信息安全服务资质自评估表-安全运维类

合集下载

信息安全服务资质认证自评估表-公共管理

信息安全服务资质认证自评估表-公共管理

信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。

2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。

申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。

3、表中要求的所有程序文件均已发布实施。

自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。

经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。

安全运维自评估

安全运维自评估

统安全服务的需求和类型。
全:应用系统安全测试、安全监控、安全
含:应用安全(应用系统安全测试、安全监 控、安全事件应急等)、主机安全(漏洞扫
事件应急等。
描、安全配置核查、补丁更新等)等。
7.
仅二级/一级要求:收集与分析信息系 所运维信息系统的可用性指标,如整体指
统的可用性指标。
标或单系统指标等。
提供 XX 项目 XX 文档,文档中 XX 章 XX 节给出信息系统的可用性指标需求,例如:
接口的运维管理人员信息。
提供 XX 项目信息系统可用性计划,计划包
仅二级/一级要求:编制信息系统的可 信息系统可用性计划;信息系统可用性事
含 XX、XX、XX 等章节内容;
17.
用性计划,监控可用性事件,报告可 件记录;信息系统可用性执行报告、改进
提供 XX 项目信息系统可用性事件记录;
用性执行,指导可用性的改进。
提供安全设备、业务系统的健康检查 安全设备、业务系统的健康检查服务记
15.
服务,并约定服务方式、检查频次和 录,应与安全运维服务使用者约定的服务
合同 XX 条给出输出成果:XX 总结报告、 巡检记录等 合同签订日期:XX 年 XX 月 XX 日 提供 XX 项目保密协议。 提供 XX 项目合同,合同第 XX 条明确安全 运维的方式为:驻场值守方式/定期巡检方式 /远程值守方式。 提供 XX 项目服务级别协议,协议中对 XX、 XX、XX 等服务指标的目标值进行了明确, 例如:XX 指标要求达到 99%。 提供 XX 项目安全运维服务方案,方案 XX 章 XX 节给出安全运维服务时间,XX 章 XX 节给出服务内容,XX 章 XX 节给出服务方 式,XX 章 XX 节给出服务期限,XX 章 XX 节给出服务人员,XX 章 XX 节给出服务交 付物,XX 章 XX 节给出服务质量管理,XX 章 XX 节给出服务沟通机制,XX 章 XX 节 给出服务风险管理。 提供 XX 项目 XX 文档,文档中 XX 章 XX 节对安全设备、业务系统的检查健康服务进

信息系统安全运维服务资质认证自评估表

信息系统安全运维服务资质认证自评估表
信息系统安全运维服务有策划,实施,监 视与评审和持续改进流程。
仅一级要求:建立安全运维可视化视 图。基于信息系统安全的生命周期,建 立信息系统安全运维的整体策略。基于 客户、业务的价值体现,形成安全运维 的整体视图。
安全运维项目施工手册和作业指导书; 新建系统,建设实施过程应重点关注信息 系统的功能、性能和安全性等方面要求, 应保留与客户的需求分析记录; 系统改造中考虑造前技术测试验证及在 实施失败后的回退措施; 测试验证中对旧系统物理 位置、端口对应情况、部署情况等资产详 细信息。
对安全设备进行日常维护及监控,并记 录硬件故障。
安全设备的日常维护,状态检查,定期查 杀,故障处理、保养、更新、升级、故障 检测及排除,并对安全设备出现的硬件故 障进行统计的记录。
提供安全设备、业务系统的健康检查服 务,并约定服务方式、检查频次和检查 内容。
仅一级要求:安全组织中要设定安全领 导小组;在采用外包模式的情况下,执 行组还应包含安全运维服务供应商参与 运维的人员。
安全组织架构图及相关运维人员清单,其
中应有安全领导小组;
外包模式的执行组中应有第三方参与运 维的人员。
仅一级要求:采用基于PDCA的管理模 型,从策划,实施,监视与评审和持续 改进进行体系化的信息系统安全运维服 务。
仅二级要求:分析以往服务的数据,提 取出来未来可自动化的服务。
以往提供服务的解决方案,对生产的影响
的分析报告;
根据以往安全事件的解决效率进行分析, 适宜时提出来未来可自动化的服务。
仅一级要求:内部团队之间的安全运营 级别协议应和与安全运维第一方之间的 的服务级别设计保持一致。
服务级别设计、安全运营级别协议,两者 应保持一致。
信息系统安全运维服务资质认证自评估表

ISCCC-QOT-0432-信息安全服务资质自评估表-公共管理20171113

ISCCC-QOT-0432-信息安全服务资质自评估表-公共管理20171113

信息安全服务资质认证自评估表-公共管理
填表说明:
1、该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。

申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。

2、仅申请三级服务资质认证时,如有项目则不需填该评估表中的第24、25项,直接填写对应的服务类别自评估表;
3、仅申请三级服务资质认证时,如无项目则仅需填写该自评估表,且申请方须承诺(提供加盖组织公章并由法人签字确认的承诺书)在获证后6个月内完成该方向的服务项目并填写对应方向的自评估表提交ISCCC及审核组长。

信息系统安全运维服务资质认证自评估表

信息系统安全运维服务资质认证自评估表
信息系统安全运维服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
服务技术要求
建立信息系统安全运维服务流程。
信息系统安全运维服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定信息系统安全运维服务规范并按照规范实施。
信息系统安全运维服务规范并按照规范实施。
3.
准备阶段-需求调研与分析
调研客户信息系统安全现状,采集客户安全服务需求与目标,明确客户对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求。
针对客户的调研报告,其中包括对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求调研结果。
4.
进行信息系统运维预算,定义运维服务。
信息系统安全运维预算,其中包括运维服务内容、每项服务的工作量、每项服务的人力资源项目经费等。
40.
仅一级要求:依据运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
运维过程中的变更记录。
41.
仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
应急处置方案和恢复策略;运维过程中的响应时间应达到方案要求。
42.
仅一级要求:依据风险评估方案与计划实施信息系统风险评估;依据渗透测试方案与计划实施信息系统渗透测试。
5.
与客户进行沟通,达成共识并形成记录。
与客户沟通形成的记录,内容应有对运维服务项目达成共识的体现。
6.
仅二级/一级要求:分析客户对信息系统安全服务的需求和类型。

信息系统安全运维自评估表-信息安全服务资质

信息系统安全运维自评估表-信息安全服务资质

仅二级要求:建立信息系统安全配置
20.
库。
及的配置项,如安全设备的配置项有安全
策略、管理员账户、IP 等。
仅一级要求:建立信息系统应急事件
21.
响应机制和恢复保障。
信息系统的应急响应计划和恢复计划。
仅一级要求:编制安全运维项目作业 安全运维作业指导书,例如:配置核查操
22.
指导书。
作手册、常见安全事件处理指南等。
段-需求
信息系统安全运维预算,其中包括运维服
4.
调 研 与 进行信息系统运维预算,定义运维服 务内容、每项服务的工作量、每项服务的
分析
务。
人力资源项目经费等。
与客户进行沟通,达成共识并形成记 与客户沟通形成的记录,内容应有对运维
5.
录。
服务项目达成共识的体现。
证明材料清单
中国网络安全审查技术与认证中心 制
仅一级要求:建立应急响应和灾难恢
23.
复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
仅一级要求:在安全运维服务方案中
24.
明确漏洞管理的工作流程。
漏洞管理的方案、流程。
运维服 25. 务实施 实施初始服务,完成资产识别。
资产识别表,为 IT 资产的标识、分级、保 护和软件配置建立基础资料档案;有设备 和系统的种类、型号、功能、物理位置、 端口对应情况、部署情况等资产详细信
完整性、可用性(专职管理)。
项有安全策略、管理员账户、IP等。
仅二级/一级要求:实施安全设备、网
络设备、中间件、数据库、服务器等
34.
配置项的更新和维护记录。 资产的安全配置管理,定期对配置项
进行更新和维护。

信息安全风险评估服务资质认证自评估表

信息安全风险评估服务资质认证自评估表
已完成项目的风险评估报告或建议报告中对风险处置原则及适用的范围和例外情况说明的证明材料。
46.
风险处置阶段-安全整改建议
仅二级/一级要求:对组织不可接受的风险提出风险处置措施。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
47.
风险处置阶段-组织评审会
仅一级要求:协助被评估组织召开评审会。
已完成项目的风险评估实施方案中应根据目标及调研结果,明确评估依据和评估方法,评估依据和评估方法符合国家标准、行业标准及相关要求。
11.
仅二级/一级要求:应形成较为完整的风险评估实施方案。
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
12.
准备阶段-人员和工具管理
应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。
服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
48.
仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。
已完成项目的专家评审意见、整改措施及其总结。
49.
风险处置阶段-残余风险处置
仅一级要求:对组织提出完整的风险处置方案。
2-3份报告中对评估模型、评估方法、评价方法等描述的内容。
44.
仅二级/一级要求:风险评估报告中应对计算分析出的风险给予比较详细的说明。
已完成项目的风险评估报告中对风险给予详细说明的证明材料。
45.
风险处置阶段-风险处置原则确定

信息安全服务资质认证自评估表-公共管理

信息安全服务资质认证自评估表-公共管理

信息安全服务资质认证自评估表-公共管理
填表说明:
1、该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。

申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。

2、表中要求的所有程序文件均已发布实施。

自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。

经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》级要求,申请第三方审核。

信息系统安全运维服务资质认证自评估表

信息系统安全运维服务资质认证自评估表
17.
收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。
有对网络及安全设备日志,服务器、操作系统等日志,网络应用日志的记录与分析报告。
18.
仅二级要求:对信息安全事件进行统计与分析。
信息安全事件的统计表,分析报告;
信息系统的可用性事件、计划、报告;
安全运维角色清单。
19.
仅二级要求:编写安全运维服务目录,目录内容包括但不限于:运维监控与分析、终端安全监控、等级保护合规性运维。
信息系统的可用性事件、计划、报告。
23.
仅二级要求:形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。
24.
仅一级要求:编制安全运维项目作业指导书。
安全运维项目中各模块作业指导书。
25.
仅一级要求:建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。
内部审核的响应文件与记录;
管理评审的响应文件与记录,内容应包含服务和流程的执行情况和符合性;
60.
仅二级要求:定期回顾安全运维服务,确保其持续适用和有效。管理评审的输入至少包括:客户反馈、服务和流程的执行情况和符合性、当前和预测资源水平、纠正措施的进展情况、可能影响安全运维服务的变更、改进的机会。
当前和预测资源水平;
15.
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
有安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件记录。
16.
采集系统配置、流量信息、系统状态等安全信息。
安全设备、业务系统的健康检查服务,应与安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件的记录。

信息安全服务资质自评价表-中国信息安全认证中心

信息安全服务资质自评价表-中国信息安全认证中心

信息系统安全集成服务资质认证自评估表组织名称 申报级别评估时间 评估部门/人员序号 要点 条款 需提供证明材料自评估结论证明材料清单符合不符合1.技术服务要求 建立信息系统安全集成服务流程。

信息系统安全集成服务流程,流程图中应包括每个阶段对应的职责、输入输出等。

2.制定信息系统安全集成服务规范并按照规范实施。

信息系统安全集成服务规范。

3.集成准备-需求调研与分析调研客户背景信息,采集系统建设需求和建设目标,明确系统功能、性能及安全性要求。

准备阶段控制程序文件,包括明确工作内容、流程、方法、文档模板,内容至少包括需求调研、分析、评审,产品选型,财务预算。

提供投标文件、项目文档等证明。

4.基于系统建设需求,提出产品选型方案和建设预算。

5.结合系统建设和安全需求,与客户、设计、开发等人员充分沟通,达成共识并形成记录。

6.仅二级/一级要求:准确识别和综合分系统安全需求分析报告,内容应覆盖序号 要点 条款 需提供证明材料自评估结论证明材料清单符合不符合析系统在信息安全特性方面相适应的安全需求。

审核条款要求。

7.仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制需求分析报告。

8.仅一级要求:协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。

安全集成项目风险评估程序及风险评估报告。

9.方案设计 根据系统建设安全需求,编制安全集成技术方案。

项目方案设计阶段控制程序文件,包括明确工作内容、流程、文档模板,内容应覆盖审核条款的要求。

项目技术方案、实施方案、沟通记录。

10.依据技术方案,编制安全集成实施方案,明确项目人员、进度、质量、沟通、风险等方面要求。

11.结合技术方案和实施方案,与客户进行沟通,获得客户认可。

12.仅二级/一级要求:结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明确系统架构、产品选型、产品功能、性能及配置等参数。

项目方案设计阶段控制程序文件,内容应覆盖审核条款要求。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全组织架构图及相关运维人员清单,其中应有安全领导小组;
外包模式的执行组中应有第三方参与运维的人员。
10.
仅一级要求:采用基于PDCA的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。
信息系统安全运维服务有策划,实施,监视与评审和持续改进流程。
11.
仅一级要求:建立安全运维可视化视图。基于信息系统安全的生命周期,建立信息系统安全运维的整体策略。基于客户、业务的价值体现,形成安全运维的整体视图。
运维前的信息系统运维预算表,内容应包括工作量、人力资源项目经费、项目节点等。
3.
与客户进行沟通,达成共识并形成记录。
运维前与客户沟通的记录,应有沟通结果双方达成共识的体现。
4.
仅二级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。
信息系统运维过程中的历史数据清单;
历史数据清单的分析报告,内容包含指标完成情况、违例操作、重大事件、重大(失败)变更等。
15.
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
有安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件记录。
16.
采集系统配置、流量信息、系统状态等安全信息。
安全设备、业务系统的健康检查服务,应与安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件的记录。
纠正措施的进展情况;
可能影响安全运维服务的变更;
改进的机会,如指标为满足、运维中存在的问题、服务提升点等。
61.
仅一级要求:形成体系化的审核机制及企业文化。
内部审核机制形成体系,表现形式如:体系文件、PDCA流程、第三方认证等;
建立服务监视管理流程
62.
仅一级要求:体系化的服务监视管理,形成审核机制。
以往提供服务的解决方案,对生产的影响的分析报告;
根据以往安全事件的解决效率进行分析,适宜时提出来未来可自动化的服务。
8.
仅一级要求:内部团队之间的安全运营级别协议应和与安全运维第三方之间的的服务级别设计保持一致。
服务级别设计、安全运营级别协议,两者应保持一致。
9.
仅一级要求:安全组织中要设定安全领导小组;在采用外包模式的情况下,执行组还应包含安全运维服务供应商参与运维的人员。
内部审核的响应文件与记录;
管理评审的响应文件与记录,内容应包含服务和流程的执行情况和符合性;
60.
仅二级要求:定期回顾安全运维服务,确保其持续适用和有效。管理评审的输入至少包括:客户反馈、服务和流程的执行情况和符合性、当前和预测资源水平、纠正措施的进展情况、可能影响安全运维服务的变更、改进的机会。
当前和预测资源水平;
28.
专业人员负责安全管理的接口。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
29.
建立服务目录。
安全运维服务目录。
30.
建立事件响应和解决的机制,有基本的安全运维报告模式。
安全事件处理与应急响应流程,安全事件处理与上报流程。
31.
仅二级要求:采用流程化管理方法,基于安全事件处理流程、安全培训服务流程、渗透测试流程进行标准化的信息系统安全运维工作。
49.
建立事件管理程序和信息安全服务请求管理程序。
事件管理程序,已审批并发布;
服务请求管理程序,已审批并发布。
50.
仅二级要求:实施运维监控与分析并形成记录。
运维监控分析报告,内容以数据来分析各个指标的趋势。
51.
仅二级要求:进行等级保护合规性运维。
针对信息系统安全建立保护等级;
对信息系统分级的标准;
安全运维服务目录,内容应包含有条款的要求。
20.
仅二级要求:建立信息系统安全运维的问题管理程序。
信息系统问题管理程序,已审批并发布。
21.
仅二级要求:建立知识管理程序及初步形成知识库。
知识管理程序,已审批并发布。
22.
仅二级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
信息系统安全
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
准备阶段—需求调研与分析
采集客户对信息系统运维服务时间的需求。
运维前的客户需求调查报告,可结合结合业务部门,公司高层的战略规划,内容必须有服务时间要求。
2.
进行信息系统运维预算,定义运维服务。
运维数据收集记录,内容应包含条款中的要求。
57.
对运维实现情况进行监视测量,未能实现的目标应采取纠正预防措施。
安全运维实现情况监视测量清单,如客户满意度、投诉建议、KPI等;
纠正预防措施记录单。
58.
建立与分析客户满意度调查。
客户满意度调查报告,内容应包括对满意度分析。
59.
仅二级要求:按照计划的时间间隔执行内部审核,应至少满足: 既定标准的要求、满足安全运维服务需求和客户所提出的SMS要求、 有效被实施和维护。
17.
收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。
有对网络及安全设备日志,服务器、操作系统等日志,网络应用日志的记录与分析报告。
18.
仅二级要求:对信息安全事件进行统计与分析。
信息安全事件的统计表,分析报告;
信息系统的可用性事件、计划、报告;
安全运维角色清单。
19.
仅二级要求:编写安全运维服务目录,目录内容包括但不限于:运维监控与分析、终端安全监控、等级保护合规性运维。
安全运维服务目录,内容包含条款要求。
13.
信息系统相关的IT资产进行识别。
IT资产识别清单,内容有IT资产识别的标识、分级、保护和软件配置建立基础资料档案;
有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。
14.
对安全设备进行日常维护及监控,并记录硬件故障。
安全设备的日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计的记录。
65.
应有文件化的程序用以识别、记录、批准、评估、测量和报告改进措施。
66.
应采取预防措施,以消除潜在的不符合项的原因,以防止其发生。
安全运维预防措施文件,及其有效性验证的记录。
52.
仅二级要求:实施安全通告及漏洞分析服务:完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告。
通告与漏洞分析记录,内容为业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告,并生成分析报告。
53.
仅二级要求:实施应急响应服务:完成应急响应预案制定,对应急事件及时响应,并对应急进行演练,形成相关记录
有改造过程中的信息系统的测试计划;
有信息系统的基线、回退的措施文件。
26.
仅一级要求:编写安全运维服务目录,目录内容包括但不限于:安全通告及漏洞分析、应急响应服务。
安全运维服务目录,内容有条款要求的服务。
27.
准备阶段—运维服务导入
收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
36.
仅二级要求:签订服务级别协议,建立信息系统应急事件响应机制和恢复保障。
服务级别协议,内容包括承诺信息系统核心指标;
应急响应计划、系统恢复计划。
37.
仅二级要求:建立问题管理程序。
信息系统的问题管理程序,已审批并发布。
38.
仅二级要求:建立信息系统安全的配置库及关联关系信息。
配置库,系统安全配置项之间有关联信息。
渗透测试的计划和记录;
建立安全事件处理流程,安全培训服务流程,渗透测试的流程。
32.
仅一级要求:基于渗透测试流程管理进行标准化的信息系统安全运维工作。
运维过程中的渗透测试的计划和记录。
33.
仅一级要求:编制信息安全产品和工具定制开发计划。
信息安全产品和工具定制开发计划,内容可以应客户要求或组织自身的能力。
39.
仅一级要求:建立信息系统安全运维服务级别管理程序,签订服务级别协议。
有已通过审核并发布的信息系统安全运维服务级别管理程序;
查看客户有服务级别协议。
40.
仅一级要求:建立信息系统应急事件响应机制和恢复保障。
应急响应计划、要求:对客户满意度进行趋势分析。
客户满意度调查报告与趋势分析报告;
63.
仅一级要求:定期评审客户对安全运维服务的满意度。
客户满意度调查表,包括:定期评审、主动回访等。
64.
安全运维运—维持续改进
应在运维过程和监视过程中识别改进项目,制定持续改进计划,计划应包括对改进机会的评估标准。
安全运维持续改进计划;
查看改进计划的评估标准。
包括:识别过程、记录过程、是否有批准过程、评估、测量和适合的报告机制。
信息系统的可用性事件、计划、报告。
23.
仅二级要求:形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。
24.
仅一级要求:编制安全运维项目作业指导书。
安全运维项目中各模块作业指导书。
25.
仅一级要求:建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。
日常维护,巡检、状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除的记录;
相关文档
最新文档