客户验证恢复后的系统是否运行正常, 与原有系统配置是否一致的相关过
并确认与原有系统配置保持一致。
程记录。
(如需重建系统时适用该条款)在帮助
需提供证明材料
重建系统过程中对系统进行安全加 固的相关过程记录。
已完成项目的网络安全事件处理过 程记录、总结与分析文档。
自评估 结论 不
符 符
合 合
提供网络或信息安全事件处理报告。
仅二级/一级要求:提供详实的网络与信 已完成项目的网络安全事件处理报 息安全事件处理报告,完整展现应急处 告(报告模板及实际报告)。
第6页共9页
CCRC-QOT-0430-B/4
序 要点
号
48.
49. 50. 51. 52.
总结阶段 53. 54. 55. 56.
条款
仅一级要求:(如需重建系统时适用该条 款)帮助客户对重建后的系统进行全面 的安全加固。 应保存完整的网络或信息安全事件处理 记录,并对事件处理过程进行总结和分 析。 仅二级/一级要求:网络与信息安全事件 处理记录应具备可追溯性。
仅一级要求:与客户之间建立安全保密 与客户传输信息时采用可信及保密
15.
的信息传输渠道。
传输渠道的证明材料。
信息安全应急处理服务资质认证自评估表
证明材料清单
中国网络安全审查技术与认证中心 制
第2页共9页
CCRC-QOT-0430-B/4
序 要点
号
16.
17. 18. 19.
20. 检测阶段
21. 22. 23.
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且 均可提供相应证明材料。
中国网络安全审查技术与认证中心 制
第9页共9页
用户重建系统前需进行全面的数据备 重建系统过程中关于数据备份的相 44.
份,备份的数据要确保是没有被攻击者 关过程记录。
改变过的数据。
(不需重建系统时适用该条款)应建立
重建系统的应急工作流程及规范,重
45.
重建系统的应急工作流程及规范,并开
建系统的应急演练记录。
展重建系统的应急演练工作。
仅二级/一级要求:与客户共同制定系统
信息安全应急处理服务资质认证自评估表
证明材料清单
中国网络安全审查技术与认证中心 制
第5页共9页
CCRC-QOT-0430-B/4
自评估
序 要点
号
条款
需提供证明材料
结论 不
符 符
合 合
能彻底恢复配置和彻底清除系统上的恶
意文件,或不能肯定系统经过根除处理
后是否可恢复正常时,应选择重建系统。
(如需重建系统时适用该条款)应协助
阶段对应的职责、输入输出等。
求
制定信息安全应急处理服务规范并按照 已制定的信息安全应急处理服务规
2.
规范实施。
范。
3.
明确客户的应急需求。
应急服务内容,已完成项目中对客户 应急需求进行调研分析的证明材料。
需对客户自身已建立的应急预案的
4.
了解客户应急预案的内容。
准备阶段
内容进行了解与熟悉(客户应急预案 的内容)。
46.
恢复方案,根据实际情况协助客户选择 形成的系统恢复方案及内容。
合理的恢复方法。
仅二级/一级要求:(如需重建系统时适
重建系统过程中关于建立系统快照
47.
用该条款)帮助客户为重建后的系统建
的相关过程记录。
立系统快照。
信息安全应急处理服务资质认证自评估表
证明材料清单
中国网络安全审查技术与认证中心 制
条款
仅一级要求:具有自主开发专业检测工 具的能力。
需提供证明材料
该级别服务提供商需具备自主开发 专业安全检测工具的能力,如有自主 知识产权的工具产品(自主知识产权 书、商用产品检测证书、安全产品认 证证书等)。
自评估 结论 不
符 符
合 合
确定检测对象及范围。
确定检测对象及范围的过程记录。
对发生异常的系统进行信息的收集与分 收集信息的过程及判断依据(过程记
符 符
合 合
7.
工具包应定期更新。
工具包更新记录。
8.
配备应急处理服务人员。
服务人员列表、专业资质证书。
对在应急处理服务过程中可能会采取的
9.
操作、处理等行为,获得用户的书面授 用户出具的书面授权书。
权。
仅二级/一级要求:在客户应急需求基础
10.
上制定应急服务方案。
应急服务方案(模板和实际服务项目
仅二级/一级要求:应急服务方案应涉及 方案),应急服务方案中应涵盖客户
理服务的整个过程。
提供网络或信息安全方面的建议和意 已完成项目中向客户提供的网络安
见,必要时指导和协助客户实施。
全建议。
仅一级要求:对网络与信息安全事件进
行总结和分析后,针对典型案例存入事 知识库的案例表。
件知识库。
仅一级要求:提供关闭安全事件的管理 安全事件的关闭程序(安全事件关闭
程序。
涉及的文档)。
11.
客户应急预案的启动与执行。
自身建立的应急预案内容。协助客户
仅二级/一级要求:若客户未建立应急预 建立的应急预案。 12.
案,可协助客户建立。
仅二级/一级要求:对工具包实行制度化
13.
工具包管理制度及执行记录。
管理。
三级/二级/一级分别要求:可提供本地 2 小时/本地 1 小时、外地 8 小时/本地 查验服务承诺书、服务合同条款或服 14. 7X24 小时、外地 4 小时应急响应服务能 务级别协议(结合项目案例)。 力。
仅二级/一级要求:协助客户确定安全事 信息收集的过程及确定安全事件等
件等级。
级的证明材料。
仅二级/一级要求:应急处理方案应包含 对安全事件的抑制、根除和恢复的详细 应急方案应涵盖该内容。
处理步骤。
仅二级/一级要求:应急处理方案应包含 应急方案应涵盖该内容。
实施方案失败的应变和回退措施。
仅一级要求:建立有完善的检测技术规 相关技术检测规范,技术人员检测高
造成的影响进行分析,包括社会影响。 析的证明材料。
与客户充分沟通,使其了解所面临的首 沟通的内容及结果。
要问题及抑制处理的目的。
在采取抑制措施之前,应告知客户可能 应急处理抑制阶段涉及的风险阐述
信息安全应急处理服务资质认证自评估表
证明材料清单
中国网络安全审查技术与认证中心 制
第4页共9页
CCRC-QOT-0430-B/4
范及具有对高技术入侵的检测技术能 技术入侵的能力展示。
力。
仅一级要求:具有挖掘系统设备及业务 提供相关漏洞的证明,包括漏洞平台
系统安全漏洞的能力。
的发布、漏洞库编号等。
仅一级要求:对确认的安全事件启动安 提供安全事件管理程序及事件启动
全事件管理程序。
条件(安全事件管理程序文件)。
仅一级要求:应急处理方案中应对可能 应急处理方案中对社会影响进行分
仅一级要求:告知客户所发生事件可能 应急处理中涉及到司法相关告知的
涉及到的法律诉讼方面的法律要求或影 相关文档。