信息系统灾难备份与恢复服务资质认证自评估表
信息系统安全运维服务资质认证自评估表
信息系统安全运维服务资质认证自评估表
年度提出的观察项跟踪验证情况(如有)
年度提出的不符合项跟踪验证情况(如有)
(表格)CJJ 28-2014 城镇供热管网工程施工及验收
自评估结论:
经自主评估,本单位的信息系统安全运维服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
信你自己罢!只有你自己是真实的,也只有你能够创造你自己
b11。
信息安全服务资质认证自评估表-公共管理
信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。
服务资质认证自评估表填写规范
编码:ISCCC-QOG-0406-B/0服务资质认证自评估表填写规范发布/修订日期:2017 年9 月 1 日生效日期:2017 年 9月 1日主责处室:体系与服务认证部批准:张剑中国信息安全认证中心ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范程序文件修改记录序号 文件代码 修改章节 文件更改通知单编号 修改日期 修改人 批准人 1 B/0 新增 2017.8 翟亚红 张剑服务资质认证自评估表填写规范1目的对自评估表填写进行规范,确保申请组织的自评价材料基本信息清晰明了。
2适用范围适用于所有服务资质申请企业。
3职责申请组织相关人员填写自评估表。
4服务资质认证自评估表填写过程4.1公共管理自评估表填写规范4.1.1、财务资信填写内容包含以下信息:所提供的财务审计或者财务报告的年份,对于财务审核报告需填写所出具的会计事务所名称,需填写收入、净利润等信息。
4.1.2、办公场所填写内容包含以下信息:房屋产权证或房屋租赁合同;产权人/出租人、地址、面积、租期。
4.1.3、人员能力填写内容包含以下信息:1)填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
2)填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
3)填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
4)填写信息安全服务人员数量,养老保险证明出具单位及出具时间,劳动合同的签订时间及有效期。
5)信息安全专业保障人员认证证书,填写获证人员名称、证书编号、发证日期、有效期。
6)填写项目经理人员数量,人员的名称、证书名称、证书编号等。
4.1.4、业绩填写内容包含以下信息:1)填写首个信息安全服务(与申报类别一致)项目名称、合同签订时间、项目验收时间。
2)填写近三年信息安全服务项目(与申报类别一致)名称、合同金额、合同签订时间、验收时间、项目服务内容等。
4.1.5、服务管理填写内容包含以下信息:1)填写人员管理程序,内容应包含岗位职责,人员任前、中、后的监督、考核、评价、奖惩方式,信息安全服务相关技术岗位的能力指标。
信息系统安全运维服务资质认证自评估表
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
建立服务目录。
安全运维服务目录。
建立事件响应和解决的机制,有基本的安全运维报告模式。
安全事件处理与应急响应流程,安全事件处理与上报流程。
仅二级要求:采用流程化管理方法,基于安全事件处理流程、安全培训服务流程、渗透测试流程进行标准化的信息系统安全运维工作。
日常维护,巡检、状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除的记录;
实施日常巡检服务:完成安全设备监控;病毒监测、查杀及网络防病毒维护,并有相关记录。
信息安全事件审计报告,如网络及安全设备日志、服务器、操作系统、网络应用的日志;
实施健康检查服务:完成安全设备、业务系统的健康检查服务。
渗透测试的计划和记录;
建立安全事件处理流程,安全培训服务流程,渗透测试的流程。
仅一级要求:基于渗透测试流程管理进行标准化的信息系统安全运维工作。
运维过程中的渗透测试的计划和记录。
仅一级要求:编制信息安全产品和工具定制开发计划。
信息安全产品和工具定制开发计划,内容可以应客户要求或组织自身的能力。
准备阶段—服务协议的特殊要求
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
服务实施阶段
实施初始服务:完成资产识别,定期配置项的更新和维护,实施相关运维流程。
资产识别表,对配置项的更新和维护记录,实施相关运维流程的记录。
实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
以往提供服务的解决方案,对生产的影响的分析报告;
信息系统灾难备份与恢复服务资质认证自评估表填写指南
信息系统灾难备份与恢复服务资质认证自评估表填写指南 填写要求:1.当条款对应的需提供证明材料为制度或项目文档时,在“证明材料清单栏目”填写文档的完整名称。
例如《信息系统灾难恢复实施流程图》、《XX数据中心生产运营管理规范》、《XX数据中心建设方案》、《XX系统灾难恢复演练方案》等,并概括地介绍制度或项目文档各章节的主要内容。
2.当条款对应的需提供证明材料为记录文档时,在“证明材料清单栏目”填写记录的完整名称。
例如《精密空调维护记录》、《新风系统维护记录》、《发电机组维护记录》、《XX灾备系统试运行记录》等,并概括地介绍记录文档的主要内容。
3.当条款对应的需提供证明材料为某制度或文档的某章节内容时,在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。
例如《XX公司灾备中心应急预案和恢复预案》第X章应急组织机构和职责、《XX系统灾难恢复演练方案》第X章参演人员分工等,并对相关内容进行总结概括。
4.所有出现在“证明材料清单”栏目中的文档,都需提供相应的电子版文档或纸质文档的扫描件作为证明材料,并按照条款的序号建立文件夹整理归档,建立文件夹的格式为“序号-条款的考核内容”,例如“1-信息系统灾难恢复实施流程”、“6-灾备中心面积证明材料”、“14-气体灭火系统”、“58-桌面推演方案及记录”等。
以下给出了一份填写样例,供申请组织进行参考。
填报组织应按照填写样例的细粒度,进行相关信息的填报。
当申请三级服务资质时,仅填写自评估表中与三级相关的条款(具体分两种情况:1、标明适用于三级的;2、未标明属于哪个级别的);申请二级服务资质时,除填写标明适用于二级的条款之外,还应填写所有属于三级要求的条款;申请一级服务资质时,填写全部条款。
组织名称 XX公司(全称)申报级别□资源服务类A类/X级□技术服务类B类/X级评估时间 XX年X月X日-X月X日评估部门/人员 XX部/XX序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.技术服务要求建立信息系统灾难备份与恢复服务流程。
信息系统安全运维服务资质认证自评估表
信息系统安全运维服务资质认证自评估表
信息系统安全运维服务资质认证自评估表
中国信息安全认证中心第 2 页共 31 页
中国信息安全认证中心第 3 页共 31 页
中国信息安全认证中心第 4 页共 31 页
中国信息安全认证中心第 5 页共 31 页
中国信息安全认证中心第 6 页共 31 页
中国信息安全认证中心第 7 页共 31 页
中国信息安全认证中心第 8 页共 31 页
中国信息安全认证中心第 9 页共 31 页
中国信息安全认证中心第 10 页共 31 页
ISCCC-QOT-0434-B/2 信息系统安全运维服务资质认证自评估表自评估结论:
经自主评估,本单位的信息系统安全运维服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
中国信息安全认证中心第 31 页共 31 页。
信息系统安全集成服务资质认证自评估表.doc
25.
安全保障-系统试运行
为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况,试运行周期至少一个月。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。系统试运行记录。
26.
仅二级/一级要求:试运行结束后,项目组制定系统试运行报告,并提交客户。
仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制需求分析报告。
6.
仅一级要求:协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
7.
集成准备-签订服务协议
与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
2.
基于系统建设需求,提出产品选型方案和建设预算。
3.
结合系统建设和安全需求,与客户、设计、开发等充分沟通,达成共识并形成记录。
4.
仅二级/一级要求:准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求,提出系统安全保障策略和建议。
系统安全需求分析报告,内容应覆盖审核条款要求。
5.
29.
仅一级要求:提供三个月以上的试运行记录和报告。
30.
安全保障-验收
根据合同约定,配合组织项目验收,出具项目验收报告。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。项目终验报告。
自评估结论:
经自主评估,本单位的信息系统安全集成服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方评审。
仅二级/一级要求:产品、设备安装调试过程中,应完整妥善记录相关信息,并提交完工报告。
信息系统安全运维服务资质认证自评估表
应急响应服预案,应急演练的记录;
变更管理程序,已审批并发布;
运维过程中的变更记录单。
54.
仅一级要求:建立运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
针对运维有审批并发布的变更管理程序;运维过程中的变更应有响应的变更记录。
仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
安全运维服务目录,内容包含条款要求。
13.
信息系统相关的IT资产进行识别。
IT资产识别清单,内容有IT资产识别的标识、分级、保护和软件配置建立基础资料档案;
有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。
14.
对安全设备进行日常维护及监控,并记录硬件故障。
安全设备的日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计的记录。
信息系统的可用性事件、计划、报告。
23.
仅二级要求:形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。
24.
仅一级要求:编制安全运维项目作业指导书。
安全运维项目中各模块作业指导书。
25.
仅一级要求:建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。
运维数据收集记录,内容应包含条款中的要求。
57.
对运维实现情况进行监视测量,未能实现的目标应采取纠正预防措施。
安全运维实现情况监视测量清单,如客户满意度、投诉建议、KPI等;
纠正预防措施记录单。
信息系统安全运维服务资质认证自评估表
络兼容、系统兼容、应用兼容等,有验证 报告。
11.
准备阶段一 运维服务设 计
制定安全运维服务目录,目录内容包括 但不限于:初始服务、安全设备运维、 日常巡检服务、健康检查、安全事件审 计。
安全运维服务目录,内容包含条款要求。
12.
信息系统相关的IT资产进行识别。
IT资产识别清单,内容有IT资产识别的
完整的配置数据库,能初步收集资产与配 置项,并确保配置项目的机密性、 完整性、 可用性。
27.
专业人员负责安全管理的接口。
完整的配置数据库,能初步收集资产与配 置项,并确保配置项目的机密性、 完整性、 可用性。
28.
建立服务目录。
安全运维服务目录。
29.
建立事件响应和解决的机制,有基本的
安全运维报告模式。
2.
进行信息系统运维预算,定义运维服务。
运维前的信息系统运维预算表,内容应包
括工作量、人力资源项目经费、项目节点 等。
3.
与客户进行沟通,达成共识并形成记 录。
运维前与客户沟通的记录,应有沟通结果
双方达成共识的体现。
4.
仅一级要求:识别与分析信息系统运维 过程中的历史数据,提出系统运维的保 障策略和解决方案。
安全运维服务目录, 内容应包含有条款的 要求。
19.
仅二级要求:建立信息系统安全运维的 问题管理程序。
信息系统问题管理程序,已审批并发布。
20.
仅二级要求:建立知识管理程序及初步 形成知识库。
知识管理程序,已审批并发布。
21.
仅二级要求:编制信息系统的可用性计 戈监控可用性事件,报告可用性执行, 指导可用性的改进。
信息系统安全运维服务资质认证自评估表
信息系统的应急响应计划和恢复计划。
仅一级要求:编制安全运维项目作业指导书。
安全运维作业指导书,例如:配置核查操作手册、常见安全事件处理指南等。
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
仅一级要求:基于漏洞发现与分析进行信息系统漏洞的管理工作。
信息系统安全运维服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
服务技术要求
建立信息系统安全运维服务流程。
信息系统安全运维服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
制定信息系统安全运维服务规范并按照规范实施。
信息系统安全运维服务规范并按照规范实施。
运维服务报告
向客户提交服务报告,定期收集与报告安全运维实施情况。
安全运维的定期服务报告,服务报告应对一段时间内运维服务实现情况进行统计与分析。
汇总整理全年服务记录,形成年终安全运维服务总结报告。
年终安全运维总结报告,对全年的服务情况进行总结与分析。
根据合同约定,配合组织项目验收,出具项目验收报告。
项目验收报告。
对安全设备进行日常维护及监控,并记录硬件故障。
安全设备的日常维护记录,包括状态检查、更新、升级、故障检测及排除、对安全设备出现的硬件故障进行统计的记录。
收集与分析网络及安全设备、服务器、数据库、中间件、应用系统的日志。
进行安全事件审计,应有对网络及安全设备、服务器、数据库、中间件、应用系统日志的保存记录与审计分析报告。
信息系统安全系统运维服务资质认证自评价与衡量表
管理评审的响应文件与记录,内容应包含
服务和流程的执行情况和符合性;
58.
仅二级要求:定期回顾安全运维服务, 确保其持续适用和有效。管理评审的输 入至少包括:客户反馈、服务和流程的 执行情况和符合性、当前和预测资源水 平、纠正措施的进展情况、可能影响安 全运维服务的变更、改进的机会。
14.
提供安全设备、业务系统的健康检查服 务,并约定服务方式、检查频次和检查 内容。
有安全运维服务使用者约定的服务方式
(现场检杳,远程检杳)、检杳频次和检 查的文件记录。
15.
采集系统配置、流量信息、系统状态等 安全信息。
安全设备、业务系统的健康检查服务,应 与安全运维服务使用者约定的服务方式
(现场检杳,远程检杳)、检杳频次和检 查的文件的记录。
安全运维服务目录, 内容应包含有条款的 要求。
19.
仅二级要求:建立信息系统安全运维的 问题管理程序。
信息系统问题管理程序,已审批并发布。
20.
仅二级要求:建立知识管理程序及初步 形成知识库。
知识管理程序,已审批并发布。
21.
仅二级要求:编制信息系统的可用性计 戈监控可用性事件,报告可用性执行, 指导可用性的改进。
16.
收集与分析网络及安全设备、服务器、
操作系统、网络应用的日志。
有对网络及安全设备日志,服务器、操作 系统等日志,网络应用日志的记录与分析 报告。
17.
仅二级要求:对信息安全事件进行统计 与分析。
信息安全事件的统计表,分析报告;
信息系统的可用性事件、计划、报告;
安全运维角色清单。
18.
仅二级要求:编写安全运维服务目录, 目录内容包括但不限于:运维监控与分 析、终端安全监控、等级保护合规性运 维。
信息系统安全运维服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
服务技术要求
建立信息系统安全运维服务流程。
信息系统安全运维服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定信息系统安全运维服务规范并按照规范实施。
信息系统安全运维服务规范并按照规范实施。
3.
准备阶段-需求调研与分析
调研客户信息系统安全现状,采集客户安全服务需求与目标,明确客户对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求。
针对客户的调研报告,其中包括对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求调研结果。
4.
进行信息系统运维预算,定义运维服务。
信息系统安全运维预算,其中包括运维服务内容、每项服务的工作量、每项服务的人力资源项目经费等。
40.
仅一级要求:依据运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
运维过程中的变更记录。
41.
仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
应急处置方案和恢复策略;运维过程中的响应时间应达到方案要求。
42.
仅一级要求:依据风险评估方案与计划实施信息系统风险评估;依据渗透测试方案与计划实施信息系统渗透测试。
5.
与客户进行沟通,达成共识并形成记录。
与客户沟通形成的记录,内容应有对运维服务项目达成共识的体现。
6.
仅二级/一级要求:分析客户对信息系统安全服务的需求和类型。
信息系统安全运维自评估表-信息安全服务资质
仅二级要求:建立信息系统安全配置
20.
库。
及的配置项,如安全设备的配置项有安全
策略、管理员账户、IP 等。
仅一级要求:建立信息系统应急事件
21.
响应机制和恢复保障。
信息系统的应急响应计划和恢复计划。
仅一级要求:编制安全运维项目作业 安全运维作业指导书,例如:配置核查操
22.
指导书。
作手册、常见安全事件处理指南等。
段-需求
信息系统安全运维预算,其中包括运维服
4.
调 研 与 进行信息系统运维预算,定义运维服 务内容、每项服务的工作量、每项服务的
分析
务。
人力资源项目经费等。
与客户进行沟通,达成共识并形成记 与客户沟通形成的记录,内容应有对运维
5.
录。
服务项目达成共识的体现。
证明材料清单
中国网络安全审查技术与认证中心 制
仅一级要求:建立应急响应和灾难恢
23.
复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
仅一级要求:在安全运维服务方案中
24.
明确漏洞管理的工作流程。
漏洞管理的方案、流程。
运维服 25. 务实施 实施初始服务,完成资产识别。
资产识别表,为 IT 资产的标识、分级、保 护和软件配置建立基础资料档案;有设备 和系统的种类、型号、功能、物理位置、 端口对应情况、部署情况等资产详细信
完整性、可用性(专职管理)。
项有安全策略、管理员账户、IP等。
仅二级/一级要求:实施安全设备、网
络设备、中间件、数据库、服务器等
34.
配置项的更新和维护记录。 资产的安全配置管理,定期对配置项
进行更新和维护。
信息系统安全运维服务资质认证自评估表
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
43.
服务实施阶段
实施初始服务:完成资产识别,定期配置项的更新和维护,实施相关运维流程。
资产识别表,对配置项的更新和维护记录,实施相关运维流程的记录。
44.
实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
运维前的信息系统运维预算表,内容应包括工作量、人力资源项目经费、项目节点等。
3.
与客户进行沟通,达成共识并形成记录 。
运维前与客户沟通的记录,应有沟通结果双方达成共识的体现。
4.
仅二级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。
信息系统运维过程中的历史数据清单;
历史数据清单的分析报告,内容包含指标完成情况、违例操作、重大事件、重大(失败)变更等。
安全组织架构图及相关运维人员清单,其中应有安全领导小组;
外包模式的执行组中应有第三方参与运维的人员。
10.
仅一级要求:采用基于PDCA的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。
信息系统安全运维服务有策划,实施,监视与评审和持续改进流程。
11.
仅一级要求:建立安全运维可视化视图。基于信息系统安全的生命周期,建立信息系统安全运维的整体策略。基于客户、业务的价值体现,形成安全运维的整体视图。
纠正措施的进展情况;
可能影响安全运维服务的变更;
改进的机会,如指标为满足、运维中存在的问题、服务提升点等。
61.
仅一级要求:形成体系化的审核机制及企业文化。
(完整word版)ISCCCQOT0459B1信息安全服务资质自评估表安全运维类试用版
54.
仅一级要求:建立运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
针对运维有审批并发布的变更管理程序;运维过程中的变更应有响应的变更记录。
仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
有已审批并发布的应急处置方案和恢复策略;
√
使用说明书、安装说明书
14.
对安全设备进行日常维护及监控,并记录硬件故障。
安全设备的日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计的记录。
√
安全设备位于IDC机房,满足安全设备日常维护及监控的要求
15.
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
日常维护,巡检、状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除的记录;
√
安全设备位于IDC机房,满足安全设备日常维护及监控的要求
45.
实施日常巡检服务:完成安全设备监控;病毒监测、查杀及网络防病毒维护,并有相关记录。
安全运维服务目录,内容有条款要求的服务。
27.
准备阶段—运维服务导入
收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
√
管理数据库
28.
专业人员负责安全管理的接口。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
建立灾备中心信息系统运行监控平台,及时发现灾备系统运行的故障并进行故障定位、诊断和审计,保存相关记录。
灾备中心信息系统运行监控平台建设和运行管理情况,包括但不限于监控范围、预警、故障处理等;提供灾备系统故障应急处置预案。
介绍灾备中心发电机组及燃料油库相关情况,提供实际切换记录。
29.
资源服务类(A类)要求-灾备中心运维管理要求
拥有灾备中心运维组织架构和运行管理团队,建立灾备中心机房运行管理和信息安全管理制度,并有效运行。
灾备中心组织架构、岗位职责及运行维护管理团队名单,提供灾备中心机房运行管理制度和信息安全管理制度。
信息系统灾难备份与恢复服务资质认证自评估表
组织名称
申报级别
□资源服务类A类□技术服务类B类
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
技术服务要求
建立信息系统灾难备份与恢复服务流程。
按照相关标准建立信息系统灾难备份与恢复服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
19.
拥有灾备中心基础配套设施,包括但不限于灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室等。
介绍灾备中心灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室等配套设施配备情况。
20.
拥有灾备中心基础生活设施,包括但不限于日常运维人员生活所需宿舍、食堂、活动室等。
灾备中心双路高压及双路UPS供电设计方案,介绍UPS供电能力。
27.
仅一级要求:高压电来自两个独立的变电站的双路设计。
提供灾备中心高压电路设计方案,达到双路供电要求。
28.
仅一级要求:后备发电机组具有不停机补充燃料的能力,并且与燃料供应商签署燃料供应保障协议,保障燃料数量和质量要求,UPS和油机可自动切换。
9.
具备较高灵敏度的烟雾探测系统和消防系统,可实现分区灭火和定点报警。
灾备中心功能区与公共区域防火预警措施和管理制度,提供园区内防火设备设施清单、区域布防情况。
10.
灾备中心建筑耐火等级达到二级及以上。
灾备中心建筑耐火等级证明材料。
11.
仅一级要求:灾备中心建筑耐火等级达到一级。
12.
仅二级/一级要求:灾备中心建设等级满足国标A级或国际T3以上机房要求。
具备单路高压供电和独立UPS不间断电源保障。
灾备中心外部供电系统及UPS电源供电模式,提供灾备中心UPS电源供电设备清单。
23.
采用精密空调系统,并具备恒温恒湿要求。
介绍灾备中心机房制冷设备、设施配备情况;提供空调系统在温湿度方面的具体参数。
24.
仅二级/一级要求:采用精密空调系统,机房温度应达到22°C±2°C,湿度应达到45%-65%。
2.
制定信息系统灾难备份与恢复服务规范并按照规范实施。
信息系统灾难备份与恢复服务规范。
3.
资源服务类(A类)要求-灾备中心场地资源要求
拥有至少1个可用于灾备中心的场地,位置避免处于地质沉降地带,交通便利、抗震等级按照国家规定的该地区抗震设防烈度执行,抗震设防类别为丙类及以上。
介绍所属各个灾备中心的分布与建设情况,包括但不限于灾备中心地理位置、物理环境、建设与完工时间、基础建设、信息系统建设、主要承担业务等情况;提供灾备中心选址情况说明、灾备中心抗震等级、自然环境安全风险防控等。
介绍灾备中心保障日常运维所配备生活设施情况,包括但不限于人员宿舍、食堂、活动室等。
21.
拥有灾备中心运行所需工作环境,包括但不限于计算机机房、主操作室、通讯机房、介质机房、信息系统设备测试维修机房等。
介绍灾备中心数据机房、主操作室、通讯机房、介质机房、信息系统设备测试维修机房等运行工作环境情况。
22.
4.
仅二级/一级要求:拥有至少2个在不同地域的可用于灾备中心的场地资源,抗震设防烈度按照国家规定的该地区抗震设防烈度执行,抗震设防类别为乙类及以上。
5.
仅一级要求:拥有至少2个在不同地域且处于不同的风险区域的:用于和可用于灾备中心IT运行区的高架地板面积不低于1000/2000/5000平米。
仅一级要求:用于灾备中心的场地应自有产权,或者签署有剩余期限不少于5年的长期租赁合同。
提供灾备中心的土地使用证或长期租赁合同。
16.
仅一级要求:至少采用园区保安、机房门卫、前台三重审核的外部保安措施。
灾备中心园区各个区域保安措施和安全管理方案。
17.
仅一级要求:灾备中心的所有通道、机房内均设置CCTV摄像头和7X24小时监控,并且可以按照客户的要求提供更长的保存期限。
灾备中心详细地址、产权关系,提供灾备中心IT运行区的高架地板建筑和使用面积等。
7.
机房设置7×24小时门禁系统,所有进入机房的外部人员均需获得授权。
介绍灾备中心机房门禁管理制度和访问控制程序。
8.
提供7×24小时闭路电视监控,其中公共区域的监控数据保留1个月以上,机房区域的监控数据保留2个月以上。
灾备中心配备监控设备、监控影像数据保存要求。
灾备中心监控区域分布、人员值守情况,视频数据保存管理要求。
18.
资源服务类(A类)要求-灾备中心基础设施要求
拥有灾备中心基础保障设施,包括但不限于供配电设施、空调暖通设施、给排水设施、监控设施、货运设施等,并定期检查。
介绍灾备中心供配电设施、空调暖通设施、给排水设施、监控设施、货运设施等基础保障设施的配备情况,提供基础保障设施检查和巡检制度和措施。
提供灾备中心机房建设情况;提供灾备中心机房环境达到相应要求的证明材料。
13.
仅一级要求:灾备中心应符合环保要求,采用高效新风换气系统,机房内正压,确保机房洁净度。
14.
仅二级/一级要求:具备气体灭火的消防系统,并具备早期报警系统/温感和烟感系统两级报警。
灾备中心机房气体灭火消防系统设施配置情况。
15.
25.
仅二级/一级要求:建立并运行基础设施日常巡检、监控、检查、维护、性能和容量管理、系统优化、应急与故障演练制度和流程。
灾备中心基础设施巡检、监控、检查、维护、性能和容量管理制度,应急与故障演练制度和流程,包括但不限于灾备中心运维整体规划、运维管理层制度、实施层制度和操作层制度等。
26.
仅二级/一级要求:具备双路高压供电和双路UPS供电,拥有后备发电机组,并能在UPS后备时间内提供电力供应,满足全部负荷连续运行48小时以上。