现场审核表-信息安全认证中心.doc
《国家信息安全人员注册授权培训机构(一级)申请指南》(试用版)
国家信息安全人员注册授权培训机构(一级)申请指南(试用版)版本:2。
0中国信息安全产品测评认证中心二00七年九月适用范围本指南适用于向中国信息安全产品测评认证中心(CHINA INFORMATION SECURITY CERTIFICATION CENTER,以下简称:CNITSEC)提出授权培训机构(一级)申请的单位。
CNITSEC授权培训机构(一级)的授权培训范围为:注册信息安全员(CISM)的注册资质培训及双方签订的授权培训协议中所签订的其它相关定制培训(不包括注册信息安全专业人员(CISP)注册资质培训).第 1 条评估依据授权培训资质能力评估,是对授权培训机构基本资质、培训能力和培训服务能力等方面的具体衡量和评价.授权培训资质等级评估是根据CNITSEC《授权培训机构评估准则》,在申请授权培训机构的基本资质、组织与管理、培训场地、设备设施及环境、培训人员、培训经验、培训体系管理以及培训推广能力等方面进行单项评估评分的基础上,采用一定的权值综合考虑后确定,并由CNITSEC授予相应的培训级别。
第 2 条授权要求申请授权培训机构(一级)需要符合以下几项要求:一、申请单位基本资质1、独立的法人机构或法人单位;2、分支机构或全资子公司需有上级单位授权.二、组织与管理1、必须拥有健全的信息安全培训组织结构和管理体系,为持续的信息安全培训提供保证;2、具备完善的知识产权保护措施,并遵守有关法律法规。
三、规模与资产1、具有足够的授权资金和充足的流动资金:●注册资金不少于50万;●流动资金不会少于10万;●授权培训专用资金不少于5万.2、建立与所承担的培训规模相适应的培训体系;3、具有能够满足从事信息安全培训的相关人员。
四、场地、设备及环境要求1、具有固定的办公场地,良好的办公设备和环境:●办公场地不小于20m²(包括财务室);●有培训专用计算机、电话、传真机、复印机、扫描仪和打印机等设备。
CNAS-TRC-003-2008现场审核记录指南
CNAS技术报告现场审核记录指南中国合格评定国家认可委员会序认证及其认可作为一种国际通行的技术评价方法,因其对质量、环境、安全及能力等方面控制能力和绩效的评价作用,及其在贸易、消费、健康、信息和社会责任等领域的广泛运用,已使之成为了服务于国家经济发展、贸易政策的重要技术手段和公共行政管理的重要依托。
我国政府、行业和社会对合格评定活动及其结果的高度重视和逐步认同,提升了认证认可工作的技术权威性和社会价值,同时也给认证认可工作提出了更高的发展要求,即提高认证认可工作质量、增强认证认可工作的科学性和有效性,并以此确保认证认可结果的公信力。
中国合格评定国家认可委员会(CNAS)一贯重视认证认可基础理论和应用技术的研究,并将其作为实现认证认可工作可持续发展的一项重要措施。
本着发挥行业优势、共同开发和资讯共享的原则,围绕规范认证工作质量,提高认证有效性这一主旨,CNAS 组织开发了旨在为认证工作提供实用帮助的系列技术报告。
这些技术报告体现了与认证及其审核有关的理念、方法和经验,反映了认可机构和认证机构对有关认可规范和相关标准的一致理解和认识。
这些技术报告旨在为认证机构的管理和审核提供指导。
然而,这些技术报告不拟作为对有关认可规范及其相关要求的释义,它们仅从操作层面上就实施方法给出指导性建议,所提供的示例并非唯一可选的方法,仅供说明或参考之用。
这些技术报告可为认证机构的管理和审核借鉴之用,也可为认可机构的评审提供参考。
《现场审核记录指南》为认证机构各类管理体系现场审核信息的记录提供指南。
本技术报告由CNAS提出并归口。
本技术报告主要起草单位:CNAS和华夏认证中心有限公司。
本技术报告主要起草人:穆瑾、王梅、刘晓红、纪振双、闫振刚、乔梁。
现场审核记录指南1 引言现场审核记录作为审核证据的信息载体,记录了审核中所收集到的、已经证实的与审核目的、范围和准则有关的适当信息,表明了审核所取得的结果,并提供了审核所完成活动的证据。
办公场所安全审查表格
办公场所安全审查表格
为了确保办公场所的安全,保障员工的生命财产安全,提高工作效率,特制定本审查表格。
请各部门负责人按照以下要求认真填写,并对存在的安全隐患进行整改。
请各部门负责人在填写时,对每一个检查项目进行认真评估,如实填写实际状况和存在问题,并根据问题提出相应的整改措施和整改责任人。
整改完成后,请负责人在对应项打勾确认。
负责人签名:________ 日期:____年__月__日
备注:本表格主要用于指导和监督办公场所的安全管理工作,如有未尽事宜,请随时补充。
实验室现场评审核查表2
附件1(CNAS-CL17:2006) 任务编号:
实验室现场评审核查表
《实验室认可准则在玩具检测领域的应用说明》
4管理要求
注:“评审结果”应逐个条款进行评价,当某条款符合时用Y表示,存在观察项或应说明的问题时用Y`表示,当某条款存在不符合项时用N表示,当某条款该实验室不适用时用N/A表示,凡出现上述表示时应同时在“评审说明”中详细描述。
注:“评审结果”应逐个条款进行评价,当某条款符合时用Y表示,存在观察项或应说明的问题时用Y`表示,当某条款存在不符合项时用N表示,当某条款该实验室不适用时用N/A表示,凡出现上述表示时应同时在“评审说明”中详细描述。
注:“评审结果”应逐个条款进行评价,当某条款符合时用Y表示,存在观察项或应说明的问题时用Y`表示,当某条款存在不符合项时用N表示,当某条款该实验室不适用时用N/A表示,凡出现上述表示时应同时在“评审说明”中详细描述。
注:“评审结果”应逐个条款进行评价,当某条款符合时用Y表示,存在观察项或应说明的问题时用Y`表示,当某条款存在不符合项时用N表示,当某条款该实验室不适用时用N/A表示,凡出现上述表示时应同时在“评审说明”中详细描述。
ISCCCQOT0440 软件安全开发服务资质认证审核记录表
符
合
不 符 合
需 观 察
42.
测试阶段- 集成测试
E2.5.2 a)仅二级/一级要求:明确集成测 试策略,制定集成测试计划。
抽查项目,查验集成测试的测试策略、 测试计划。
43.
E2.5.2 b)仅二级/一级要求:依据概要设 计方案和测试计划进行集成测试设计, 并执行集成测试,形成测试记录。
抽查项目,查验集成测试设计、测试 记录。
查验需求阶段控制程序文件;抽查项 目,查验需求阶段项目文档,内容应 覆盖审核条款的要求。
需求阶段项目文档包括可行性报告、 招标文件、需求分析报告等。
17.
E1.2 b)结合软件项目需求、安全需求, 与客户充分沟通,达成共识并形成记录。
抽查项目,查验与客户沟通的记录。
18.
19.
E2.2 a)仅二级/一级要求:准确识别和 综合分析软件项目在可用性、完整性、 真实性、机密性、不可否认性、可控性 和可靠性等方面的安全需求。
52.
E2.6.1仅二级/一级要求:试运行结束 后,制定系统试运行报告,并提交客户。
抽查项目,查验系统试运行报告,内 容应覆盖审核条款的要求。
53.
E3.6.1 a)仅一级要求:提供三个月以上 的试运行记录和报告。
抽查项目,查验系统试运行记录和报 告。
54.
E3.6.1 b)仅一级要求:综合软件系统试 运行状态,建立软件系统运行策略和安 全指南。
44.
E3.5.2仅一级要求:对集成测试结果进 行分析,形成分析报告。
抽查项目,查验集成测试分析报告。
45.
46.
47.
测试阶段・ 系统测试
E2.5.3a)仅二级/一级要求:制定包括系 统安全性测试在内的测试计划,并执行 系统测试,形成测试记录。
ISCCC-QOT-0408 信息安全服务资质认证现场审核计划表
现场审核计划表
项目编号
受审核方名称
受审核类别
级别
审核类型
安全集成
一级二级三级
□初次□年监审 □升级□其他
风险评估
一级二级三级
□初次□年监审 □升级□其他
应急处理
一级二级三级
□初次□年监审 □升级□其他
灾难备份与恢复
一级二级三级
□初次□年监审 □升级□其他
软件安全开发
一级二级三级
□初次□年监审 □升级□其他
1.确认本审核计划;
2.确定负责配合现场审核工作的人员;
3.提供现场审核活动需要的资源,并承担现场审核活动发生的交通费和食宿费用;
4.本审核计划提供的详细程度应反映审核范围及复杂程度,任何修改应征得各方同意后方可实施。
审核组长:
受审核方:
签字:
日期:
签字:
日期:
□ISCCC-ISV-C01:2017《信息安全服务 规范》对服务级资质要求和过程能力要求的全部要素。
□ISCCC-ISV-Cห้องสมุดไป่ตู้1:2017《信息安全服务 规范》对服务级资质要求和过程能力要求的全部要素。
审核依据
□ISCCC-ISV-C01:2017《信息安全服务 规范》;
□适用法律法规;
□其他信息安全服务相关管理制度、技术规范等。
安全运维
一级二级三级
□初次□年监审 □升级□其他
基本信息
受审核方地址
邮编
受审核方
联系人
电话
手机
邮箱
传真
项目管理人员
电话
手机
邮箱
传真
审核组成员
代号
组内职务
姓 名
实验室现场评审核查表6
附件1(CNAS-CL22:2006) 任务编号:
实验室现场评审核查表
《实验室认可准则在动物检疫领域的应用说明》
4管理要求
注:“评审结果”应逐个条款进行评价,当某条款符合时用Y表示,存在观察项或应说明的问题时用Y`表示,当某条款存在不符合项时用N表示,当某条款该实验室不适用时用N/A表示,凡出现上述表示时应同时在“评审说明”中详细描述。
注:“评审结果”应逐个条款进行评价,当某条款符合时用Y表示,存在观察项或应说明的问题时用Y`表示,当某条款存在不符合项时用N表示,当某条款该实验室不适用时用N/A表示,凡出现上述表示时应同时在“评审说明”中详细描述。
信息技术 安全技术 信息安全管理体系审核和认证机构要求
信息技术安全技术信息安全管理体系审核和认证机构
要求
信息技术安全技术信息安全管理体系(ISMS)审核和认证机构需要满足一
定的要求。
根据GB/T标准,这些机构需要具备独立性、公正性、适当的技术和管理能力,以及资格证明或资质认证。
此外,这些机构还需要能够保持机密性和信息安全,提供独立的审核和认证服务,并遵守相关法律法规和行业标准。
ISMS审核和认证机构的具体要求包括:
1. 准备工作:确定审核对象、范围和目的;确定审核计划和审核团队;收集必要的信息和准备必要的文件。
2. 审核:根据审核计划,对ISMS进行现场审核、文献审核和记录审核;评估ISMS是否符合相关标准、法规和组织自身的要求。
3. 编写审核报告:将审核结果编写成审核报告,包括审核目的、范围、方法、结果和结论等。
4. 审核确认:向审核对象提交审核报告,征求审核对象的意见和反馈,确认审核结论。
5. 颁发认证证书:审核通过后,由ISMS审核和认证机构颁发ISMS认证证书。
除了上述要求,GB/T标准还规定了其他问题,包括审核对象的变更、审核结果的保密性和可追溯性、证书管理等。
此外,还有其他相关标准对ISMS审核和认证机构的要求进行了规定,如合格评定管理体系审核认证机构要求等。
这些标准对ISMS审核和认证机构的能力、公正性和保密性等方面提出了更高的要求,以确保其能够提供高质量的审核和认证服务。
管理体系认证审核现场问卷调查表(2013-9-16)
2. 相应环保设施、装置处在正常运行状态:□ 是;□ 否。
3. 建立了应急预案并能定期进行演练:□ 是;□ 否。
4. 危化品库房管理状况符合要求:□ 是;□ 否
1.合同签订日期:
2.合同签署人员姓名和职务:
3.是否明确了监督审核时机和要求
2.2 公正性
1.是否了解认证咨询不能一条龙(认证咨询人员和认证机构无关): □ 是;□ 否;
2.3审核管理
1.是否提前收到了此次审核的计划安排:□ 是;□ 否
2.是否保存了上次审核计划:□ 是;□ 否
3. 是否保存了上次不符合项报告及其整改材料:□ 是;□ 否
程序文件
现行版次发布时间
年 月 日
实施时间
年 月 日
2.7内审和管理评审
1.管理体系内审和管理评审依据计划进行:□ 是;□ 否。
最近一次管理评审时间: 提出的改进建议数:
最近一次内部审核时间: 发现不符合项报告数:
2.最高管理者组织管理评审,按规定对管理体系进行评价,对目标绩效进行考核并形成报告:□ 是;□ 否。
3.内审、管理评审报告、记录客观真实,与组织实际运行一致:□ 是;□ 否。
2.8证书及标志
了解认证证书和标志的使用规定, 能确保产品、包装、说明书和宣传材料上正确使用认证证书或标志:□ 是;□ 否
三.质管理体系认证
调查内容
情况描述
3.1 过程控制
1.制定了有关工艺文件:□ 是;□ 否。
重要工序或关键特性是:
4.4运行控制
1.组织对重要环境因素有关的运行活动定期进行策划:□ 是;□ 否。
ISM现场审核检查表使用须知061008
“ISM现场审核检查表”使用须知Instruction of Check List for ISM Audit目录1.目的2.适用范围3. 定义和缩写4. 参照文件5. 注意事项6. 归档7. 附录1.目的本须知规定了审核员使用"ISM现场审核检查表"的要求及注意事项,旨在正确使用ISM现场审核检查表。
2.适用范围本须知适用于本社ISM现场审核。
3.定义和缩写本社《质量手册》和《船舶安全管理体系认证规范》的定义和缩写适用于本须知。
4.参照文件4.1.本社《质量手册》4.2.本社《船舶安全管理体系认证规范》4.3.本社《安全管理体系审核操作指南》4.4.IACS Rec. No. 41 Guidance for IACS Auditors to the ISM Code5.注意事项5.1.对船公司进行安全管理体系审核时,应使用“公司安全管理体系现场审核检查表”,对平台公司进行审核时使用“钻井平台ISM审核检查表”,如果公司申请利比里亚/马绍尔/塞浦路斯旗DOC审核,除使用上述检查表外,还应分别使用船旗国附加要求检查表(塞浦路斯旗参照船舶附加要求检查表)。
5.2.船舶安全管理体系现场审核检查表包括:船长、甲板部、轮机部、客运部检查表、特殊船型(散货船、客船、油船、气体运输船、化学品船、高速船)附加要求检查表、船旗国(利比里亚/马绍尔、塞浦路斯)附加要求检查表以及临时审核检查表,部门检查表分别适用于各个部门审核,如果是特殊船型,除使用部门检查表外,还需使用特殊船型附加要求检查表。
如果船舶悬挂利比里亚/马绍尔、或塞浦路斯旗,除上述检查表外还需使用船旗国特殊要求检查表。
移动平台审核使用“移动平台ISM审核检查表”。
5.3.抽查检查表以外的内容时,审核员应用空白检查表予以记录。
6.归档6.1.审核完成后,审核组应将已记录审核情况的"ISM现场审核检查表"作为审核报告附件与有关资料一并归档,保管期限为长期。
信息安全服务资质认证实施规则2010-4-15 发布 201.
文件编码:ISCCC-SV-001:2010 信息安全服务资质认证实施规则2010-4-15发布 2010-4-15实施中国信息安全认证中心目录1.适用范围 (22.认证标准 (23.认证模式 (24.认证的基本环节 (25.认证实施 (35.1.认证时限 (35.2.认证申请及受理 (45.3.文档审核 (55.4.现场审核 (65.5.认证决定 (65.6.证后监督 (75.7.再认证 (85.8.认证变更 (86.认证证书 (96.1.认证证书有效期 (96.2.认证证书的管理 (97.收费 (101.适用范围信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务提供方的安全服务资质进行评价的合格评定活动。
中国信息安全认证中心根据《中华人民共和国认证认可条例》及相关规定制定本规则。
本规则适用于中国信息安全认证中心开展的信息安全服务资质认证工作,信息安全服务类别可包括信息安全应急处理、风险评估、灾难恢复、系统测评、安全运维、安全咨询、安全培训、安全审计、安全监理等多种。
本规则规定了实施信息安全服务资质认证管理与实施的基本要求。
2.认证模式现场检查+ 特定服务检查 + 获证后监督3.认证的基本环节(1认证申请及受理(2文档审核(3现场审核(4认证决定(5获证后监督(6再认证4.认证标准信息安全服务资质认证所依据的标准包括相关国家标准、行业标准和认证技术规范,涵盖了对信息安全服务提供方的基本资格、基本能力、管理能力、技术能力等方面的要求。
目前,信息安全服务资质认证采用的标准主要分为两大类:(1通用基础标准:CNCA/CTS 0052-2007 《信息安全服务资质认证技术规范》YD/T 1621-2007 《网络与信息安全服务资质评估准则》(2特定评价标准:针对特定类型的信息安全服务的评价要求。
可作为认证评价的所依据或参考的标准包括相关国家或行业标准、技术规范及管理指南,如:YD/T 1799-2008 《网络与信息安全应急处理服务资质评估方法》GB/T 20984-2007 《信息安全技术信息安全风险评估规范》GB/Z 20985-2007 《信息技术安全技术信息安全事件管理指南》 GB/Z 20986-2007 《信息安全技术信息安全事件分类分级指南》GB/T 20988-2007 《信息安全技术信息系统灾难恢复规范》GB/T 22081-2008 《信息技术安全技术信息安全管理实用规则》特定类型服务的资质认证要求可通过相关标准、规范或实施规则另行规定。
申请信息安全管理体系认证安全审查程序
申请信息安全管理体系认证安全审查程序申请信息安全管理体系认证安全审查程序信息安全是现代社会中不可或缺的一部分,对于企业来说,信息安全的保障更是至关重要。
为了保障企业的信息安全,许多企业开始申请信息安全管理体系认证,以确保其信息安全管理体系的有效性和可靠性。
而申请信息安全管理体系认证需要进行安全审查程序,下面将详细介绍申请信息安全管理体系认证安全审查程序。
一、申请信息安全管理体系认证前的准备工作在申请信息安全管理体系认证前,企业需要做好以下准备工作:1.明确申请认证的标准和要求,了解认证机构的认证流程和要求。
2.制定信息安全管理体系的相关文件和制度,包括信息安全政策、安全目标、安全管理手册等。
3.对企业内部的信息安全管理进行全面评估,发现并解决存在的问题。
4.进行内部培训,提高员工的信息安全意识和技能。
二、申请信息安全管理体系认证的流程1.申请认证企业首先需要向认证机构提交申请,填写相关的申请表格并缴纳认证费用。
2.初步评估认证机构会对企业的申请进行初步评估,确定是否符合认证要求和标准。
3.现场审核认证机构会派遣审核员到企业现场进行审核,审核内容包括企业的信息安全管理体系文件和制度、信息安全管理实践情况等。
4.审核报告审核员会根据审核结果编写审核报告,报告中会详细说明企业的信息安全管理体系是否符合认证要求和标准,以及存在的问题和建议。
5.整改企业需要根据审核报告中的问题和建议进行整改,确保信息安全管理体系符合认证要求和标准。
6.再次审核认证机构会对企业进行再次审核,确认企业已经完成整改。
7.认证决定认证机构会根据审核结果和整改情况做出认证决定,如果认证通过,企业将获得认证证书。
三、申请信息安全管理体系认证的好处1.提高企业的信息安全管理水平,保障企业的信息安全。
2.增强企业的信誉度和竞争力,提高企业的市场竞争力。
3.符合法律法规和行业标准,避免因信息安全问题而受到处罚。
4.提高员工的信息安全意识和技能,增强企业的整体素质。
CNAS-TRC-003-2008现场审核记录指南
CNAS技术报告现场审核记录指南中国合格评定国家认可委员会序认证及其认可作为一种国际通行的技术评价方法,因其对质量、环境、安全及能力等方面控制能力和绩效的评价作用,及其在贸易、消费、健康、信息和社会责任等领域的广泛运用,已使之成为了服务于国家经济发展、贸易政策的重要技术手段和公共行政管理的重要依托。
我国政府、行业和社会对合格评定活动及其结果的高度重视和逐步认同,提升了认证认可工作的技术权威性和社会价值,同时也给认证认可工作提出了更高的发展要求,即提高认证认可工作质量、增强认证认可工作的科学性和有效性,并以此确保认证认可结果的公信力。
中国合格评定国家认可委员会(CNAS)一贯重视认证认可基础理论和应用技术的研究,并将其作为实现认证认可工作可持续发展的一项重要措施。
本着发挥行业优势、共同开发和资讯共享的原则,围绕规范认证工作质量,提高认证有效性这一主旨,CNAS 组织开发了旨在为认证工作提供实用帮助的系列技术报告。
这些技术报告体现了与认证及其审核有关的理念、方法和经验,反映了认可机构和认证机构对有关认可规范和相关标准的一致理解和认识。
这些技术报告旨在为认证机构的管理和审核提供指导。
然而,这些技术报告不拟作为对有关认可规范及其相关要求的释义,它们仅从操作层面上就实施方法给出指导性建议,所提供的示例并非唯一可选的方法,仅供说明或参考之用。
这些技术报告可为认证机构的管理和审核借鉴之用,也可为认可机构的评审提供参考。
《现场审核记录指南》为认证机构各类管理体系现场审核信息的记录提供指南。
本技术报告由CNAS提出并归口。
本技术报告主要起草单位:CNAS和华夏认证中心有限公司。
本技术报告主要起草人:穆瑾、王梅、刘晓红、纪振双、闫振刚、乔梁。
现场审核记录指南1 引言现场审核记录作为审核证据的信息载体,记录了审核中所收集到的、已经证实的与审核目的、范围和准则有关的适当信息,表明了审核所取得的结果,并提供了审核所完成活动的证据。
ISO∕IEC TS17021-7的理解及说明
ISO∕IEC TS17021-7的理解及说明为了帮助你更好地撰写ISO/IEC TS 17021-7的理解及说明的论文,我们给出以下5个章节的提纲:第一章:绪论1.1 引言:介绍ISO/IEC TS 17021-7的背景和意义;1.2 研究目的:说明本文的研究目的和研究内容;1.3 论文结构:介绍论文的章节安排。
第二章:ISO/IEC TS 17021-7概述2.1 ISO/IEC TS 17021-7概述:概述标准的主要内容和应用范围;2.2 标准的框架结构:介绍标准的结构和组成部分;2.3 标准的背景和历史:简述标准的制定过程和历史沿革。
第三章:ISO/IEC TS 17021-7的具体内容解析3.1 术语和定义:解释标准中的术语和定义;3.2 风险评估和风险处理:介绍标准中的风险评估和处理要求;3.3 现场审核检查表:讲解标准中的现场审核检查表编制及使用要求。
第四章:ISO/IEC TS 17021-7的实践应用4.1 标准在ISO 9001认证中的应用实例:通过实例分析,说明标准在ISO 9001质量管理体系认证中的应用方法;4.2 标准在ISO 14001认证中的应用实例:通过实例分析,说明标准在ISO 14001环境管理体系认证中的应用方法。
第五章:总结与展望5.1 主要结论:总结本文的研究成果和主要结论;5.2 不足和改进:指出本文研究的不足和改进方向;5.3 展望未来:对ISO/IEC TS 17021-7标准的未来发展进行展望。
第一章:绪论1.1 引言ISO/IEC TS 17021-7是一份国际认可的标准,它旨在规范认证机构对组织食品安全管理体系(FSMS)的审核和认证过程。
FSMS是指组织为确保食品安全而实施的管理体系,通过制定、实施和维护食品安全政策和目标,确保组织在食品安全管理方面取得可持续的经营管理。
ISO/IEC TS 17021-7标准的制定,有利于提高认证机构的审核质量和效率,增强认证结果的可信度和公正性,为组织提供更具有价值和可靠性的认证服务。
内部审核记录表
公司的测量装置按照控制计划的要求来配置,能够满足生产需求。
OK
NC
OK
OK
OK
OK
OK
内部审核记录表共13页第6页
编号:HG/M.03-03年月日
精益求精,满足或超越顾客的期望
我们的宗旨不但要满足客户的要求,还要尽最大努力超越客户的要求。
OK
OK
OK
OK
OK
OK
内部审核记录表共13页第2页
编号:HG/M.03-03 2014年月日
受审核部门
管理层
审核员
何安邦、聂维胜
面谈人员及职务
黄河/总经理
过程名称
标准或
文件相关条款
审核记录
结论
管理体系策划过程
受审核部门
技质部
审核员
面谈人员及职务
何文炳
过程名称
标准或
文件相关条款
审核记录
结论
监视和测量装置控制SP07
产品标识和可追溯性SP05
顾客财产管理COP05
7.6
7.5.3
7.5.4
2、问并查是否制定了校准计划?并规定了校准或验证周期?抽查3-5种测量设备,看是否已按规定周期或在使用前得到校准或验证?有无校准或验证记录?
管理评审过程
人力资源管理
改进过程
51-5.6
6.1
8.1
4、公司的质量目标是什么?如何分解和得到满足?
(A)出公司产品质量100%合格
(B)顾客投诉,做到100%的有效处理,顾客信息处理率100%;
国家信息安全测评信息安全服务资质申请指南.doc
国家信息安全测评信息安全服务资质申请指南(安全开发类二级)©版权2017—中国信息安全测评中心2017年10月一、认定依据4二、级别划分4三、二级资质要求53.1 基本资格要求53.2 基本能力要求53.3质量管理能力要求 63.4安全开发过程能力要求 6四、资质认定74.1认定流程图74.2申请阶段 84.3资格审查阶段 84.4能力测评阶段 84.4.1静态评估84.4.2现场审核94.4.3综合评定94.4.4资质审定94.5证书发放阶段 9五、监督、维持和升级10六、处置10七、争议、投诉与申诉10八、获证组织档案11九、费用及周期11十、联系方式12中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系。
中国信息安全测评中心的主要职能是:1.对国内外信息安全产品和信息技术进行测评;2.对国内信息系统和工程进行安全性评估;3.对提供信息系统安全服务的组织和单位进行评估;4.对信息安全专业人员的资质进行评估。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。
为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC申请信息安全服务资质(安全开发类二级)的境内外组织。
一、认定依据信息安全服务(安全开发类)资质认定是对产品安全开发服务提供者的资格状况、技术实力和安全开发过程能力等方面的具体衡量和评价。
信息安全服务(安全开发类)资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质(安全开发类)具体要求,在对申请组织的基本资格、技术实力、安全开发过程能力以及安全开发项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISCCC-QOT-0428-B/3信息安全风险评估服务资质认证自评估表信息安全风险评估服务资质认证自评估表组织名称评估时间序要点号条款申报级别评估部门 /人员自评估结论需提供证明材料不证明材料清单符符合合按照相关标准建立的信息安全风险1.2.3.4. 服务技术要求基本资格建立信息安全风险评估服务流程。
制定信息安全风险评估服务规范并按照规范实施。
仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在 1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。
仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在 10,000 以上;具备从管理和技术层面对脆弱性进行识别的能力。
评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
已制定的信息安全风险评估服务规范。
一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。
一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。
序要点号5.6.7.8.准备阶段- 9.服务方案制定10.11.准备阶段- 12.人员和工具管理条款仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在 100,000 以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。
仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。
编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。
应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。
仅二级 / 一级要求:应进行充分的系统调研,形成调研报告。
仅二级 / 一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。
仅二级 /一级要求:应形成较为完整的风险评估实施方案。
应组建评估团队。
风险评估实施团队应由管理层、相关业务骨干、 IT 技术人员等组成。
需提供证明材料5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。
跟踪、验证、挖掘信息安全漏洞的证明材料。
信息安全风险评估方案、风险评估模板。
已完成项目的风险评估方案,方案中应包含风险评价原则。
已完成项目的系统调研报告,报告中对被评估对象有清晰的描述。
已完成项目的风险评估实施方案中应根据目标及调研结果,明确评估依据和评估方法,评估依据和评估方法符合国家标准、行业标准及相关要求。
已完成项目的风险评估方案中对风险评估实施团队成员及团队构架的介绍。
自评估结论不证明材料清单符符合合序要点号13.14.15.16.17.18.风险识别19.阶段-资产识别20.条款应根据评估的需求准备必要的工具。
应对评估团队实施风险评估前进行安全教育和技术培训。
仅二级 /一级要求:需采取相关措施,保障工具自身的安全性、适用性。
仅一级要求:需采取相关措施,保障工具管理的规范性。
参考国家或国际标准,对资产进行分类。
识别重要信息资产,形成资产清单。
对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。
对资产根据其在保密性、完整性和可用性上的等级分析结果,经过综合评定进行赋值。
自评估结论需提供证明材料不证明材料清单符符合合已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。
项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。
工具的安全测试证明材料;定期或工具软件有重大版本变更时,对工具软件进行适用性确认的测试记录。
已制定的工具管理制度及执行记录。
参照已发布的标准,形成的资产分类列表。
已完成项目的重要资产清单。
已完成项目的重要资产的三性等级要求列表。
已完成项目的重要资产赋值表。
序 条款要点号仅一级要求: 识别信息系统处理的业务21.功能,重点识别出关键业务功能和关键业务流程。
22.仅一级要求: 根据业务特点和业务流程识别出关键数据和关键服务。
23.仅一级要求: 识别处理数据和提供服务所需的关键系统单元和关键系统组件。
应对已识别资产的安全管理或技术脆24.风 险 识 别弱性利用适当的工具进行核查,并形成阶段 -脆弱 安全管理或技术脆弱性列表。
25. 性识别应对脆弱性进行赋值。
应参考国家或国际标准,对威胁进行分26.类;应识别所评估信息资产存在的潜在威27.风险识别 胁;阶段 -威胁28.识别应识别威胁利用脆弱性的可能性;应分析威胁利用脆弱性对组织可能造 29.成的影响。
需提供证明材料已完成项目中识别信息系统、 以及业务系统承载的业务、 业务流程的证明材料。
已完成项目中识别信息系统、 以及业务系统承载的业务、 业务流程的证明材料。
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。
已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。
已完成项目的脆弱性赋值列表。
威胁分类清单。
已完成项目中的威胁识别清单。
已完成项目中分析威胁利用脆弱性可能性的证明材料。
已完成项目中分析脆弱性发生对组织造成影响的证明材料。
自评估结论不证明材料清单符 符合合序要点号30.31.32.风险识别-已有安全33.措施确认34.35.风险分析阶段-风险分析模型36.建立37.38.风险分析条款仅二级 /一级要求:应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。
仅一级要求:采用多种方法进行威胁调查。
应识别组织已采取的安全措施;应评价已采取的安全措施的有效性。
应构建风险分析模型。
应根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。
应根据分析模型确定的方法计算出风险值。
仅二级 / 一级要求:构建风险分析模型应将资产、威胁、脆弱性三个基本要素及每个要素各自的属性进行关联。
仅二级 /一级要求:在风险计算时,应需提供证明材料已完成项目中对组织和信息系统造成的潜在威胁进行分析的证明材料。
已完成项目中采取多种威胁调查方法的证明材料。
已完成项目中的已识别的安全措施列表。
已完成项目中分析安全措施有效性的证明材料。
已完成项目的风险评估报告中对风险分析模型的描述,并验证其可行性、科学性。
已完成项目的风险评估报告中,对威胁、脆弱性及安全措施分析的描述。
已完成项目的风险评估报告中对风险计算方法的描述,计算得出风险值的过程。
已完成项目的风险评估报告中对资产、威胁、脆弱性三个基本要素进行关联的证明材料。
已完成项目的风险评估报告中的计自评估结论不证明材料清单符符合合序 要点 条款号阶段 -风险 根据实际情况选择定性计算方法或定计算 方 法 量计算方法。
确定39.应根据风险评价准则确定风险等级。
风险分析阶段 -风险仅二级 /一级要求: 应对不同等级的安40.评价全风险进行统计、评价,形成最终的总体安全评价。
41. 应向客户提供风险评估报告。
42.报告应包括但不限于评估过程、评估方 法、评估结果、处置建议等内容。
风险分析 -风险评估 仅二级 /一级要求: 风险评估报告中应报告对本次评估建立的风险分析模型进行43.说明,并应阐明本次评估采用的风险计算方法及风险评价方法。
仅二级 / 一级要求: 风险评估报告中应44.对计算分析出的风险给予比较详细的说明。
自评估结论需提供证明材料不证明材料清单符 符合合算方法。
已完成项目的风险评估报告中的评价准则, 并根据评价准则确定风险等 级的证明材料。
已完成项目的风险评估报告中的安全评价内容。
已完成的所申请资质级别要求数量的风险评估报告。
已完成的所申请资质级别要求的风险评估报告, 报告中至少包括评估过程、评估方法、评估结果、处置建议等内容。
2-3 份报告中对评估模型、 评估方法、评价方法等描述的内容。
已完成项目的风险评估报告中对风险给予详细说明的证明材料。
序要点号条款需提供证明材料自评估结论不证明材料清单符符合合45. 风险处置阶段 -风险处置原则确定风险处置仅二级 /一级要求:应协助被评估组织确定风险处置原则,以及风险处置原则适用的范围和例外情况。
仅二级 /一级要求:对组织不可接受的已完成项目的风险评估报告或建议报告中对风险处置原则及适用的范围和例外情况说明的证明材料。
已完成项目的风险评估报告或建议46.阶段 -安全整改建议47.风险处置阶段-组织评审会48.49.风险处置阶段-残余风险处置50. 风险提出风险处置措施。
仅一级要求:协助被评估组织召开评审会。
仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。
仅一级要求:对组织提出完整的风险处置方案。
仅一级要求:必要时,对残余风险进行再评估。
报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。
已完成项目的专家评审意见、整改措施及其总结。
已完成项目的残余风险处置方案,方案至少包含处置措施、工具、时间计划等内容。
已完成项目中对残余风险进行再评估的证明材料。
51.上一年度提出的观察项整改情况(如有)自评估序结论条款需提供证明材料不证明材料清单要点号符符合合52.53.54.上一年度提出的不符合项整改情况(如有)55.56.自评估结论:经自主评估,本单位的信息安全风险评估服务满足《信息安全服务规范》级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表 -公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。