信息安全服务资质应急处理类自评估表

应急准备工作检查评估表

存在问题：尾矿库巡坝人员对应急广播系统使用不够熟练。
（四）尾矿库风险监测预警系统建设情况
公司建立有XXX尾矿库安全监测预警系统，系统包含人工检测及在线监测系统，实施四级预警，能在尾矿库出现安全风险时及时预警。
存在问题：无
（五）上坝道路、通讯、供电、照明等设备设施情况
XXX尾矿库建设有上坝公路，公路上坝段为混泥土路，坝面为砂石路，为保障尾矿库通讯畅通，协调XX公司在尾矿库建设有专用基站，尾矿库配备有座机、无线手机、应急广播通讯系统以确保通讯畅通。尾矿库有专用供电线路、备用柴油发电机2套供电系统，坝面建有太阳能照明系统，值班室有应急探照灯，能满足当前照明需要。
存在问题：无
（二）应急物资储备情况
为保障应急需要，公司编制了《XX生产安全事故应急资源调查报告》，经核查XXX尾矿库配备了应急救援装备及器材、救援设备、消防器材、人员防护装备等，应急物资装备见清单（附件1）所示。确保应急物资种类、数量、性能、存放位置符合应急管理需要，在需使用时能及时获取并有效使用。
5
十字镐
把
3
完好
应急物资储备室
6
洋镐
把
10
完好
应急物资储备室
7
锄头把Leabharlann 10完好应急物资储备室
8
镰刀
把
20
完好
应急物资储备室
9
强光手电
把
12
完好
应急物资储备室
10
安全帽
顶
20
完好
应急物资储备室
11
雨鞋
双
6
完好
应急物资储备室
12
雨衣
套
46
完好
应急物资储备室
13

服务资质认证自评估表填写规范

编码：ISCCC-QOG-0406-B/0服务资质认证自评估表填写规范发布/修订日期：2017 年9 月 1 日生效日期：2017 年 9月 1日主责处室：体系与服务认证部批准：张剑中国信息安全认证中心ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范程序文件修改记录序号文件代码修改章节文件更改通知单编号修改日期修改人批准人 1 B/0 新增 2017.8 翟亚红张剑服务资质认证自评估表填写规范1目的对自评估表填写进行规范，确保申请组织的自评价材料基本信息清晰明了。

2适用范围适用于所有服务资质申请企业。

3职责申请组织相关人员填写自评估表。

4服务资质认证自评估表填写过程4.1公共管理自评估表填写规范4.1.1、财务资信填写内容包含以下信息：所提供的财务审计或者财务报告的年份，对于财务审核报告需填写所出具的会计事务所名称，需填写收入、净利润等信息。

4.1.2、办公场所填写内容包含以下信息：房屋产权证或房屋租赁合同；产权人/出租人、地址、面积、租期。

4.1.3、人员能力填写内容包含以下信息：1）填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

2）填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

3）填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

4）填写信息安全服务人员数量，养老保险证明出具单位及出具时间，劳动合同的签订时间及有效期。

5）信息安全专业保障人员认证证书，填写获证人员名称、证书编号、发证日期、有效期。

6）填写项目经理人员数量，人员的名称、证书名称、证书编号等。

4.1.4、业绩填写内容包含以下信息：1）填写首个信息安全服务（与申报类别一致）项目名称、合同签订时间、项目验收时间。

2）填写近三年信息安全服务项目（与申报类别一致）名称、合同金额、合同签订时间、验收时间、项目服务内容等。

4.1.5、服务管理填写内容包含以下信息：1）填写人员管理程序，内容应包含岗位职责，人员任前、中、后的监督、考核、评价、奖惩方式，信息安全服务相关技术岗位的能力指标。

信息系统灾难备份与恢复服务资质认证自评估表填写指南

信息系统灾难备份与恢复服务资质认证自评估表填写指南填写要求：1.当条款对应的需提供证明材料为制度或项目文档时，在“证明材料清单栏目”填写文档的完整名称。

例如《信息系统灾难恢复实施流程图》、《XX数据中心生产运营管理规范》、《XX数据中心建设方案》、《XX系统灾难恢复演练方案》等，并概括地介绍制度或项目文档各章节的主要内容。

2.当条款对应的需提供证明材料为记录文档时，在“证明材料清单栏目”填写记录的完整名称。

例如《精密空调维护记录》、《新风系统维护记录》、《发电机组维护记录》、《XX灾备系统试运行记录》等，并概括地介绍记录文档的主要内容。

3.当条款对应的需提供证明材料为某制度或文档的某章节内容时，在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。

例如《XX公司灾备中心应急预案和恢复预案》第X章应急组织机构和职责、《XX系统灾难恢复演练方案》第X章参演人员分工等，并对相关内容进行总结概括。

4.所有出现在“证明材料清单”栏目中的文档，都需提供相应的电子版文档或纸质文档的扫描件作为证明材料，并按照条款的序号建立文件夹整理归档，建立文件夹的格式为“序号-条款的考核内容”，例如“1-信息系统灾难恢复实施流程”、“6-灾备中心面积证明材料”、“14-气体灭火系统”、“58-桌面推演方案及记录”等。

以下给出了一份填写样例，供申请组织进行参考。

填报组织应按照填写样例的细粒度，进行相关信息的填报。

当申请三级服务资质时，仅填写自评估表中与三级相关的条款（具体分两种情况：1、标明适用于三级的；2、未标明属于哪个级别的）；申请二级服务资质时，除填写标明适用于二级的条款之外，还应填写所有属于三级要求的条款；申请一级服务资质时，填写全部条款。

组织名称 XX公司（全称）申报级别□资源服务类A类/X级□技术服务类B类/X级评估时间 XX年X月X日-X月X日评估部门/人员 XX部/XX序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.技术服务要求建立信息系统灾难备份与恢复服务流程。

2019年最新的ISO27001-2018信息安全风险评估表(ISMS信息安全风险评估)

5
通过服务器备份数据
2
3
30
3
控制
增加专业数据备份系统，对数据进行实时备份
5
1
1
5
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
文件信息丢失，人事工作开展困难
5
对重要数据进行定期移动硬盘备份，设置放雷机制
1
2
10
1
接受
自然灾难：地震、洪水、台风
缺乏应急机制
文件信息丢失，人事工作开展困难
5
对重要数据进行定期移动硬盘备份
不正确的废弃
人员缺乏安全意识
文件信息外泄
5
进行员工信息安全意识培训，
1
2
10
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制
文件信息丢失，人事工作开展困难
5
设置必要的放火，放雷机制
2
3
30
3
接受
自然灾难：地震、洪水、台风
缺乏应急机制
文件信息丢失，人事工作开展困难
5
对重要数据进行定期移动硬盘备份
1
公司销售信息被竞争对手获得，业务无法开展
5
通过域控，系统密码控制，严格控制访问权限
SL-DATA-022
供应商合作协议书
采购合同
代理合同
厂商报价
合同
未经授权使用、访问、复制
缺乏物理防护机制
供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展
5
合同报价等资料放在上锁的文件柜中
1
2
10
1
接受
瘟疫、火灾、爆炸、雷击、恐怖袭击等
缺乏应急机制

信息系统安全集成服务资质认证自评估表

信息系统安全集成服务规范。
3・
4.
5.
6.
集成准备・需求调研与分析
调研客户背景信息，采集系统建设需求和建设目标，明确系统功能、性能及安全性要求。
准备阶段控制程序文件，包括明确工作内容、流程、方法、文档模板，内容至少包括需求调研、分析、评审，产品选型，财务预算。提供投标文件、项目文档等证明。
仅一级要求：对于新建系统，建设实施过程应重点关注信息系统的功能、性能和安全性等方而要求。对于系统改造，还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需要考虑新旧系统的兼容问题，包括网络兼容、系统兼容、应用兼容等。
序号
17.
要点
条款
需提供证明材料
自评估结论
证明材料清单
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门从员
序号
要点
条款
需提供证明材料
自评估
结论
证明材料清单
符合
不符合
1・
2.
技术服务要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程，流程图中应包括每个阶段对应的职责、输入输岀等。
制左信息系统安全集成服务规范并按照规范实施。
审核条款要求。
仅二级/一级要求：基于客户需求和投入能力，开展需求分析，编制需求分析报告。
仅一级要求：协助客户有效识别系统建设过程中的政策、法律和约束条件，有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
9.
10.
11.
12.
方案设计
根据系统建设安全需求，编制安全集成技术方案。

信息安全评估表

信息安全评估表1 技术要求1.1 物理安全序号控制点项目安全标准评估情况说明1.1.1物理位置的选择 1. 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；2. 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

1.1.2物理访问控制 1. 机房出入口应安排专人值守并配置电子门禁系统，控制、鉴别和记录进入的人员；2. 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；3. 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；4. 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员。

1.1.3防盗窃和防破坏 1. 应将主要设备放置在机房内；2. 应将设备或主要部件进行固定，并设置明显的不易除去的标记；3. 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；4. 应对介质分类标识，存储在介质库或档案室中；5. 应利用光、电等技术设置机房防盗报警系统；6. 应对机房设置监控报警系统。

1.1.4防雷击 1. 机房建筑应设置避雷装置；2. 应设置防雷保安器，防止感应雷；3. 机房应设置交流电源地线。

1.1.5防火 1. 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；2. 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；安全标准评估情况说明序号控制点项目1.1.6防水和防潮 1.机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。

2.水管安装，不得穿过机房屋顶和活动地板下；3.应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；4.应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；5.应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

1.1.7防静电1.设备应采用必要的接地防静电措施；2.机房应采用防静电地板；3.应采用静电消除器等装置，减少静电的产生。

1.1.8温湿度控制机房应设置温湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

信息系统安全集成服务资质认证自评估表

信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符
合
不符合
1.
技术服务要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程，流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定信息系统安全集成服务规范并按照规范实施。
14.
仅二级/一级要求：结合技术方案，对项目组及第三方配合人员进行业务和技能培训。
项目方案设计阶段控制程序文件，内容应覆盖审核条款要求。提供业务和技能的相关培训记录。
15.
仅一级要求：结合项目需要，编制安全集成项目施工手册和作业指导书。
项目方案设计阶段控制程序文件，内容应覆盖审核条款的要求。提供安全集成项目施工手册和作业指导书。
项目安全保障阶段控制程序文件，内容应覆盖审核条款的要求。提供项目终验申请、项目终验报告。
40.
根据合同约定，配合组织项目验收，出具项目验收报告
41.
安全保障-运行维护
根据合同约定，向客户提供维保服务，并形成维保记录。
项目安全保障阶段控制程序文件，内容应覆盖审核条款的要求。提供系统维护记录。
项目方案设计阶段控制程序文件，包
括明确工作内容、流程、文档模板，内容应覆盖审核条款的要求。项目技
11.
结合技术方案和实施方案，与客户进行沟通，获得客户认可。
丿术丿J案、实施丿J案、/沟通t记录。
12.
仅二级/一级要求：结合需求分析和客户在保障系统安全方面的投入能力，提出系统建设安全设计说明书，明确系统架构、产品选型、产品功能、性能及配置等参数。

CCRC-QOT-0434-B 4 安全运维

仅一级要求：编制安全运维项目作业指导书。
安全运维作业指导书，例如：配置核查操作手册、常见安全事件处理指南等。
23.
仅一级要求：建立应急响应和灾难恢复机制，形成业务连续性计划。
发布且通过审批的业务连续性计划。
24.
仅一级要求：在安全运维服务方案中明确漏洞管理的工作流程。
漏洞管理的方案、流程。
25.
运维服务实施
12.
明确安全运维的方式，方式包括但不限于：驻场值守方式，定期巡检方式，远程值守方式。
项目合同/协议中应有明确的安全运维模式。
13.
仅二级/一级要求：签订服务级别协议。
与客户签订的服务级别协议，协议中应承诺信息系统核心指标，如：可用性、安全事件解决率等。
14.
方案设计阶段
根据系统安全运维需求，编制安全运维服务方案，明确安全运维服务时间、服务内容、服务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管理等方面要求。
37.
仅一级要求：实施安全培训服务：完成安全意识、基本安全技术的培训服务。
安全培训服务记录。
38.
仅一级要求：实施安全通告及漏洞分析服务：完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告。
通告与漏洞分析记录，内容为业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告，以及基于通告进行的分析。
所运维信息系统的可用性指标，如整体指标或单系统指标等。
8.
仅二级/一级要求：分析以往服务的数据，提取出来未来可自动化的服务。（监审时适用）
运维服务报告，其中应对以往安全服务进行总结，对安全事件的解决效率进行分析，适宜时提出未来可自动化的服务。

信息安全服务资质CRCー二级初次认证流程【最新】

信息安全服务资质CRCー二级初次认证流程随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。

加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

关于认证申请:认证的基本环节；认证申请与受理;文档审核;现场审核;认证决定;年度监督审核。

初次申请服务资质认证时,申请单位应填写认证申请书,并提交资格、能力方面的证明材料。

申请材料通常包括:服务资质认证申请书;独立法人资格证明材料;从事信息安全服务的相关资质证明;工作保密制度及相应组织监管体系的证明材料;与信息安全风险评估服务人员签订的保密协议复印件;人员构成与素质证明材料;公司组织结构证明材料;具备固定办公场所的证明材料;项目管理制度文档;信息安全服务质量管理文件;项目案例及业绩证明材料;信息安全服务能力证明材料等。

信息安全服务资质CRC(原i SCCC)ー、二级初次认证流程1、准备阶段申请组织根据自身实际情况确定需要申请的服务资质类型,登录中国网络安全审查技术与认证中心CCRC网站，下载《信息安全服务资质认证自评估表公共管理》、对应的技术自评估表、《信息安全服务资质认证申请2.非现场审核及商务阶段(此阶段工作在三周内完成,如需要申请组织补充材料,在五周内完成)项目管理人员指派审查员对申请组织提交的材料进行非现场审核;审查员依据《信息安全服务规范》及相关技术标准,对申请组织所提供的材料是否满足要求进行判定, 并填写《审核记录表》。

如满足要求，审查员通知项目管理人员向申请组织出具《受理通知单》, 收取认证费用。

如不满足要求,审查员开具《材料问题清单》,通知申请组织补充材料重新提交,并对补充材料进行审核(如申请组织所补充的材料仍无法满足要求,审查员应将此情况告知项目管理人员,项目管理人员通知申请组织目前尚不具备申请资质的条件)。

信息系统安全运维自评估表-信息安全服务资质

仅二级要求：建立信息系统安全配置
20.
库。
及的配置项，如安全设备的配置项有安全
策略、管理员账户、IP 等。
仅一级要求：建立信息系统应急事件
21.
响应机制和恢复保障。
信息系统的应急响应计划和恢复计划。
仅一级要求：编制安全运维项目作业安全运维作业指导书，例如：配置核查操
22.
指导书。
作手册、常见安全事件处理指南等。
段-需求
信息系统安全运维预算，其中包括运维服
4.
调研与进行信息系统运维预算，定义运维服务内容、每项服务的工作量、每项服务的
分析
务。
人力资源项目经费等。
与客户进行沟通，达成共识并形成记与客户沟通形成的记录，内容应有对运维
5.
录。
服务项目达成共识的体现。
证明材料清单
中国网络安全审查技术与认证中心制
仅一级要求：建立应急响应和灾难恢
23.
复机制，形成业务连续性计划。
发布且通过审批的业务连续性计划。
仅一级要求：在安全运维服务方案中
24.
明确漏洞管理的工作流程。
漏洞管理的方案、流程。
运维服 25. 务实施实施初始服务，完成资产识别。
资产识别表，为 IT 资产的标识、分级、保护和软件配置建立基础资料档案；有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信
完整性、可用性（专职管理）。
项有安全策略、管理员账户、IP等。
仅二级/一级要求：实施安全设备、网
络设备、中间件、数据库、服务器等
34.
配置项的更新和维护记录。资产的安全配置管理，定期对配置项
进行更新和维护。

CCRC-QOT-0428-B-4-风险评估

自评估结论
证明材料清单
符
合
不符合
胁；
30.
应识别威胁利用脆弱性的可能性；
已完成项目中分析威胁利用脆弱性可能性的证明材料。
31.
应分析威胁利用脆弱性对组织可能造成的影响。
已完成项目中分析脆弱性发生对组织造成影响的证明材料。
32.
仅二级/一级要求：应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。
对资产根据其在保密性、完整性和可用性上的等级分析结果，经过综合评定进行赋值。
已完成项目的重要资产赋值表。
23.
仅一级要求：识别信息系统处理的业务功能，重点识别出关键业务功能和关键业务流程。
已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。
24.
仅一级要求：根据业务特点和业务流程识别出关键数据和关键服务。
已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。
25.
仅一级要求：识别处理数据和提供服务所需的关键系统单元和关键系统组件。
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。
26.
风险识别阶段-脆弱性识别
应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查，并形成安全管理或技术脆弱性列表。
已制定的信息安全风险评估服务规范。
3.
基本资格
仅三级要求：至少有一个完成的风险评估项目，该系统的用户数在1,000以上；具备从管理或（和）技术层面对脆弱性进行识别的能力。
一个已完成项目的合同、用户数、验收的证明材料，包括管理或（和）技术层面脆弱性识别的材料。
4.

信息安全风险评估服务资质认证自评估表

已完成项目中对残余风险进行再评估的证明材料。
53.
上一年度提出的观察项整改情况（如有）
54.
55.
56.
上一年度提出的不符合项整改情况（如有）
57.
58.
自评估结论：
经自主评估，本单位的信息安全风险评估服务满足《信息安全服务规范》级要求，申请第三方审核。
本单位郑重承诺，《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信，且均可提供相应证明材料。
14.
准备阶段-人员和工具管理
应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。
已完成项目的风险评估方案中对风险评估实施团队成员及团队构架的介绍。
15.
应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍，工具列表及主要功能描述。
16.
应对评估团队实施风险评估前进行安全教育和技术培训。
48.
风险处置阶段-安全整改建议
仅二级/一级要求：对组织不可接受的风险提出风险处置措施。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
49.
风险处置阶段-组织评审会
仅一级要求：协助被评估组织召开评审会。
服务提供者协助被评估组织组织评审会的证明材料，如会议通知、专家签到表、专家意见等。
仅一级要求：需采取相关措施，保障工具管理的规范性。
已制定的工具管理制度及执行记录。
19.
风险识别阶段-资产识别
参考国家或国际标准，对资产进行分类。
参照已发布的标准，形成的资产分类列表。
20.
识别重
对已识别的重要资产，分析资产的保密性、完整性和可用性等安全属性的等级要求。

安全生产分级分类监管实施方案评估表——应急准备与响应评估表

检查培训记录
《化工过程安全管理导则》（AQ/T3034-2022）
5
25
12
企业是否制定本单位的应急预案演练计划，并符合每年至少组织一次综合应急预案演练或者专项应急预案演练，每半年至少组织一次现场处置方案演练的要求。
检查演练计划
《化工过程安全管理导则》（AQ/T3034-2022）
3
15
制定演练计划且符合要求得5分，制定计划不符合要求得3分，无计划不得分。
13
是否按照演练计划进行演练，未按时演练的是否有变更说明，并按照变更说明及时完成演练。
查演练计划及演练记录
《化工过程安全管理导则》（AQ/T3034-2022）
5
25
有一项不符合要求得4分，有两项不符合要求得3分，三项及以上不符合要求得0-1分。
14
企业是否实现应急物资储备和动态管理，定期核查并及时补充和更新。
查看演练评估总结及问题整改情况
《关于加强化工过程安全管理的指导意见》（安监总管三〔2013〕88号）
《化工过程安全管理导则》（AQ/T3034-2022）
2
10
18
企业应至少每三年进行一次应急预案的评估，依据评估结果对预案进行修订，发生重大变更或事故后应及时评审修订应急预案。
查看评估总结及评审修订记录
《化工过程安全管理导则》（AQ/T3034-2022）
2
10
单项小计
30
应急准备与响应评估表
企业名称：
检查时间：
2023 年月日
序号
检查内容
检查方式
依据
检查情况
符合度
系
数
评
分
满
分
备注
一、应急管理建设ቤተ መጻሕፍቲ ባይዱ完善性