信息系统安全运维服务资质认证自评估表
合集下载
信息安全服务资质认证自评估表-公共管理[002]
![信息安全服务资质认证自评估表-公共管理[002]](https://img.taocdn.com/s3/m/d27ab63d783e0912a2162aa9.png)
信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。
信息安全服务资质认证自评估表-公共管理
信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。
信息安全服务资质认证自评价表公共管理
信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。
信息系统安全运维服务资质认证自评估表
信息系统安全运维服务资质认证自评估表
信息系统安全运维服务资质认证自评估表
中国信息安全认证中心第 2 页共 31 页
中国信息安全认证中心第 3 页共 31 页
中国信息安全认证中心第 4 页共 31 页
中国信息安全认证中心第 5 页共 31 页
中国信息安全认证中心第 6 页共 31 页
中国信息安全认证中心第 7 页共 31 页
中国信息安全认证中心第 8 页共 31 页
中国信息安全认证中心第 9 页共 31 页
中国信息安全认证中心第 10 页共 31 页
ISCCC-QOT-0434-B/2 信息系统安全运维服务资质认证自评估表自评估结论:
经自主评估,本单位的信息系统安全运维服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
中国信息安全认证中心第 31 页共 31 页。
ISCCC-QOT-0459-B1信息安全服务资质自评估表-安全运维类(试用版)
√
网站安全预警监测报告、监控平台问题原始记录
18.
仅二级要求:对信息安全事件进行统计与分析。
信息安全事件的统计表,分析报告;
信息系统的可用性事件、计划、报告;
安全运维角色清单。
19.
仅二级要求:编写安全运维服务目录,目录内容包括但不限于:运维监控与分析、终端安全监控、等级保护合规性运维。
安全运维服务目录,内容应包含有条款的要求。
√
管理数据库
28.
专业人员负责安全管理的接口。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
√
管理数据库,专业人员负责管理安全接口
29.
建立服务目录。
安全运维服务目录。
√
网站安全监控服务白皮书
30.
20.
仅二级要求:建立信息系统安全运维的问题管理程序。
信息系统问题管理程序,已审批并发布。
21.
仅二级要求:建立知识管理程序及初步形成知识库。
知识管理程序,已审批并发布。
22.
仅二级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
信息系统的可用性事件、计划、报告。
23.
信息系统安全
组织名称
沈阳赛宝科技服务有限公司(辽宁省信息安全与软件测评认证中心)
申报级别
一级
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
准备阶段—需求调研与分析
采集客户对信息系统运维服务时间的需求。
运维前的客户需求调查报告,可结合结合业务部门,公司高层的战略规划,内容必须有服务时间要求。
网站安全预警监测报告、监控平台问题原始记录
18.
仅二级要求:对信息安全事件进行统计与分析。
信息安全事件的统计表,分析报告;
信息系统的可用性事件、计划、报告;
安全运维角色清单。
19.
仅二级要求:编写安全运维服务目录,目录内容包括但不限于:运维监控与分析、终端安全监控、等级保护合规性运维。
安全运维服务目录,内容应包含有条款的要求。
√
管理数据库
28.
专业人员负责安全管理的接口。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
√
管理数据库,专业人员负责管理安全接口
29.
建立服务目录。
安全运维服务目录。
√
网站安全监控服务白皮书
30.
20.
仅二级要求:建立信息系统安全运维的问题管理程序。
信息系统问题管理程序,已审批并发布。
21.
仅二级要求:建立知识管理程序及初步形成知识库。
知识管理程序,已审批并发布。
22.
仅二级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
信息系统的可用性事件、计划、报告。
23.
信息系统安全
组织名称
沈阳赛宝科技服务有限公司(辽宁省信息安全与软件测评认证中心)
申报级别
一级
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
准备阶段—需求调研与分析
采集客户对信息系统运维服务时间的需求。
运维前的客户需求调查报告,可结合结合业务部门,公司高层的战略规划,内容必须有服务时间要求。
安全运维自评估
统安全服务的需求和类型。
全:应用系统安全测试、安全监控、安全
含:应用安全(应用系统安全测试、安全监 控、安全事件应急等)、主机安全(漏洞扫
事件应急等。
描、安全配置核查、补丁更新等)等。
7.
仅二级/一级要求:收集与分析信息系 所运维信息系统的可用性指标,如整体指
统的可用性指标。
标或单系统指标等。
提供 XX 项目 XX 文档,文档中 XX 章 XX 节给出信息系统的可用性指标需求,例如:
接口的运维管理人员信息。
提供 XX 项目信息系统可用性计划,计划包
仅二级/一级要求:编制信息系统的可 信息系统可用性计划;信息系统可用性事
含 XX、XX、XX 等章节内容;
17.
用性计划,监控可用性事件,报告可 件记录;信息系统可用性执行报告、改进
提供 XX 项目信息系统可用性事件记录;
用性执行,指导可用性的改进。
提供安全设备、业务系统的健康检查 安全设备、业务系统的健康检查服务记
15.
服务,并约定服务方式、检查频次和 录,应与安全运维服务使用者约定的服务
合同 XX 条给出输出成果:XX 总结报告、 巡检记录等 合同签订日期:XX 年 XX 月 XX 日 提供 XX 项目保密协议。 提供 XX 项目合同,合同第 XX 条明确安全 运维的方式为:驻场值守方式/定期巡检方式 /远程值守方式。 提供 XX 项目服务级别协议,协议中对 XX、 XX、XX 等服务指标的目标值进行了明确, 例如:XX 指标要求达到 99%。 提供 XX 项目安全运维服务方案,方案 XX 章 XX 节给出安全运维服务时间,XX 章 XX 节给出服务内容,XX 章 XX 节给出服务方 式,XX 章 XX 节给出服务期限,XX 章 XX 节给出服务人员,XX 章 XX 节给出服务交 付物,XX 章 XX 节给出服务质量管理,XX 章 XX 节给出服务沟通机制,XX 章 XX 节 给出服务风险管理。 提供 XX 项目 XX 文档,文档中 XX 章 XX 节对安全设备、业务系统的检查健康服务进
CCRC-QOT-0434-B 4 安全运维
仅一级要求:编制安全运维项目作业指导书。
安全运维作业指导书,例如:配置核查操作手册、常见安全事件处理指南等。
23.
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
24.
仅一级要求:在安全运维服务方案中明确漏洞管理的工作流程。
漏洞管理的方案、流程。
25.
运维服务实施
12.
明确安全运维的方式,方式包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。
项目合同/协议中应有明确的安全运维模式。
13.
仅二级/一级要求:签订服务级别协议。
与客户签订的服务级别协议,协议中应承诺信息系统核心指标,如:可用性、安全事件解决率等。
14.
方案设计阶段
根据系统安全运维需求,编制安全运维服务方案,明确安全运维服务时间、服务内容、服务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管理等方面要求。
37.
仅一级要求:实施安全培训服务:完成安全意识、基本安全技术的培训服务。
安全培训服务记录。
38.
仅一级要求:实施安全通告及漏洞分析服务:完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告。
通告与漏洞分析记录,内容为业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告,以及基于通告进行的分析。
所运维信息系统的可用性指标,如整体指标或单系统指标等。
8.
仅二级/一级要求:分析以往服务的数据,提取出来未来可自动化的服务。(监审时适用)
运维服务报告,其中应对以往安全服务进行总结,对安全事件的解决效率进行分析,适宜时提出未来可自动化的服务。
安全运维作业指导书,例如:配置核查操作手册、常见安全事件处理指南等。
23.
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
24.
仅一级要求:在安全运维服务方案中明确漏洞管理的工作流程。
漏洞管理的方案、流程。
25.
运维服务实施
12.
明确安全运维的方式,方式包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。
项目合同/协议中应有明确的安全运维模式。
13.
仅二级/一级要求:签订服务级别协议。
与客户签订的服务级别协议,协议中应承诺信息系统核心指标,如:可用性、安全事件解决率等。
14.
方案设计阶段
根据系统安全运维需求,编制安全运维服务方案,明确安全运维服务时间、服务内容、服务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管理等方面要求。
37.
仅一级要求:实施安全培训服务:完成安全意识、基本安全技术的培训服务。
安全培训服务记录。
38.
仅一级要求:实施安全通告及漏洞分析服务:完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告。
通告与漏洞分析记录,内容为业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告,以及基于通告进行的分析。
所运维信息系统的可用性指标,如整体指标或单系统指标等。
8.
仅二级/一级要求:分析以往服务的数据,提取出来未来可自动化的服务。(监审时适用)
运维服务报告,其中应对以往安全服务进行总结,对安全事件的解决效率进行分析,适宜时提出未来可自动化的服务。
信息系统安全运维服务资质认证自评估表
仅一级要求:建立信息系统应急事件响应机制和恢复保障。
信息系统的应急响应计划和恢复计划。
仅一级要求:编制安全运维项目作业指导书。
安全运维作业指导书,例如:配置核查操作手册、常见安全事件处理指南等。
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
仅一级要求:基于漏洞发现与分析进行信息系统漏洞的管理工作。
信息系统安全运维服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
服务技术要求
建立信息系统安全运维服务流程。
信息系统安全运维服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
制定信息系统安全运维服务规范并按照规范实施。
信息系统安全运维服务规范并按照规范实施。
运维服务报告
向客户提交服务报告,定期收集与报告安全运维实施情况。
安全运维的定期服务报告,服务报告应对一段时间内运维服务实现情况进行统计与分析。
汇总整理全年服务记录,形成年终安全运维服务总结报告。
年终安全运维总结报告,对全年的服务情况进行总结与分析。
根据合同约定,配合组织项目验收,出具项目验收报告。
项目验收报告。
对安全设备进行日常维护及监控,并记录硬件故障。
安全设备的日常维护记录,包括状态检查、更新、升级、故障检测及排除、对安全设备出现的硬件故障进行统计的记录。
收集与分析网络及安全设备、服务器、数据库、中间件、应用系统的日志。
进行安全事件审计,应有对网络及安全设备、服务器、数据库、中间件、应用系统日志的保存记录与审计分析报告。
信息系统的应急响应计划和恢复计划。
仅一级要求:编制安全运维项目作业指导书。
安全运维作业指导书,例如:配置核查操作手册、常见安全事件处理指南等。
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
仅一级要求:基于漏洞发现与分析进行信息系统漏洞的管理工作。
信息系统安全运维服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
服务技术要求
建立信息系统安全运维服务流程。
信息系统安全运维服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
制定信息系统安全运维服务规范并按照规范实施。
信息系统安全运维服务规范并按照规范实施。
运维服务报告
向客户提交服务报告,定期收集与报告安全运维实施情况。
安全运维的定期服务报告,服务报告应对一段时间内运维服务实现情况进行统计与分析。
汇总整理全年服务记录,形成年终安全运维服务总结报告。
年终安全运维总结报告,对全年的服务情况进行总结与分析。
根据合同约定,配合组织项目验收,出具项目验收报告。
项目验收报告。
对安全设备进行日常维护及监控,并记录硬件故障。
安全设备的日常维护记录,包括状态检查、更新、升级、故障检测及排除、对安全设备出现的硬件故障进行统计的记录。
收集与分析网络及安全设备、服务器、数据库、中间件、应用系统的日志。
进行安全事件审计,应有对网络及安全设备、服务器、数据库、中间件、应用系统日志的保存记录与审计分析报告。
信息系统安全运维服务资质认证自评估表
信息系统安全运维服务有策划,实施,监 视与评审和持续改进流程。
仅一级要求:建立安全运维可视化视 图。基于信息系统安全的生命周期,建 立信息系统安全运维的整体策略。基于 客户、业务的价值体现,形成安全运维 的整体视图。
安全运维项目施工手册和作业指导书; 新建系统,建设实施过程应重点关注信息 系统的功能、性能和安全性等方面要求, 应保留与客户的需求分析记录; 系统改造中考虑造前技术测试验证及在 实施失败后的回退措施; 测试验证中对旧系统物理 位置、端口对应情况、部署情况等资产详 细信息。
对安全设备进行日常维护及监控,并记 录硬件故障。
安全设备的日常维护,状态检查,定期查 杀,故障处理、保养、更新、升级、故障 检测及排除,并对安全设备出现的硬件故 障进行统计的记录。
提供安全设备、业务系统的健康检查服 务,并约定服务方式、检查频次和检查 内容。
仅一级要求:安全组织中要设定安全领 导小组;在采用外包模式的情况下,执 行组还应包含安全运维服务供应商参与 运维的人员。
安全组织架构图及相关运维人员清单,其
中应有安全领导小组;
外包模式的执行组中应有第三方参与运 维的人员。
仅一级要求:采用基于PDCA的管理模 型,从策划,实施,监视与评审和持续 改进进行体系化的信息系统安全运维服 务。
仅二级要求:分析以往服务的数据,提 取出来未来可自动化的服务。
以往提供服务的解决方案,对生产的影响
的分析报告;
根据以往安全事件的解决效率进行分析, 适宜时提出来未来可自动化的服务。
仅一级要求:内部团队之间的安全运营 级别协议应和与安全运维第一方之间的 的服务级别设计保持一致。
服务级别设计、安全运营级别协议,两者 应保持一致。
信息系统安全运维服务资质认证自评估表
仅一级要求:建立安全运维可视化视 图。基于信息系统安全的生命周期,建 立信息系统安全运维的整体策略。基于 客户、业务的价值体现,形成安全运维 的整体视图。
安全运维项目施工手册和作业指导书; 新建系统,建设实施过程应重点关注信息 系统的功能、性能和安全性等方面要求, 应保留与客户的需求分析记录; 系统改造中考虑造前技术测试验证及在 实施失败后的回退措施; 测试验证中对旧系统物理 位置、端口对应情况、部署情况等资产详 细信息。
对安全设备进行日常维护及监控,并记 录硬件故障。
安全设备的日常维护,状态检查,定期查 杀,故障处理、保养、更新、升级、故障 检测及排除,并对安全设备出现的硬件故 障进行统计的记录。
提供安全设备、业务系统的健康检查服 务,并约定服务方式、检查频次和检查 内容。
仅一级要求:安全组织中要设定安全领 导小组;在采用外包模式的情况下,执 行组还应包含安全运维服务供应商参与 运维的人员。
安全组织架构图及相关运维人员清单,其
中应有安全领导小组;
外包模式的执行组中应有第三方参与运 维的人员。
仅一级要求:采用基于PDCA的管理模 型,从策划,实施,监视与评审和持续 改进进行体系化的信息系统安全运维服 务。
仅二级要求:分析以往服务的数据,提 取出来未来可自动化的服务。
以往提供服务的解决方案,对生产的影响
的分析报告;
根据以往安全事件的解决效率进行分析, 适宜时提出来未来可自动化的服务。
仅一级要求:内部团队之间的安全运营 级别协议应和与安全运维第一方之间的 的服务级别设计保持一致。
服务级别设计、安全运营级别协议,两者 应保持一致。
信息系统安全运维服务资质认证自评估表
ISCCC-QOT-0432-信息安全服务资质自评估表-公共管理20171113
信息安全服务资质认证自评估表-公共管理
填表说明:
1、该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
2、仅申请三级服务资质认证时,如有项目则不需填该评估表中的第24、25项,直接填写对应的服务类别自评估表;
3、仅申请三级服务资质认证时,如无项目则仅需填写该自评估表,且申请方须承诺(提供加盖组织公章并由法人签字确认的承诺书)在获证后6个月内完成该方向的服务项目并填写对应方向的自评估表提交ISCCC及审核组长。
信息系统安全运维服务资质认证自评估表
信息系统安全运维服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
服务技术要求
建立信息系统安全运维服务流程。
信息系统安全运维服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定信息系统安全运维服务规范并按照规范实施。
信息系统安全运维服务规范并按照规范实施。
3.
准备阶段-需求调研与分析
调研客户信息系统安全现状,采集客户安全服务需求与目标,明确客户对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求。
针对客户的调研报告,其中包括对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求调研结果。
4.
进行信息系统运维预算,定义运维服务。
信息系统安全运维预算,其中包括运维服务内容、每项服务的工作量、每项服务的人力资源项目经费等。
40.
仅一级要求:依据运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
运维过程中的变更记录。
41.
仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
应急处置方案和恢复策略;运维过程中的响应时间应达到方案要求。
42.
仅一级要求:依据风险评估方案与计划实施信息系统风险评估;依据渗透测试方案与计划实施信息系统渗透测试。
5.
与客户进行沟通,达成共识并形成记录。
与客户沟通形成的记录,内容应有对运维服务项目达成共识的体现。
6.
仅二级/一级要求:分析客户对信息系统安全服务的需求和类型。
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
服务技术要求
建立信息系统安全运维服务流程。
信息系统安全运维服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定信息系统安全运维服务规范并按照规范实施。
信息系统安全运维服务规范并按照规范实施。
3.
准备阶段-需求调研与分析
调研客户信息系统安全现状,采集客户安全服务需求与目标,明确客户对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求。
针对客户的调研报告,其中包括对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求调研结果。
4.
进行信息系统运维预算,定义运维服务。
信息系统安全运维预算,其中包括运维服务内容、每项服务的工作量、每项服务的人力资源项目经费等。
40.
仅一级要求:依据运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
运维过程中的变更记录。
41.
仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
应急处置方案和恢复策略;运维过程中的响应时间应达到方案要求。
42.
仅一级要求:依据风险评估方案与计划实施信息系统风险评估;依据渗透测试方案与计划实施信息系统渗透测试。
5.
与客户进行沟通,达成共识并形成记录。
与客户沟通形成的记录,内容应有对运维服务项目达成共识的体现。
6.
仅二级/一级要求:分析客户对信息系统安全服务的需求和类型。
信息系统安全运维自评估表-信息安全服务资质
仅二级要求:建立信息系统安全配置
20.
库。
及的配置项,如安全设备的配置项有安全
策略、管理员账户、IP 等。
仅一级要求:建立信息系统应急事件
21.
响应机制和恢复保障。
信息系统的应急响应计划和恢复计划。
仅一级要求:编制安全运维项目作业 安全运维作业指导书,例如:配置核查操
22.
指导书。
作手册、常见安全事件处理指南等。
段-需求
信息系统安全运维预算,其中包括运维服
4.
调 研 与 进行信息系统运维预算,定义运维服 务内容、每项服务的工作量、每项服务的
分析
务。
人力资源项目经费等。
与客户进行沟通,达成共识并形成记 与客户沟通形成的记录,内容应有对运维
5.
录。
服务项目达成共识的体现。
证明材料清单
中国网络安全审查技术与认证中心 制
仅一级要求:建立应急响应和灾难恢
23.
复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
仅一级要求:在安全运维服务方案中
24.
明确漏洞管理的工作流程。
漏洞管理的方案、流程。
运维服 25. 务实施 实施初始服务,完成资产识别。
资产识别表,为 IT 资产的标识、分级、保 护和软件配置建立基础资料档案;有设备 和系统的种类、型号、功能、物理位置、 端口对应情况、部署情况等资产详细信
完整性、可用性(专职管理)。
项有安全策略、管理员账户、IP等。
仅二级/一级要求:实施安全设备、网
络设备、中间件、数据库、服务器等
34.
配置项的更新和维护记录。 资产的安全配置管理,定期对配置项
进行更新和维护。
信息系统安全运维服务资质认证自评估表
42.
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
43.
服务实施阶段
实施初始服务:完成资产识别,定期配置项的更新和维护,实施相关运维流程。
资产识别表,对配置项的更新和维护记录,实施相关运维流程的记录。
44.
实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
运维前的信息系统运维预算表,内容应包括工作量、人力资源项目经费、项目节点等。
3.
与客户进行沟通,达成共识并形成记录 。
运维前与客户沟通的记录,应有沟通结果双方达成共识的体现。
4.
仅二级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。
信息系统运维过程中的历史数据清单;
历史数据清单的分析报告,内容包含指标完成情况、违例操作、重大事件、重大(失败)变更等。
安全组织架构图及相关运维人员清单,其中应有安全领导小组;
外包模式的执行组中应有第三方参与运维的人员。
10.
仅一级要求:采用基于PDCA的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。
信息系统安全运维服务有策划,实施,监视与评审和持续改进流程。
11.
仅一级要求:建立安全运维可视化视图。基于信息系统安全的生命周期,建立信息系统安全运维的整体策略。基于客户、业务的价值体现,形成安全运维的整体视图。
纠正措施的进展情况;
可能影响安全运维服务的变更;
改进的机会,如指标为满足、运维中存在的问题、服务提升点等。
61.
仅一级要求:形成体系化的审核机制及企业文化。
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
43.
服务实施阶段
实施初始服务:完成资产识别,定期配置项的更新和维护,实施相关运维流程。
资产识别表,对配置项的更新和维护记录,实施相关运维流程的记录。
44.
实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
运维前的信息系统运维预算表,内容应包括工作量、人力资源项目经费、项目节点等。
3.
与客户进行沟通,达成共识并形成记录 。
运维前与客户沟通的记录,应有沟通结果双方达成共识的体现。
4.
仅二级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。
信息系统运维过程中的历史数据清单;
历史数据清单的分析报告,内容包含指标完成情况、违例操作、重大事件、重大(失败)变更等。
安全组织架构图及相关运维人员清单,其中应有安全领导小组;
外包模式的执行组中应有第三方参与运维的人员。
10.
仅一级要求:采用基于PDCA的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。
信息系统安全运维服务有策划,实施,监视与评审和持续改进流程。
11.
仅一级要求:建立安全运维可视化视图。基于信息系统安全的生命周期,建立信息系统安全运维的整体策略。基于客户、业务的价值体现,形成安全运维的整体视图。
纠正措施的进展情况;
可能影响安全运维服务的变更;
改进的机会,如指标为满足、运维中存在的问题、服务提升点等。
61.
仅一级要求:形成体系化的审核机制及企业文化。
信息系统安全运维服务资质认证自评估表
17.
收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。
有对网络及安全设备日志,服务器、操作系统等日志,网络应用日志的记录与分析报告。
18.
仅二级要求:对信息安全事件进行统计与分析。
信息安全事件的统计表,分析报告;
信息系统的可用性事件、计划、报告;
安全运维角色清单。
19.
仅二级要求:编写安全运维服务目录,目录内容包括但不限于:运维监控与分析、终端安全监控、等级保护合规性运维。
信息系统的可用性事件、计划、报告。
23.
仅二级要求:形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。
24.
仅一级要求:编制安全运维项目作业指导书。
安全运维项目中各模块作业指导书。
25.
仅一级要求:建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。
内部审核的响应文件与记录;
管理评审的响应文件与记录,内容应包含服务和流程的执行情况和符合性;
60.
仅二级要求:定期回顾安全运维服务,确保其持续适用和有效。管理评审的输入至少包括:客户反馈、服务和流程的执行情况和符合性、当前和预测资源水平、纠正措施的进展情况、可能影响安全运维服务的变更、改进的机会。
当前和预测资源水平;
15.
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
有安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件记录。
16.
采集系统配置、流量信息、系统状态等安全信息。
安全设备、业务系统的健康检查服务,应与安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件的记录。
收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。
有对网络及安全设备日志,服务器、操作系统等日志,网络应用日志的记录与分析报告。
18.
仅二级要求:对信息安全事件进行统计与分析。
信息安全事件的统计表,分析报告;
信息系统的可用性事件、计划、报告;
安全运维角色清单。
19.
仅二级要求:编写安全运维服务目录,目录内容包括但不限于:运维监控与分析、终端安全监控、等级保护合规性运维。
信息系统的可用性事件、计划、报告。
23.
仅二级要求:形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。
24.
仅一级要求:编制安全运维项目作业指导书。
安全运维项目中各模块作业指导书。
25.
仅一级要求:建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。
内部审核的响应文件与记录;
管理评审的响应文件与记录,内容应包含服务和流程的执行情况和符合性;
60.
仅二级要求:定期回顾安全运维服务,确保其持续适用和有效。管理评审的输入至少包括:客户反馈、服务和流程的执行情况和符合性、当前和预测资源水平、纠正措施的进展情况、可能影响安全运维服务的变更、改进的机会。
当前和预测资源水平;
15.
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
有安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件记录。
16.
采集系统配置、流量信息、系统状态等安全信息。
安全设备、业务系统的健康检查服务,应与安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件的记录。
信息安全服务资质认证自评估表-公共管理
信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表,及表中第24、25项对应服务类别的内容。
2、申请一二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全设备、业务系统的健康检查服务,主要工作针对于设备的可用性、持续性,并提供相应服务记录。
47.
实施安全事件审计服务:完成网络及安全设备日志、服务器、操作系统、网络应用的日志、并且进行记录。
实施安全事件审计服务,内容包含条款中的要求。
48.
组建运维服务台职能,培养服务台人员的专业能力。
建立服务台;
提供服务台人员的培训记录。
运维前的信息系统运维预算表,内容应包括工作量、人力资源项目经费、项目节点等。
3.
与客户进行沟通,达成共识并形成记录 。
运维前与客户沟通的记录,应有沟通结果双方达成共识的体现。
4.
仅二级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。
信息系统运维过程中的历史数据清单;
历史数据清单的分析报告,内容包含指标完成情况、违例操作、重大事件、重大(失败)变更等。
信息系统安全
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
准备阶段—需求调研与分析
采集客户对信息系统运维服务时间的需求。
运维前的客户需求调查报告,可结合结合业务部门,公司高层的战略规划,内容必须有服务时间要求。
2.
进行信息系统运维预算,定义运维服务。
通告与漏洞分析记录;
应急响应服预案,应急演练的记录;
变更管理程序,已审批并发布;
运维过程中的变更记录单。
54.
仅一级要求:建立运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
针对运维有审批并发布的变更管理程序;运维过程中的变更应有响应的变更记录。
仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
42.
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
43.
服务实施阶段
实施初始服务:完成资产识别,定期配置项的更新和维护,实施相关运维流程。
资产识别表,对配置项的更新和维护记录,实施相关运维流程的记录。
44.
实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
63.
仅一级要求:定期评审客户对安全运维服务的满意度。
客户满意度调查表,包括:定期评审、主动回访等。
64.
安全运维运—维持续改进
应在运维过程和监视过程中识别改进项目,制定持续改进计划,计划应包括对改进机会的评估标准。
安全运维持续改进计划;
查看改进计划的评估标准。
包括:识别过程、记录过程、是否有批准过程、评估、测量和适合的报告机制。
有改造过程中的信息系统的测试计划;
有信息系统的基线、回退的措施文件。
26.
仅一级要求:编写安全运维服务目录,目录内容包括但不限于:安全通告及漏洞分析、应急响应服务。
安全运维服务目录,内容有条款要求的服务。
27.
准备阶段—运维服务导入
收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
有已审批并发布的应急处置方案和恢复策略;运过程中的响应时间是否达到方案要求。
56.
监视评审阶段
应定期收集与分析安全运维报告的数据,包括但不限于:异常报告及时率、异常漏报率、维护作业计划的及时完成率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆盖率、安全补丁安装及时率、安全事件次数。
信息系统的可用性事件、计划、报告。
23.
仅二级要求:形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。
24.
仅一级要求:编制安全运维项目作业指导书。
安全运维项目中各模块作业指导书。
25.
仅一级要求:建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。
纠正措施的进展情况;
可能影响安全运维服务的变更;
改进的机会,如指标为满足、运维中存在的问题、服务提升点等。
61.
仅一级要求:形成体系化的审核机制及企业文化。
内部审核机制形成体系,表现形式如:体系文件、PDCA流程、第三方认证等;
建立服务监视管理流程
62.
仅一级要求:体系化的服务监视管理,形成审核机制。
52.
仅二级要求:实施安全通告及漏洞分析服务:完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告。
通告与漏洞分析记录,内容为业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告,并生成分析报告。
53.
仅二级要求:实施应急响应服务:完成应急响应预案制定,对应急事件及时响应,并对应急进行演练,形成相关记录
28.
专业人员负责安全管理的接口。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
29.
建立服务目录。
安全运维服务目录。
30.
建立事件响应和解决的机制,有基本的安全运维报告模式。
安全事件处理与应急响应流程,安全事件处理与上报流程。
31.
仅二级要求:采用流程化管理方法,基于安全事件处理流程、安全培训服务流程、渗透测试流程进行标准化的信息系统安全运维工作。
运维数据收集记录,内容应包含条款中的要求。
57.
对运维实现情况进行监视测量,未能实现的目标应采取纠正预防措施。
安全运维实现情况监视测量清单,如客户满意度、投诉建议、KPI等;
纠正预防措施记录单。
58.
建立与分析客户满意度调查。
客户满意度调查报告,内容应包括对满意度分析。
59.
仅二级要求:按照计划的时间间隔执行内部审核,应至少满足: 既定标准的要求、满足安全运维服务需求和客户所提出的SMS要求、 有效被实施和维护。
安全组织架构图及相关运维人员清单,其中应有安全领导小组;
外包模式的执行组中应有第三方参与运维的人员。
10.
仅一级要求:采用基于PDCA的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。
信息系统安全运维服务有策划,实施,监视与评审和持续改进流程。
11.
仅一级要求:建立安全运维可视化视图。基于信息系统安全的生命周期,建立信息系统安全运维的整体策略。基于客户、业务的价值体现,形成安全运维的整体视图。
渗透测试的计划和记录;
建立安全事件处理流程,安全培训服务流程,渗透测试的流程。
32.
仅一级要求:基于渗透测试流程管理进行标准化的信息系统安全运维工作。
运维过程中的渗透测试的计划和记录。
33.
仅一级要求:编制信息安全产品和工具定制开发计划。
信息安全产品和工具定制开发计划,内容可以应客户要求或组织自身的能力。
安全运维项目施工手册和作业指导书;
新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求,应保留与客户的需求分析记录;
系统改造中考虑造前技术测试验证及在实施失败后的回退措施;
测试验证中对旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等,有验证报告。
12.
准备阶段—运维服务设计
制定安全运维服务目录,目录内容包括但不限于:初始服务、安全设备运维、日常巡检服务、健康检查、安全事件审计。
49.
建立事件管理程序和信息安全服务请求管理程序。
事件管理程序,已审批并发布;
服务请求管理程序,已审批并发布。
50.
仅二级要求:实施运维监控与分析并形成记录。
运维监控分析报告,内容以数据来分析各个指标的趋势。
51.
仅二级要求:进行等级保护合规性运维。
针对信息系统安全建立保护等级;
对信息系统分级的标准;
15.
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
有安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件记录。
16.
采集系统配置、流量信息、系统状态等安全信息。
安全设备、业务系统的健康检查服务,应与安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件的记录。
安全运维服务目录,内容应包含有条款的要求。
20.
仅二级要求:建立信息系统安全运维的问题管理程序。
信息系统问题管理程序,已审批并发布。
21.
仅二级要求:建立知识管理程序及初步形成知识库。
知识管理程序,已审批并发布。
22.
仅二级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
日常维护,巡检、状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除的记录;
45.
实施日常巡检服务:完成安全设备监控;病毒监测、查杀及网络防病毒维护,并有相关记录。
信息安全事件审计报告,如网络及安全设备日志、服务器、操作系统、网络应用的日志;
46.
实施健康检查服务:完成安全设备、业务系统的健康检查服务。
17.
收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。
有对网络及安全设备日志,服务器、操作系统等日志,网络应用日志的记录与分析报告。
18.
仅二级要求:对信息安全事件进行统计与分析。
信息安全事件的统计表,分析报告;
信息系统的可用性事件、计划、报告;
安全运维角色清单。
47.
实施安全事件审计服务:完成网络及安全设备日志、服务器、操作系统、网络应用的日志、并且进行记录。
实施安全事件审计服务,内容包含条款中的要求。
48.
组建运维服务台职能,培养服务台人员的专业能力。
建立服务台;
提供服务台人员的培训记录。
运维前的信息系统运维预算表,内容应包括工作量、人力资源项目经费、项目节点等。
3.
与客户进行沟通,达成共识并形成记录 。
运维前与客户沟通的记录,应有沟通结果双方达成共识的体现。
4.
仅二级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。
信息系统运维过程中的历史数据清单;
历史数据清单的分析报告,内容包含指标完成情况、违例操作、重大事件、重大(失败)变更等。
信息系统安全
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
准备阶段—需求调研与分析
采集客户对信息系统运维服务时间的需求。
运维前的客户需求调查报告,可结合结合业务部门,公司高层的战略规划,内容必须有服务时间要求。
2.
进行信息系统运维预算,定义运维服务。
通告与漏洞分析记录;
应急响应服预案,应急演练的记录;
变更管理程序,已审批并发布;
运维过程中的变更记录单。
54.
仅一级要求:建立运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
针对运维有审批并发布的变更管理程序;运维过程中的变更应有响应的变更记录。
仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
42.
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
43.
服务实施阶段
实施初始服务:完成资产识别,定期配置项的更新和维护,实施相关运维流程。
资产识别表,对配置项的更新和维护记录,实施相关运维流程的记录。
44.
实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
63.
仅一级要求:定期评审客户对安全运维服务的满意度。
客户满意度调查表,包括:定期评审、主动回访等。
64.
安全运维运—维持续改进
应在运维过程和监视过程中识别改进项目,制定持续改进计划,计划应包括对改进机会的评估标准。
安全运维持续改进计划;
查看改进计划的评估标准。
包括:识别过程、记录过程、是否有批准过程、评估、测量和适合的报告机制。
有改造过程中的信息系统的测试计划;
有信息系统的基线、回退的措施文件。
26.
仅一级要求:编写安全运维服务目录,目录内容包括但不限于:安全通告及漏洞分析、应急响应服务。
安全运维服务目录,内容有条款要求的服务。
27.
准备阶段—运维服务导入
收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
有已审批并发布的应急处置方案和恢复策略;运过程中的响应时间是否达到方案要求。
56.
监视评审阶段
应定期收集与分析安全运维报告的数据,包括但不限于:异常报告及时率、异常漏报率、维护作业计划的及时完成率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆盖率、安全补丁安装及时率、安全事件次数。
信息系统的可用性事件、计划、报告。
23.
仅二级要求:形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。
24.
仅一级要求:编制安全运维项目作业指导书。
安全运维项目中各模块作业指导书。
25.
仅一级要求:建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。
纠正措施的进展情况;
可能影响安全运维服务的变更;
改进的机会,如指标为满足、运维中存在的问题、服务提升点等。
61.
仅一级要求:形成体系化的审核机制及企业文化。
内部审核机制形成体系,表现形式如:体系文件、PDCA流程、第三方认证等;
建立服务监视管理流程
62.
仅一级要求:体系化的服务监视管理,形成审核机制。
52.
仅二级要求:实施安全通告及漏洞分析服务:完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告。
通告与漏洞分析记录,内容为业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告,并生成分析报告。
53.
仅二级要求:实施应急响应服务:完成应急响应预案制定,对应急事件及时响应,并对应急进行演练,形成相关记录
28.
专业人员负责安全管理的接口。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
29.
建立服务目录。
安全运维服务目录。
30.
建立事件响应和解决的机制,有基本的安全运维报告模式。
安全事件处理与应急响应流程,安全事件处理与上报流程。
31.
仅二级要求:采用流程化管理方法,基于安全事件处理流程、安全培训服务流程、渗透测试流程进行标准化的信息系统安全运维工作。
运维数据收集记录,内容应包含条款中的要求。
57.
对运维实现情况进行监视测量,未能实现的目标应采取纠正预防措施。
安全运维实现情况监视测量清单,如客户满意度、投诉建议、KPI等;
纠正预防措施记录单。
58.
建立与分析客户满意度调查。
客户满意度调查报告,内容应包括对满意度分析。
59.
仅二级要求:按照计划的时间间隔执行内部审核,应至少满足: 既定标准的要求、满足安全运维服务需求和客户所提出的SMS要求、 有效被实施和维护。
安全组织架构图及相关运维人员清单,其中应有安全领导小组;
外包模式的执行组中应有第三方参与运维的人员。
10.
仅一级要求:采用基于PDCA的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。
信息系统安全运维服务有策划,实施,监视与评审和持续改进流程。
11.
仅一级要求:建立安全运维可视化视图。基于信息系统安全的生命周期,建立信息系统安全运维的整体策略。基于客户、业务的价值体现,形成安全运维的整体视图。
渗透测试的计划和记录;
建立安全事件处理流程,安全培训服务流程,渗透测试的流程。
32.
仅一级要求:基于渗透测试流程管理进行标准化的信息系统安全运维工作。
运维过程中的渗透测试的计划和记录。
33.
仅一级要求:编制信息安全产品和工具定制开发计划。
信息安全产品和工具定制开发计划,内容可以应客户要求或组织自身的能力。
安全运维项目施工手册和作业指导书;
新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求,应保留与客户的需求分析记录;
系统改造中考虑造前技术测试验证及在实施失败后的回退措施;
测试验证中对旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等,有验证报告。
12.
准备阶段—运维服务设计
制定安全运维服务目录,目录内容包括但不限于:初始服务、安全设备运维、日常巡检服务、健康检查、安全事件审计。
49.
建立事件管理程序和信息安全服务请求管理程序。
事件管理程序,已审批并发布;
服务请求管理程序,已审批并发布。
50.
仅二级要求:实施运维监控与分析并形成记录。
运维监控分析报告,内容以数据来分析各个指标的趋势。
51.
仅二级要求:进行等级保护合规性运维。
针对信息系统安全建立保护等级;
对信息系统分级的标准;
15.
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
有安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件记录。
16.
采集系统配置、流量信息、系统状态等安全信息。
安全设备、业务系统的健康检查服务,应与安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件的记录。
安全运维服务目录,内容应包含有条款的要求。
20.
仅二级要求:建立信息系统安全运维的问题管理程序。
信息系统问题管理程序,已审批并发布。
21.
仅二级要求:建立知识管理程序及初步形成知识库。
知识管理程序,已审批并发布。
22.
仅二级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
日常维护,巡检、状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除的记录;
45.
实施日常巡检服务:完成安全设备监控;病毒监测、查杀及网络防病毒维护,并有相关记录。
信息安全事件审计报告,如网络及安全设备日志、服务器、操作系统、网络应用的日志;
46.
实施健康检查服务:完成安全设备、业务系统的健康检查服务。
17.
收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。
有对网络及安全设备日志,服务器、操作系统等日志,网络应用日志的记录与分析报告。
18.
仅二级要求:对信息安全事件进行统计与分析。
信息安全事件的统计表,分析报告;
信息系统的可用性事件、计划、报告;
安全运维角色清单。