信息系统安全运维服务资质认证自表-中国信息安全认证中心
- 格式:doc
- 大小:167.00 KB
- 文档页数:11
文档推荐
-
中国信息安全认证中心 现场审核表.doc页数:9
-
灾难备份与恢复类-中国信息安全认证中心页数:13
-
风险类-中国信息安全认证中心页数:9
-
中国信息安全认证中心信息安全基准实验室页数:50
下载文档原格式
合集下载
信息系统安全运维服务资质认证申请流程
信息系统安全运维服务资质认证申请流程信息系统安全运维服务资质认证的具体流程可能会因地区和相关机构的要求而有所不同,以下是一般的认证申请流程供参考:
理解认证要求:详细了解相关标准和规范,例如ISO 27001信息安全管理体系、CMMI等。
准备相关文件和资料:准备组织机构代码证、营业执照、法人代表身份证明、公司章程等基本材料。
此外,根据认证要求,还需准备安全管理制度、培训记录、资源分配记录等相关文件。
选择认证机构:根据您所在的地区和认证要求选择合适的认证机构,确保机构具备认可的资质和能力。
提交申请:向选定的认证机构提供必要的申请表格和资料,并支付相应的申请费用。
评估和审核:认证机构将对您的组织进行评估和审核,包括现场检查、文件审核、访谈等环节。
他们将评估您的信息安全管理体系的运行情况,以确定是否符合认证要求。
整改和再评估:如果在初步评估中存在不符合认证要求的问题,您需要按照认证机构的要求进行整改,并提供相关的证明材料。
之后,认证机构将进行再次评估。
认证决定:认证机构将根据评估结果作出认证决定,如果符合认证要求,将颁发认证证书和标志。
认证维持和审核:认证的有效期通常为一定时间,您需要定期接受认证机构的审核和监督,确保持续符合认证要求。
信息系统安全资质认证运维服务规范文件
信息系统安全资质认证运维服务规范文件1.引言1.1目的本文件旨在规范信息系统安全资质认证运维服务的流程、要求和职责,确保信息系统的稳定性、可用性和安全性。
1.2适用范围本规范适用于所有需要进行信息系统安全资质认证的组织和单位,包括其内部和外部运维服务提供商。
2.术语定义2.1信息系统安全资质认证指根据国家和行业标准,对信息系统进行评估和检测,以确定其满足安全要求的程度,并颁发相应的安全资质证书。
2.2运维服务提供商指为组织或单位提供信息系统运维服务的第三方公司或机构。
3.运维服务规范3.1安全资质认证流程3.1.1需求收集:运维服务提供商应与组织或单位沟通,了解其安全资质认证的具体需求和要求。
3.1.2评估计划制定:运维服务提供商应编制详细的评估计划,包括评估的范围、方法和时间安排等。
3.1.3资源准备:运维服务提供商应准备必要的评估工具和设备,并组织相关人员进行培训和准备工作。
3.1.4评估执行:运维服务提供商应按照评估计划进行评估工作,包括系统漏洞扫描、安全策略审核等。
3.1.5结果报告:运维服务提供商应编制详细的评估报告,包括评估结果、问题和建议等。
3.1.6补救措施实施:根据评估结果,运维服务提供商应与组织或单位合作,制定并实施相应的补救措施,以解决存在的安全问题。
3.1.7安全资质证书颁发:经过评估和补救措施实施后,运维服务提供商应向组织或单位颁发相应的安全资质证书。
3.1.8跟踪验证:运维服务提供商应定期对已认证的信息系统进行跟踪验证,确保其持续满足安全要求。
3.2职责和要求3.2.1运维服务提供商应具备相应的从业资质和技术实力,能够胜任安全资质认证的工作。
3.2.2运维服务提供商应保护组织或单位的商业秘密和个人隐私信息,确保评估过程的机密性和安全性。
3.2.3运维服务提供商应按照国家和行业标准,对评估过程和结果进行科学、客观、公正、全面的评价和判定。
3.2.4运维服务提供商应按照合同约定和要求,配合组织或单位参与相关的安全资质认证工作,提供必要的支持和协助。
CCRC-QOT-0434-B 4 安全运维
仅一级要求:编制安全运维项目作业指导书。
安全运维作业指导书,例如:配置核查操作手册、常见安全事件处理指南等。
23.
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
24.
仅一级要求:在安全运维服务方案中明确漏洞管理的工作流程。
漏洞管理的方案、流程。
25.
运维服务实施
12.
明确安全运维的方式,方式包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。
项目合同/协议中应有明确的安全运维模式。
13.
仅二级/一级要求:签订服务级别协议。
与客户签订的服务级别协议,协议中应承诺信息系统核心指标,如:可用性、安全事件解决率等。
14.
方案设计阶段
根据系统安全运维需求,编制安全运维服务方案,明确安全运维服务时间、服务内容、服务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管理等方面要求。
37.
仅一级要求:实施安全培训服务:完成安全意识、基本安全技术的培训服务。
安全培训服务记录。
38.
仅一级要求:实施安全通告及漏洞分析服务:完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告。
通告与漏洞分析记录,内容为业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告,以及基于通告进行的分析。
所运维信息系统的可用性指标,如整体指标或单系统指标等。
8.
仅二级/一级要求:分析以往服务的数据,提取出来未来可自动化的服务。(监审时适用)
运维服务报告,其中应对以往安全服务进行总结,对安全事件的解决效率进行分析,适宜时提出未来可自动化的服务。
安全运维作业指导书,例如:配置核查操作手册、常见安全事件处理指南等。
23.
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
24.
仅一级要求:在安全运维服务方案中明确漏洞管理的工作流程。
漏洞管理的方案、流程。
25.
运维服务实施
12.
明确安全运维的方式,方式包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。
项目合同/协议中应有明确的安全运维模式。
13.
仅二级/一级要求:签订服务级别协议。
与客户签订的服务级别协议,协议中应承诺信息系统核心指标,如:可用性、安全事件解决率等。
14.
方案设计阶段
根据系统安全运维需求,编制安全运维服务方案,明确安全运维服务时间、服务内容、服务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管理等方面要求。
37.
仅一级要求:实施安全培训服务:完成安全意识、基本安全技术的培训服务。
安全培训服务记录。
38.
仅一级要求:实施安全通告及漏洞分析服务:完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告。
通告与漏洞分析记录,内容为业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告,以及基于通告进行的分析。
所运维信息系统的可用性指标,如整体指标或单系统指标等。
8.
仅二级/一级要求:分析以往服务的数据,提取出来未来可自动化的服务。(监审时适用)
运维服务报告,其中应对以往安全服务进行总结,对安全事件的解决效率进行分析,适宜时提出未来可自动化的服务。
信息安全风险服务资质认证自表填写
中国信息安全认证中心 制
第 1 页 共 12 页
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
组织名称 评估时间
XX 公司(全称) XX 年 X 月 X 日-X 月 X 日
申报级别
X级
评估部门/人员 XX 部/XX
自评估
序 要点
号
条款
需提供证明材料
结论 不
符 符
合 合
行业类型:
中国信息安全认证中心 制
第 2 页 共 12 页
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
自评估
序 要点
号
条款
需提供证明材料
结论 不
符 符
合 合
证明材料清单
该系统的用户数在 10,000 以上;具备从 脆弱性识别的材料。
系统规模(用户数):
管理和技术层面对脆弱性进行识别的
用户数在 100,000 以上;具备从业务、 层面对脆弱性进行识别的材料。
行业类型: 系统规模(用户数): 合同签订时间:
管理和技术层面对脆弱性进行识别的
项目验收时间:
能力。
合同金额:
3.项目名称:
行业类型:
系统规模(用户数):
合同签订时间:
项目验收时间:
合同金额:
中国信息安全认证中心 制
第 3 页 共 12 页
证明材料清单
提供《信息安全风险评估服务流程》(包含 XX 阶段、XX
阶段、XX 阶段、XX 阶段),对每个阶段的目标、角色、
1.
建立信息安全风险评估服务流程。 服务技术
要求
按照相关标准建立的信息安全风险 评估服务流程,流程图中应包括每个 阶段对应的职责、输入输出等。
ccrc信息安全服务资质 灾备模板
ccrc信息安全服务资质灾备模板摘要:一、引言二、CCRC信息安全服务资质概述1.资质背景2.资质意义3.资质要求三、灾备模板简介1.灾备模板作用2.灾备模板核心要素四、CCRC信息安全服务资质与灾备模板结合1.结合意义2.结合方法3.结合优势五、结论正文:一、引言随着信息化时代的到来,信息安全越来越受到企业和组织的重视。
为了提高我国信息安全服务水平,CCRC(中国网络安全审查与认证中心)推出了信息安全服务资质认证。
本文将为您介绍CCRC信息安全服务资质及与之相关的灾备模板,帮助您更好地应对信息安全挑战。
二、CCRC信息安全服务资质概述1.资质背景CCRC信息安全服务资质是为了规范我国信息安全服务市场,提高信息安全服务提供者的技术能力、管理水平和信誉度而推出的认证体系。
通过对信息安全服务提供者的技术能力、项目管理、服务质量和人员素质等方面进行综合评估,为用户提供可靠、可信的信息安全服务。
2.资质意义CCRC信息安全服务资质具有以下意义:(1)提升信息安全服务提供商的专业素养,降低用户风险;(2)推动信息安全服务市场的健康发展,提高行业竞争力;(3)树立优秀信息安全服务提供商的品牌形象,促进市场秩序规范。
3.资质要求CCRC信息安全服务资质要求认证企业具备一定的技术实力、服务经验、人员素质和管理水平。
在申请认证过程中,企业需要通过严格的审查,包括资料审核、现场评估等环节。
获得认证后,企业还需定期进行复查,以确保持续符合资质要求。
三、灾备模板简介1.灾备模板作用灾备模板是针对企业信息系统灾备需求而设计的一种规范化文档,旨在为企业提供一套完整的灾备方案。
通过灾备模板,企业可以快速建立灾备体系,提高信息系统灾备能力。
2.灾备模板核心要素灾备模板主要包括以下核心要素:(1)灾备策略:根据企业业务需求和信息系统特点,制定合适的灾备策略;(2)灾备范围:确定灾备所需的数据、系统和应用程序;(3)灾备方式:选择实时的、近实时的或非实时的灾备方式;(4)灾备流程:明确灾备过程中各个环节的操作流程和责任分工;(5)灾备演练:定期进行灾备演练,检验灾备方案的有效性;(6)灾备设施:建设灾备中心,满足灾备过程中的硬件需求。
信息系统安全运维服务资质 质疑函
信息系统安全运维服务资质质疑函质疑函中提出的关于信息系统安全运维服务资质的问题,我们将逐步回答并提供相关解释。
首先,让我们明确一下什么是信息系统安全运维服务资质。
信息系统安全运维服务资质是指一个机构或个人在提供信息系统安全运维服务方面所具备的相关能力和资格认证。
这些资质认证通常由政府部门或专业机构进行评审和颁发,旨在确保提供信息系统安全运维服务的机构或个人具备必要的技术和管理能力,能够提供高质量的安全运维服务。
在质疑函中提到的第一个问题是关于信息系统安全运维服务资质的有效性。
对于这个问题,我们需要了解相关政府部门或专业机构颁发的资质认证的背景和标准。
通常,这些资质认证会经过严格的审核程序,包括对申请机构或个人的技术能力和管理能力进行评估。
同时,考虑到信息系统安全运维服务的特殊性,这些认证也会对相关机构或个人的安全保障体系进行检查,确保其满足行业标准和最佳实践。
另一个质疑函中提出的问题是关于不同地区或国家之间的信息系统安全运维服务资质的互认性。
根据国际上的共识和协议,许多国家或地区会承认其他国家或地区颁发的资质认证。
例如,ISO 27001是国际上广泛接受的信息安全管理体系认证,许多国家都会接受该认证。
此外,一些国际标准组织也发布了信息安全认证标准,如CISA和CISSP,这些认证具有全球范围内的公认性。
在质疑函中还提出了对于信息系统安全运维服务资质的评估和监督问题。
关于这个问题,各国政府部门和专业机构通常会设立专门的机构或部门负责对持有资质认证的企业或个人进行评估和监督。
这些机构会定期对资质认证的持有者进行审核,确保其继续满足相关要求。
此外,一些行业协会也会制定相关标准和准则,对资质认证的持有者进行监督和管理。
最后,质疑函中还提出了关于信息系统安全运维服务资质的价值和参考性的问题。
我们要认识到,信息系统安全运维服务资质代表了持有者在相关领域的技术和管理能力,是其专业水平和信誉的体现。
对于企业或个人来说,持有资质认证可以帮助他们证明自己具备提供高质量安全运维服务的能力,增加客户的信任度。
信息系统安全运维自评估表-信息安全服务资质
仅二级要求:建立信息系统安全配置
20.
库。
及的配置项,如安全设备的配置项有安全
策略、管理员账户、IP 等。
仅一级要求:建立信息系统应急事件
21.
响应机制和恢复保障。
信息系统的应急响应计划和恢复计划。
仅一级要求:编制安全运维项目作业 安全运维作业指导书,例如:配置核查操
22.
指导书。
作手册、常见安全事件处理指南等。
段-需求
信息系统安全运维预算,其中包括运维服
4.
调 研 与 进行信息系统运维预算,定义运维服 务内容、每项服务的工作量、每项服务的
分析
务。
人力资源项目经费等。
与客户进行沟通,达成共识并形成记 与客户沟通形成的记录,内容应有对运维
5.
录。
服务项目达成共识的体现。
证明材料清单
中国网络安全审查技术与认证中心 制
仅一级要求:建立应急响应和灾难恢
23.
复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
仅一级要求:在安全运维服务方案中
24.
明确漏洞管理的工作流程。
漏洞管理的方案、流程。
运维服 25. 务实施 实施初始服务,完成资产识别。
资产识别表,为 IT 资产的标识、分级、保 护和软件配置建立基础资料档案;有设备 和系统的种类、型号、功能、物理位置、 端口对应情况、部署情况等资产详细信
完整性、可用性(专职管理)。
项有安全策略、管理员账户、IP等。
仅二级/一级要求:实施安全设备、网
络设备、中间件、数据库、服务器等
34.
配置项的更新和维护记录。 资产的安全配置管理,定期对配置项
进行更新和维护。
信息系统安全集成服务资质认证介绍
信息系统安全集成服务资质认证介绍一、工作背景随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。
加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。
开展信息安全服务分类分级的资质认证可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。
同时,认证过程也将有效促进服务提供方完善自身管理体系,提高服务质量和水平,引导行业健康规范发展。
中国信息安全认证中心是国家质检总局直属事业单位,经中央编制委员会批准成立,由国家认证认可监督管理委员会批准,可依据相关标准开展对信息安全服务资质分类分级的认证工作。
2011年启动了信息系统安全集成服务资质认证工作,2013年4月,中国信息安全认证中心与辽宁省信息安全与软件测评认证中心签订了信息系统安全集成服务资质认证合作协议,授权测评认证中心为辽宁工作站,在辽宁省(含大连)内推广并实施信息系统安全集成服务资质认证工作。
二、认证简介信息系统安全集成服务是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。
信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素,从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。
也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,通常被称为安全优化或安全加固。
信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。
资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。
安全集成服务提供方的服务能力主要从以下四个方面体现:基本资格、服务管理能力、服务技术能力和服务过程能力;服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。
信息系统安全运维服务资质认证申报流程详解
信息系统安全运维服务资质认证是企业在信息化发展过程中必须完成的重要环节,它能够有效保障企业信息系统的安全运行,保护用户数据的安全和隐私,防范网络攻击和数据泄露等风险,对于企业的可持续发展具有重要意义。
本文将对信息系统安全运维服务资质认证的申报流程进行详细解析,以帮助企业准确、高效地完成资质认证申报。
一、申报资料准备1.企业基本信息申报企业需准备企业的营业执照、组织机构代码证、税务登记证、法人唯一识别信息等基本信息资料,并确保这些资料是真实有效的。
2.服务相关资料申报企业还需要准备相关的服务资质证明,包括员工的从业资格证书、安全生产许可证、资质证书等。
3.安全管理制度企业需要制定完善的信息安全管理制度,包括安全培训、安全控制、事件响应等,以确保企业安全运维服务的有效性和可靠性。
二、资质认证申报流程1.申报材料准备企业首先需要将准备好的申报材料按照要求整理,确保所有的材料齐全、真实有效。
2.申报资格确认企业需要向资质认证机构进行申报资格确认,确认企业是否符合相关资质认证的条件和要求。
3.申报材料递交企业在确认了资格后,将申报材料递交给资质认证机构,工作人员会对材料进行初步审核。
4.现场审核通过初步审核的企业将接受资质认证机构的现场审核,审核内容包括企业的安全管理制度、服务流程、技术能力等。
5.资质认证审核通过的企业将获得资质认证证书,证明企业具备信息系统安全运维服务的资质,可以为客户提供安全可靠的服务。
三、注意事项和建议1.了解相关法律法规在进行资质认证申报之前,企业需要充分了解相关的法律法规要求,确保自己的服务和管理制度符合规定。
2.加强内部管理企业需要加强内部管理,建立规范的制度和流程,确保安全运维服务的高效和可靠。
3.培训员工企业需要培训员工,提高员工的安全意识和技能水平,保障安全运维服务的质量。
4.不断改进企业在获得资质认证后,需要不断改进和提升自身的管理水平和服务质量,以适应信息化发展的要求。
信息安全服务资质认证
信息安全服务资质认证
监督审核通知单
:
您好,贵组织已获中国网络安全审查技术与认证中心颁发的:
安全集成服务资质级认证证书(获证日期:年月日)
应急处理服务资质级认证证书(获证日期:年月日)
风险评估服务资质级认证证书(获证日期:年月日)
安全开发服务资质级认证证书(获证日期:年月日)
安全运维服务资质级认证证书(获证日期:年月日)
灾难备份与恢复服务资质A类级认证证书(获证日期:年月日)灾难备份与恢复服务资质B类级认证证书(获证日期:年月日)网络安全审计服务资质级认证证书(获证日期:年月日)
工业控制系统安全服务资质级认证证书(获证日期:年月日)根据《信息安全服务资质认证实施规则》的要求,贵方应于年月日前接受我中心的年度监督审核并交纳监督审核费用。
请在十个工作日内,将本通知的回执回复至本邮箱,我中心将在收到款项后开具发票并安排审核。
另外,请在贵方计划的审核日期两个月之前提交自评估材料(例如:如果计划在9月10日接受审核,自评估材料需在7月10日之前提交至中心,自评估表在“,自评估表及其附件要求的证明材料只接收电子版)。
如贵组织申请的认证类别和级别发生变化,针对有变化的认证类别需重新填写申请书和自评估表。
联系人:彭琳赓;联系电话:/4648
联系地址:北京市朝阳区朝外大街甲10号中国网络安全审查技术与认证中心。
收款账户:户名:中国信息安全认证中心;
开户行:中信银行北京国际大厦支行
账号:7
特此通知。
中国网络安全审查技术与认证中心
年月日
回执。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全运维
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
准备阶段—需求调研与分析
采集客户对信息系统运维服务时间的需求。
运维前的客户需求调查报告,可结合结合业务部门,公司高层的战略规划,内容必须有服务时间要求。
2.
进行信息系统运维预算,定义运维服务。
渗透测试的计划和记录;
建立安全事件处理流程,安全培训服务流程,渗透测试的流程。
32.
仅一级要求:基于渗透测试流程管理进行标准化的信息系统安全运维工作。
运维过程中的渗透测试的计划和记录。
根据报告的分析制定的运维策略,及实施方案;
仅二级要求:分析客户对信息系统安全服务的需求和类型。
客户需求调查报告,包含信息系统安全服务的需求和类型;
6.
仅二级要求:收集与分析信息系统的可用性指标,明确可用性指标的类型。
信息系统的可用性指标清单,如整体指标或单系统指标等;
7.
仅二级要求:分析以往服务的数据,提取出来未来可自动化的服务。
17.
收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。
有对网络及安全设备日志,服务器、操作系统等日志,网络应用日志的记录与分析报告。
18.
仅二级要求:对信息安全事件进行统计与分析。
信息安全事件的统计表,分析报告;
信息系统的可用性事件、计划、报告;
安全运维角色清单。
19.
仅二级要求:编写安全运维服务目录,目录内容包括但不限于:运维监控与分析、终端安全监控、等级保护合规性运维。
以往提供服务的解决方案,对生产的影响的分析报告;
根据以往安全事件的解决效率进行分析,适宜时提出来未来可自动化的服务。
8.
仅一级要求:内部团队之间的安全运营级别协议应和与安全运维第三方之间的的服务级别设计保持一致。
服务级别设计、安全运营级别协议,两者应保持一致。
9.
仅一级要求:安全组织中要设定安全领导小组;在采用外包模式的情况下,执行组还应包含安全运维服务供应商参与运维的人员。
安全运维服务目录,内容包含条款要求。
13.
信息系统相关的IT资产进行识别。
IT资产识别清单,内容有IT资产识别的标识、分级、保护和软件配置建立基础资料档案;
有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。
14.
对安全设备进行日常维护及监控,并记录硬件故障。
安全设备的日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计的记录。
15.
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
有安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件记录。
16.
采集系统配置、流量信息、系统状态等安全信息。
安全设备、业务系统的健康检查服务,应与安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件的记录。
安全运维服务目录,内容应包含有条款的要求。
20.
仅二级要求:建立信息系统安全运维的问题管理程序。
信息系统问题管理程序,已审批并发布。
21.
仅二级要求:建立知识管理程序及初步形成知识库。
知识管理程序,已审批并发布。
22.
仅二级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
有改造过程中的信息系统的测试计划;
有信息系统的基线、回退的措施文件。
26.
仅一级要求:编写安全运维服务目录,目录内容包括但不限于:安全通告及漏洞分析、应急响应服务。
安全运维服务目录,内容有条款要求的服务。
27.
准备阶段—运维服务导入
收集与建立配置管理数据库,确保配置项目的机密Байду номын сангаас、完整性、可用性。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
28.
专业人员负责安全管理的接口。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
29.
建立服务目录。
安全运维服务目录。
30.
建立事件响应和解决的机制,有基本的安全运维报告模式。
安全事件处理与应急响应流程,安全事件处理与上报流程。
31.
仅二级要求:采用流程化管理方法,基于安全事件处理流程、安全培训服务流程、渗透测试流程进行标准化的信息系统安全运维工作。
安全运维项目施工手册和作业指导书;
新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求,应保留与客户的需求分析记录;
系统改造中考虑造前技术测试验证及在实施失败后的回退措施;
测试验证中对旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等,有验证报告。
12.
准备阶段—运维服务设计
制定安全运维服务目录,目录内容包括但不限于:初始服务、安全设备运维、日常巡检服务、健康检查、安全事件审计。
安全组织架构图及相关运维人员清单,其中应有安全领导小组;
外包模式的执行组中应有第三方参与运维的人员。
10.
仅一级要求:采用基于PDCA的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。
信息系统安全运维服务有策划,实施,监视与评审和持续改进流程。
11.
仅一级要求:建立安全运维可视化视图。基于信息系统安全的生命周期,建立信息系统安全运维的整体策略。基于客户、业务的价值体现,形成安全运维的整体视图。
运维前的信息系统运维预算表,内容应包括工作量、人力资源项目经费、项目节点等。
3.
与客户进行沟通,达成共识并形成记录。
运维前与客户沟通的记录,应有沟通结果双方达成共识的体现。
4.
仅二级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。
信息系统运维过程中的历史数据清单;
历史数据清单的分析报告,内容包含指标完成情况、违例操作、重大事件、重大(失败)变更等。
信息系统的可用性事件、计划、报告。
23.
仅二级要求:形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。
24.
仅一级要求:编制安全运维项目作业指导书。
安全运维项目中各模块作业指导书。
25.
仅一级要求:建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
准备阶段—需求调研与分析
采集客户对信息系统运维服务时间的需求。
运维前的客户需求调查报告,可结合结合业务部门,公司高层的战略规划,内容必须有服务时间要求。
2.
进行信息系统运维预算,定义运维服务。
渗透测试的计划和记录;
建立安全事件处理流程,安全培训服务流程,渗透测试的流程。
32.
仅一级要求:基于渗透测试流程管理进行标准化的信息系统安全运维工作。
运维过程中的渗透测试的计划和记录。
根据报告的分析制定的运维策略,及实施方案;
仅二级要求:分析客户对信息系统安全服务的需求和类型。
客户需求调查报告,包含信息系统安全服务的需求和类型;
6.
仅二级要求:收集与分析信息系统的可用性指标,明确可用性指标的类型。
信息系统的可用性指标清单,如整体指标或单系统指标等;
7.
仅二级要求:分析以往服务的数据,提取出来未来可自动化的服务。
17.
收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。
有对网络及安全设备日志,服务器、操作系统等日志,网络应用日志的记录与分析报告。
18.
仅二级要求:对信息安全事件进行统计与分析。
信息安全事件的统计表,分析报告;
信息系统的可用性事件、计划、报告;
安全运维角色清单。
19.
仅二级要求:编写安全运维服务目录,目录内容包括但不限于:运维监控与分析、终端安全监控、等级保护合规性运维。
以往提供服务的解决方案,对生产的影响的分析报告;
根据以往安全事件的解决效率进行分析,适宜时提出来未来可自动化的服务。
8.
仅一级要求:内部团队之间的安全运营级别协议应和与安全运维第三方之间的的服务级别设计保持一致。
服务级别设计、安全运营级别协议,两者应保持一致。
9.
仅一级要求:安全组织中要设定安全领导小组;在采用外包模式的情况下,执行组还应包含安全运维服务供应商参与运维的人员。
安全运维服务目录,内容包含条款要求。
13.
信息系统相关的IT资产进行识别。
IT资产识别清单,内容有IT资产识别的标识、分级、保护和软件配置建立基础资料档案;
有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。
14.
对安全设备进行日常维护及监控,并记录硬件故障。
安全设备的日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计的记录。
15.
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
有安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件记录。
16.
采集系统配置、流量信息、系统状态等安全信息。
安全设备、业务系统的健康检查服务,应与安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件的记录。
安全运维服务目录,内容应包含有条款的要求。
20.
仅二级要求:建立信息系统安全运维的问题管理程序。
信息系统问题管理程序,已审批并发布。
21.
仅二级要求:建立知识管理程序及初步形成知识库。
知识管理程序,已审批并发布。
22.
仅二级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
有改造过程中的信息系统的测试计划;
有信息系统的基线、回退的措施文件。
26.
仅一级要求:编写安全运维服务目录,目录内容包括但不限于:安全通告及漏洞分析、应急响应服务。
安全运维服务目录,内容有条款要求的服务。
27.
准备阶段—运维服务导入
收集与建立配置管理数据库,确保配置项目的机密Байду номын сангаас、完整性、可用性。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
28.
专业人员负责安全管理的接口。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
29.
建立服务目录。
安全运维服务目录。
30.
建立事件响应和解决的机制,有基本的安全运维报告模式。
安全事件处理与应急响应流程,安全事件处理与上报流程。
31.
仅二级要求:采用流程化管理方法,基于安全事件处理流程、安全培训服务流程、渗透测试流程进行标准化的信息系统安全运维工作。
安全运维项目施工手册和作业指导书;
新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求,应保留与客户的需求分析记录;
系统改造中考虑造前技术测试验证及在实施失败后的回退措施;
测试验证中对旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等,有验证报告。
12.
准备阶段—运维服务设计
制定安全运维服务目录,目录内容包括但不限于:初始服务、安全设备运维、日常巡检服务、健康检查、安全事件审计。
安全组织架构图及相关运维人员清单,其中应有安全领导小组;
外包模式的执行组中应有第三方参与运维的人员。
10.
仅一级要求:采用基于PDCA的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。
信息系统安全运维服务有策划,实施,监视与评审和持续改进流程。
11.
仅一级要求:建立安全运维可视化视图。基于信息系统安全的生命周期,建立信息系统安全运维的整体策略。基于客户、业务的价值体现,形成安全运维的整体视图。
运维前的信息系统运维预算表,内容应包括工作量、人力资源项目经费、项目节点等。
3.
与客户进行沟通,达成共识并形成记录。
运维前与客户沟通的记录,应有沟通结果双方达成共识的体现。
4.
仅二级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。
信息系统运维过程中的历史数据清单;
历史数据清单的分析报告,内容包含指标完成情况、违例操作、重大事件、重大(失败)变更等。
信息系统的可用性事件、计划、报告。
23.
仅二级要求:形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。
24.
仅一级要求:编制安全运维项目作业指导书。
安全运维项目中各模块作业指导书。
25.
仅一级要求:建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。