当前位置:文档之家 › 中国信息安全认证中心 现场审核表.doc

中国信息安全认证中心 现场审核表.doc

  • 格式:doc
  • 大小:153.00 KB
  • 文档页数:9

下载文档原格式

  / 9

合集下载

CNAS-CL01-A020:2018(信息安全)-核查表

CNAS-CL01-A020:2018(信息安全)-核查表
实验室应向客户提供充分的保证,确保测试工具或测试集不会将病毒或其他损坏因素引入到属于客户的硬件或软件中。检测完成后,实验室应按合同要求处置被测样品,并保留记录。
7.4.3
在接收检测样品时,实验室应对检测对象进行病毒检查并记录结果。
7.5技术记录
7.5.1
检测记录应能够追溯到检测人员的操作和工作方法及检测环境,应详细记录检测环境配置(硬件和软件)、参数设置等信息,确保该检测在尽可能接近原条件的情况下能够重复。当被测对象包括软件时,实验室应建立配置管理的程序,确保测试记录与被测对象的一致性。
a)由同一检测人员对被测对象进行重复检测;
b)由不同的检测人员使用相同方法对同一被测对象进行检测;
c)使用不同的检测方法(技术)或同一类型的不同仪器或工具对同一被测对象进行检测。
实验室应保存监控活动的记录,包括对比对测试结果的评价。
7.8报告结果
7.8.1.1
实验室以电子方式传输的检测报告应使用加密方式传输,以确保检测报告的完整和保密。
信息安全检测领域的授权签字人和意见解释人员应具有信息安全、计算机、通信或网络等相关专业本科或以上学历,从事信息安全检测工作3年以上,且至少参与过5个信息安全检测项目。
填表说明:
“评审结果”应逐个条款进行评价,Y表示“符合”,Y`表示存在观察项或需说明的问题,N表示“不符合”,N/A表示“不适用”。当用Y´、N、N/A表示时必须同时在“评审说明”中详细描述。
评审组长/评审员:评审日期:
附件1-1(CNAS-CL01-A020:2018)任务编号:
检测/校准实验室现场评审核查表
《检测和校准实验室能力认可准则在信息安全检测领域的应用说明》
4通用要求
条款
核查内容

《国家信息安全人员注册授权培训机构(一级)申请指南》(试用版)

《国家信息安全人员注册授权培训机构(一级)申请指南》(试用版)

国家信息安全人员注册授权培训机构(一级)申请指南(试用版)版本:2。

0中国信息安全产品测评认证中心二00七年九月适用范围本指南适用于向中国信息安全产品测评认证中心(CHINA INFORMATION SECURITY CERTIFICATION CENTER,以下简称:CNITSEC)提出授权培训机构(一级)申请的单位。

CNITSEC授权培训机构(一级)的授权培训范围为:注册信息安全员(CISM)的注册资质培训及双方签订的授权培训协议中所签订的其它相关定制培训(不包括注册信息安全专业人员(CISP)注册资质培训).第 1 条评估依据授权培训资质能力评估,是对授权培训机构基本资质、培训能力和培训服务能力等方面的具体衡量和评价.授权培训资质等级评估是根据CNITSEC《授权培训机构评估准则》,在申请授权培训机构的基本资质、组织与管理、培训场地、设备设施及环境、培训人员、培训经验、培训体系管理以及培训推广能力等方面进行单项评估评分的基础上,采用一定的权值综合考虑后确定,并由CNITSEC授予相应的培训级别。

第 2 条授权要求申请授权培训机构(一级)需要符合以下几项要求:一、申请单位基本资质1、独立的法人机构或法人单位;2、分支机构或全资子公司需有上级单位授权.二、组织与管理1、必须拥有健全的信息安全培训组织结构和管理体系,为持续的信息安全培训提供保证;2、具备完善的知识产权保护措施,并遵守有关法律法规。

三、规模与资产1、具有足够的授权资金和充足的流动资金:●注册资金不少于50万;●流动资金不会少于10万;●授权培训专用资金不少于5万.2、建立与所承担的培训规模相适应的培训体系;3、具有能够满足从事信息安全培训的相关人员。

四、场地、设备及环境要求1、具有固定的办公场地,良好的办公设备和环境:●办公场地不小于20m²(包括财务室);●有培训专用计算机、电话、传真机、复印机、扫描仪和打印机等设备。

国家信息安全测评认证.doc

国家信息安全测评认证.doc

编号:国家信息安全测评认证产品认证申请书申请单位(公章):产品名称(版本/型号):填表日期:中国信息安全产品测评认证中心告用户用户在正式填写本申请书前,须认真阅读并理解以下内容:1.中国信息安全产品测评认证中心对下列对象进行测评认证:●信息安全产品●信息系统●信息安全服务2.信息安全产品认证分为:●型号认证●产品认证3.型号认证的方式为:用户选样测试后本中心再抽样测试,都通过测试并符合有关标准后,即获得型号认证。

4.产品认证的方式为:用户选样测试后,本中心再抽样测试,都通过测试并符合有关标准后,本中心再根据ISO/IEC9000系列有关标准和国家信息安全工程与服务评估规范等对用户的质量保障体系和安全保障能力进行评估、审核,通过评审后方能获得产品认证。

5.通过型号认证和产品认证的项目,获得认证书并准予使用国家信息安全认证标志,并列入《政府和企业信息安全产品采购指南》。

6.上述内容和有关用户获得认证的实际情况,本中心将以各种有效方式周期性向国内外公告。

目录 (3)填表要求 (4)申请单位基本情况 (5)申请认证类别和产品状况 (6)产品功能说明书 (8)产品设计方案 (10)使用手册 (12)产品自测情况说明 (14)脆弱性分析 (20)执行标准情况 (22)主要原材料,外协外购件明细表 (23)申请认证产品的生产厂商检验室主要检测设备表 (24)质量手册的简要说明 (25)质量体系和安全保障能力文档 (26)申请认证产品的生产厂商检验室人员情况表 (27)主要技术人员情况表 (28)送(抽)样产品明细表 (29)委托书 (30)申请单位声明 (31)1、一律用计算机填写,内容要具体、真实。

2、如填写内容较多,可另加附页。

3、申报资料份数为纸版两份,电子版一份。

申请单位基本情况申请单位全称(中文):申请单位全称(英文):地址:邮政编码法定代表人姓名:职务:联系人姓名:职务:电子邮箱:联系方式:电话()传真()BP ()手机()工商登记注册号(附企业法人营业执照副本或上级主管部门批准成立文件复印件):法人机构代码(附法人机构代码证副本复印件):密码主管部门的批文文号或商密科研、生产定点单位的密码产品授权证明(附复印件):其他重要的法律文件:精品文档精品文档申请认证类别和产品状况认证类别:申请认证产品名称商标规格产量销量单价应用领域备注政府部门()金融部门()企事业()其它()填表人:填表日期:编号:附件1产品功能说明书产品类别:产品名称:申请单位(公章):填写人:中国信息安全产品测评认证中心要求本说明书应包括以下内容:1.产品的安全策略2.产品的安全目标和外部接口说明3.产品的基本组成及功能描述4.与产品安全功能相关的术语及定义说明编号:附件2产品设计方案产品类别:产品名称:申请单位(公章):方案设计人(单位):中国信息安全产品测评认证中心要求本附件应包括:1.产品总体设计或结构化设计方案2.产品详细设计思路3.产品安全体系结构编号:附件3使用手册产品类别:产品名称:申请单位(公章):手册编写人:中国信息安全产品测评认证中心要求本手册应包括以下内容:1.管理指南✧管理员指南✧用户指南2.配置管理文件✧配置表✧对产品配置项和使用的外部服务进行描述✧对配置项的唯一鉴别方法进行描述3.操作文档✧产品安装步骤✧系统生成步骤✧启动过程步骤4.系统维护文档5.要求内容详尽,语言规范,通俗易懂编号:附件4产品自测情况说明产品名称:申请单位(公章)填表人:填表日期:中国信息安全产品测评认证中心要求本附件可以是:1.委托其它测评认证机构进行测评认证的测试过程和测试报告及其结论;2.成果鉴定会上采用的技术测试小组提供的测试大纲、测试报告和测试结论;3.产品出厂前(或投放市场前)由生产单位质检部门进行测试的方法和测试报告;4.也可以是产品开发人员进行功能调试所采用的方法和检测手段。

信息安全服务资质认证监督调查表单(doc 8页)

信息安全服务资质认证监督调查表单(doc 8页)

信息安全服务资质认证监督调查表单(doc 8页)信息安全服务资质认证监督调查表(安全工程类二级)填表日期:4.组织机构情况(须提供现有的组织结构图,应明确涉及安全服务的管理、研发、安全工程实施、质量保证、客户服务、人力资源管理、培训和合同管理等部门的变化情况)5.资产运营状况(须提供本年度审计机构提供的资产状况良好的证明材料,若财务亏损或发生其它异常状况,须说明情况,并提供审计机构的营业执照)6.信息安全工程基本能力情况(安全服务人员;自主开发产品;工作环境设施;常用安全服务工具情况。

)7.质量体系运行情况(应说明当前质量体系运行情况,提供相应的质量手册、程序文件、与安全工程有关的三级文件清单)8.安全工程技术能力提高情况(在实施一年的过程中,技术能力是否提高并运用到实际工程中)9. 认证后一年的安全工程服务业绩情况10. 在这一年中是否有质量投诉情况三、对我中心信息安全服务资质认证及证后监督工作的意见和建议给出意见与建议组织盖章:四、申请组织近一年安全工程服务项目汇总表对象系统应用架构图及描述:通过项目实施发现和解决的主要安全问题和风险组织盖章:五、提供的附件1.组织法人营业执照复印件一份;2.中华人民共和国组织机构代码证复印件一份;3.组织负责人变化后,新负责人的简历、任职及相应证明文件的复印件;4.在本组织正式任职的CISP人员证书各一份及其有效联系方式(座机和手机);5.最近的财务审计报告一份,并附上审计单位的营业执照;6.本年度实施的信息安全工程项目,选取一项提交项目合同、工程实施方案和验收报告的复印件一份;7.填写“质量手册、程序文件的文件清单列表”(见表一);8.填写“安全工程相关的三级文件清单列表”(见表二);9.组织其它需要说明的问题。

表一:质量手册、程序文件的文件清单列表组织盖章:表二:安全工程相关的三级文件清单列表序号文件名称文件编号批准人发布日期备注组织盖章:。

信息安全管理体系审核检查表

信息安全管理体系审核检查表

信息安全管理体系审核检查表标准要求的强制性ISMS文件审核重点检查受审核组织如何评估信息安全风险和如何设计其ISMS,包括如何:定义风险评估方法(参见4.2.1 c)识不安全风险(参见4.2.1 d))分析和评判安全风险(参见4.2.1 e)识不和评判风险处理选择措施(参见的4.2.1 f)选择风险处理所需的操纵目标和操纵措施(参见4.2.1 g))确保治理者正式批准所有残余风险(参见4.2.1 h)确保在ISMS实施和运行之前,获得治理者授权(参见的4.2.1 i))预备适用性声明(参见4.2.1 j)检查受审核组织如何执行ISMS监控、测量、报告和评审(包括抽样检查关键的过程是否到位),至少包括:ISMS监视与评审(按照4.2.3监视与评审ISMS”条款)操纵措施有效性的测量(按照4.3.1 g)内部ISMS审核(按照第6章“内部ISMS审核”)治理评审(按照第7章“ISMS的治理评审”)ISMS改进(按照第8章“ISMS改进”)。

检查治理者如何执行治理评审(包括抽样检查关键的过程是否到位),按照条款包括:4.2.3监视与评审ISMS第7章“ISMS的治理评审”。

检查治理者如何履行信息安全的职责(包括抽样检查关键的过程是否到位),按照条款包括:4.2.3监视与评审ISMS5 治理职责7 ISMS的治理评审检查安全方针、风险评估结果、操纵目标与操纵措施、各种活动和职责,相互之间有如何连带关系(也参见本文第8章“过程要求的符合性审核”)。

上次审核发觉的纠正/预防措施分析与执行情形;内审与治理评审的实施情形;治理体系的变更情形;信息资产的变更与相应的风险评估和处理情形;信息安全事故的处理和记录等。

检验组织的ISMS是否连续地全面地符合ISO/IEC 27001:2005的要求。

评审在那个认证周期中ISMS的实施与连续爱护的情形,包括:检查ISMS是否按照ISO/IEC 27001:2005的要求加以实施、爱护和改进;评审ISMS文件和定期审核(包括内部审核和监督审核)的结果;检查ISMS如何应对组织的业务与运行的变化;检验治理者对爱护ISMS有效性的承诺情形。

ISCCCQOT0440 软件安全开发服务资质认证审核记录表

ISCCCQOT0440 软件安全开发服务资质认证审核记录表
审核记录


不 符 合
需 观 察
42.
测试阶段- 集成测试
E2.5.2 a)仅二级/一级要求:明确集成测 试策略,制定集成测试计划。
抽查项目,查验集成测试的测试策略、 测试计划。
43.
E2.5.2 b)仅二级/一级要求:依据概要设 计方案和测试计划进行集成测试设计, 并执行集成测试,形成测试记录。
抽查项目,查验集成测试设计、测试 记录。
查验需求阶段控制程序文件;抽查项 目,查验需求阶段项目文档,内容应 覆盖审核条款的要求。
需求阶段项目文档包括可行性报告、 招标文件、需求分析报告等。
17.
E1.2 b)结合软件项目需求、安全需求, 与客户充分沟通,达成共识并形成记录。
抽查项目,查验与客户沟通的记录。
18.
19.
E2.2 a)仅二级/一级要求:准确识别和 综合分析软件项目在可用性、完整性、 真实性、机密性、不可否认性、可控性 和可靠性等方面的安全需求。
52.
E2.6.1仅二级/一级要求:试运行结束 后,制定系统试运行报告,并提交客户。
抽查项目,查验系统试运行报告,内 容应覆盖审核条款的要求。
53.
E3.6.1 a)仅一级要求:提供三个月以上 的试运行记录和报告。
抽查项目,查验系统试运行记录和报 告。
54.
E3.6.1 b)仅一级要求:综合软件系统试 运行状态,建立软件系统运行策略和安 全指南。
44.
E3.5.2仅一级要求:对集成测试结果进 行分析,形成分析报告。
抽查项目,查验集成测试分析报告。
45.
46.
47.
测试阶段・ 系统测试
E2.5.3a)仅二级/一级要求:制定包括系 统安全性测试在内的测试计划,并执行 系统测试,形成测试记录。

信息安全服务资质自表-风险类-中国信息安全认证中心

信息安全服务资质自表-风险类-中国信息安全认证中心

CCRC-QOT-0428-B/4信息安全风险评估服务资质认证自评估表信息安全风险评估服务资质认证自评估表组织名称评估时间序要点号条款申报级别评估部门 /人员自评估结论需提供证明材料不证明材料清单符符合合按照相关标准建立的信息安全风险1.2.3.4. 服务技术要求基本资格建立信息安全风险评估服务流程。

制定信息安全风险评估服务规范并按照规范实施。

仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在 1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。

仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在 10,000 以上;具备从管理和技术层面对脆弱性进行识别的能力。

评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。

已制定的信息安全风险评估服务规范。

一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。

一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。

序要点号5.6.7.8.9.10.准备阶段- 11.服务方案制定12.13.条款仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在 100,000 以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。

仅三级要求:具备跟踪信息安全漏洞的能力仅二级要求:具备跟踪、验证信息安全漏洞的能力。

仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。

编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。

应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。

仅二级 / 一级要求:应进行充分的系统调研,形成调研报告。

仅二级 / 一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。

仅二级 /一级要求:应形成较为完整的需提供证明材料5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。

信息安全服务资质现场监督审核流程 - 中国信息安全认证中心

信息安全服务资质现场监督审核流程 - 中国信息安全认证中心

信息安全服务资质现场监督审核流程流程说明:1、准备阶段项目管理人员在持证组织证书到期前3个月,将《监督审核通知单》发送给持证组织,通知本年度现场监督审核工作启动;持证组织登录中国信息安全认证中心网站,下载《信息安全服务资质认证自评估表-公共管理》、对应的技术自评估表,实施自评估后(具体自评估表的填写方法可参考中心网站上的《信息安全服务资质认证自评估表填写指南》),将上述文档、自评估证明材料、《监督审核通知单》回执提交中心。

2、非现场审核及商务阶段(此阶段工作应在三周内完成,如需要持证组织补充材料,应在五周内完成)项目管理人员指派审查员对持证组织提交的材料进行非现场审核;审查员依据《信息安全服务规范》及相关技术标准,对持证组织所提供的材料是否满足要求进行判定,并填写《审核记录表》。

如满足要求,审查员通知项目管理人员向持证组织出具《受理通知单》(如持证组织有需求,也可签订《服务资质认证合同》),收取认证费用。

如不满足要求,审查员开具《材料问题清单》,通知持证组织补充材料重新提交,并对补充材料进行审核。

3、现场审核阶段(此阶段工作应在四周内完成,如开具不符合项,应在八周内完成)项目管理人员指派审核组长(一般情况下指派对该组织材料进行非现场审核的审查员为组长),协调审查员组建审核组;审核组长编制《审核计划》,准备现场审核的相关表格等材料,通过项目管理人员将《审核计划》发送给持证组织;审核组前往对持证组织开展现场审核工作,判断该组织目前对外提供的信息安全服务管理及技术能力是否符合《信息安全服务规范》的要求,并依据现场审核中的实际情况对非现场审核时已填写的《审核记录表》进行补充、完善和验证。

如满足要求,审核组长编制《审核报告》,并汇总《审核记录表》、《首末次会议记录》、《公正性、保密性承诺》等审核材料提交中心进行认证决定(如开具不符合项,审核组长则通知持证组织在一个月内提交整改材料);如不满足要求(例如在现场审核时发现持证组织存在材料造假等严重不符合时),审核组长现场通知持证组织不推荐其继续持有证书,同时编制《审核报告》,在报告中注明不满足资质要求的具体情况,并提交中心进行认证决定。

ISCCC-QOT-0408 信息安全服务资质认证现场审核计划表

ISCCC-QOT-0408 信息安全服务资质认证现场审核计划表
信息安全服务资质认证
现场审核计划表
项目编号
受审核方名称
受审核类别
级别
审核类型
安全集成
一级二级三级
□初次□年监审 □升级□其他
风险评估
一级二级三级
□初次□年监审 □升级□其他
应急处理
一级二级三级
□初次□年监审 □升级□其他
灾难备份与恢复
一级二级三级
□初次□年监审 □升级□其他
软件安全开发
一级二级三级
□初次□年监审 □升级□其他
1.确认本审核计划;
2.确定负责配合现场审核工作的人员;
3.提供现场审核活动需要的资源,并承担现场审核活动发生的交通费和食宿费用;
4.本审核计划提供的详细程度应反映审核范围及复杂程度,任何修改应征得各方同意后方可实施。
审核组长:
受审核方:
签字:
日期:
签字:
日期:
□ISCCC-ISV-C01:2017《信息安全服务 规范》对服务级资质要求和过程能力要求的全部要素。
□ISCCC-ISV-Cห้องสมุดไป่ตู้1:2017《信息安全服务 规范》对服务级资质要求和过程能力要求的全部要素。
审核依据
□ISCCC-ISV-C01:2017《信息安全服务 规范》;
□适用法律法规;
□其他信息安全服务相关管理制度、技术规范等。
安全运维
一级二级三级
□初次□年监审 □升级□其他
基本信息
受审核方地址
邮编
受审核方
联系人
电话
手机
邮箱
传真
项目管理人员
电话
手机
邮箱
传真
审核组成员
代号
组内职务
姓 名

信息安全审核表

信息安全审核表
上网服务场所名称
上网服务场所地址
法人代表姓名
固定电话/手机
互联网接入方式
□ADSL□ISDN□DDN□微波□HFC□光纤
互联网接入IP地址
ISP接入单位
□电信□网通
□其它:
实际营业面积
()㎡
实际终端数量
()台
是否开设网站
□是□否
域名/IP
网络安全员
姓名
身份证号码
联系电话专□兼
□是□否
□专□兼
□是□否
□专□兼
人员/设备
变动情况
是否制定信息网络安全管理制度和安全技术措施
内部网络设置情况
上网实名登记制度
□是□否
网络名称
违法案件报告和协助查处制度
□是□否
拓扑结构
□星形□树型
□环型其它:
互联网上网服务营业场所巡查制度
□是□否
机房/服务器/
路由器/交换机
()个()台
()台()台
上网人员登记、日志保存、记录备份安全措施
意见:
盖 章
年 月 日
公安机关复审
意见:
盖 章
年 月 日
□是□否
服务器IP地址
网络安全员岗位
工作职责
□是□否
子网掩码
网络安全员安全教育和培训制度
□是□否
网关
病毒检测和网络安全漏洞检测制度
□是□否
是否使用代理服务器
□是□否
是否符合消防安全条件
□是□否
代理服务器地址、端口
互联网上网服务营业场所信息安全审核表
互联网营业场所
信息网络安全情况
(此栏由业主填写)
公安机关初审

ISCCC 信息系统安全集成服务资质认证现场审核表

ISCCC 信息系统安全集成服务资质认证现场审核表

信息系统安全集成服务资质认证现场审核表
审查员签名:日期:
审查员签名:日期:
审查员签名:日期:
审查员签名:日期:
审查员签名:日期:
审查员签名:日期:
审查员签名:日期:
验证审核结论:
该组织提供的申请材料,
■满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》安全集成类(一级)要求,验证审核通过。

□存在不符合项(详见不符合项报告),需进行整改,验证符合后通过。

□不满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》类(级)要求,验证审核不通过。

审核组长签名:
审核日期:。

CRCC产品认证内部审核检查表(样本)

CRCC产品认证内部审核检查表(样本)
审核组长: 审核员: 受审核部门: 部门接待人员: 审核日期:
序号
核查项目
核查内容
核查要点
核查情况
结论
1
技术资料
1.完整的产品图纸和技术资料。
1.能提供自行开发产品的全套设计输入、输出性文件。
2.能提供出产品设计验证、评审,设计确认等技术资料.
3.能提供出有效地特殊过程确认报告记录.
4.制定在生产过程、包装、搬运和储存中的产品防护工艺。
2.提供组织机构代码.
3.提供质量管理体系认证证书.
4.提供认证产品的相关企业标准。
5.特殊岗位人员培训记录及上岗资格证。
6.提供认证产品的标志使用情况记录。
注:符合—不标注 不符合—X 观察项—O
4.零部件及生产设备摆放整齐、标识清晰、正确。
5.熟悉特殊工序控制文件,操作人员应具备相应能力。
注:符合—不标注 不符合-X 观察项—O
CRCC认证内部审核检查表
审核组长: 审核员: 受审核部门: 部门接待人员: 审核日期:
序号
核查项目
核查内容
核查要点
核查情况
结论
1
质量记录
1.产品过程控制的各种质量记录。
CRCC认证内部审核检查表
审核组长: 审核员: 受审核部门: 部门接待人员: 审核日期:
序号
核查项目
核查内容
核查要点
核查情况
结论
1
质量记录
1.产品过程控制的各种质量记录。
1.提供认证产品零部件的焊接、喷漆工序的特殊过程控制及相关工艺参数的记录。
2.提供认证产品零部件的冷加工工序的过程控制记录。
3.焊接、喷漆用原材料的进货检验记录.
序号

信息安全内部审核检查表

信息安全内部审核检查表
A.8.2.3
惩戒过程
控制
根据Info-Riskmanager风 险评估的结果。
违背组织安全方针和程序的员工公司是否 将根据违反程度及造成的影响进行处罚, 处 罚在安全破坏经过证实地情况下进行?
学习参考
A.8.3
聘用中止或变化
目标
确保员工、合作方以及第三方用户以一种有序的方式离开公司或变 更聘用关系。
公司是否规定了员工、 合同方以及第三方的 聘用条款和条件?
学习参考
A.8.2
聘用期间
目标
确保所有的员工、合同方和第三方用户知道信息安全威胁和利害关 系、他们的职责和义务、并准备好在其正常工作过程中支持组织的 安全方针,并且减少人为错误的风险。
审核发现
A.8.2.1
管理职责
控制
根据Info-Riskmanager风 险评估的结果。
A.8.3.1
终止责任
控制
根据Info-Riskmanager风 险评估的结果。
在员工离职前和第三方用户完成合同时, 是
否进行明确终止责任的沟通?
A.8.3.2
资产归还
控制
根据Info-Riskmanager风 险评估的结果。
员工离职或工作变动前, 是否办理资产归还 手续,然后方能办理移交手续?
A.8.3.3
分类指南
控制
根据Info-Riskmanager风 险评估的结果。
本公司是否有信息密级规定划分秘级?
A.7.2.2
信息的标识和处理
控制
根据Info-Riskmanager风 险评估的结果。
对于属于企业秘密、 企业机密与国家秘密的 文件,密级确定部门是否按要求进行适当的 标注?
学习参考

中国信息安全认证中心-现场审核表

中国信息安全认证中心-现场审核表

信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。

2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。

申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。

3、表中要求的所有程序文件均已发布实施。

自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。

经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。

信息安全服务资质自评价表-中国信息安全认证中心

信息安全服务资质自评价表-中国信息安全认证中心

信息系统安全集成服务资质认证自评估表
提出的观察项整改情况(如有)提出的不符合项整改情况(如有)
CCRC-QOT-0429-B/4 信息系统安全集成服务资质认证自评估表自评估结论:
经自主评估,本单位的信息系统安全集成服务满足《信息安全服务规范》级要求,申请第三方审核。

本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。

中国网络安全审查技术与认证中心制第 5 页共5 页。

信息安全认证审核清单

信息安全认证审核清单
检查、验证操作系统的安全登录控制。
A.11.5.2用户标识和鉴别
检查、验证操作系统中的用户管理。
A.11.5.3口令管理系统
检查、验证操作系统的口令管理系统
A.11.5.4系统实用工具的使用
询问、验证对系统食用工具的使用情况
A.11.5.5会话超时
检查、验证会话超时的设置。
A.11.5.6联机时间的限制
A.11.2.3用户口令管理
检查、验证用户口令的管理控制措施。
A.11.2.4用户访问权的复查
查阅用户访问权的复查、评审记录。
A.11.3用户职责
A.11.3.1口令使用
检查验证用户口令使用情况。
A.11.3.2无人值守的用户设备
询问、验证无人值守的用户设备的安全措施情况。
A.11.3.3清空桌面和屏幕策略
检查、 验证对网络设备上的远程诊断和配置端口的保护措施。
A.11.4.5网络隔离
检查、验证网络间服务、用户等的隔离措施,如划分子网等。
A.11.4.6网络连接控制
检查、验证网络连接控制措施。
A.11.4.7网络路由控制
检查、验证网络路由控制措施。
A.11.5操作系统访问控制
A.11.5.1安全登录程序
A.5.1.2信息安全方针的评审
查阅 ISMS方针文件的评审和修订记录。
A.6 信息安全组织
A.6.1内部组织
A.6.1.1信息安全的管理承诺
结合5.1管理承诺,访问管理者(或管理者代表),判断其对信息安全的承诺和支持是否到位。
A.6.1.2信息安全协调
访问组织的信息安全管理机构,包括其职责。
A.6.1.3信息安全职责的分配
查阅信息安全事件管理程序等相关文件。

现场审核信息确认表

现场审核信息确认表

现场审核信息确认表
注1:以上内容为审核组与客户现场确认结果,最终证书内容以WSF认证决定通过的内容为准。

注2:如组织自行翻译,英文内容必须与中文一致; WSF国际翻译保留对组织填写的英文的修改权力。

注3:未填写英文内容的,世标认证/WSF视为组织授权WSF根据认证评定结果翻译。

注4:所标注地址为体系覆盖并实施审核的场所,体系没有覆盖且未实施审核的认证证书不予标注,如企业营业执照的注册地址无任何活动也没有实施审核,在认证证书中不能标注,三地一致时证书只体现一个。

存在多场所时见附件1、附件2的描述。

附件1:非HACCP/FSMS客户多场所(多名称)审核信息确认
合同编号:第页共页
注:审核组对存在多场所/多名称情况组织依据审核计划确定抽样实施,在现场审核过程中可以根据实际情况调整抽样审核方案,并将调整后实际多场所/多名称情况在《多场所组织历次审核抽样记录》中表述。

附件2:
FSMS/HACCP体系认证产品及场所情况确认表
(加盖企业公章)。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应识别组织已采取的安全措施;
已完成项目中的已识别的安全措施列表。
35.
应评价已采取的安全措施的有效性。
已完成项目中分析安全措施有效性的证明材料。
36.
风险分析阶段-风险分析模型建立
应构建风险分析模型。
已完成项目的风险评估报告中对风险分析模型的描述,并验证其可行性、科学性。
37.
应根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。
6.
仅三级要求:具备跟踪信息安全漏洞的能力
跟踪信息安全漏洞的证明材料
7.
仅二级要求:具备跟踪、验证信息安全漏洞的能力。
跟踪、验证信息安全漏洞的证明材料
8.
仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。
跟踪、验证、挖掘信息安全漏洞的证明材料。
9.
准备阶段-服务方案制定
编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。
一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。
5.
仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。
5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。
信息安全风险评估方案、风险评估模板。
10.
应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。
已完成项目的风险评估方案,方案中应包含风险评价原则。
11.
仅二级/一级要求:应进行充分的系统调研,形成调研报告。
已完成项目的系统调研报告,报告中对被评估对象有清晰的描述。
12.
仅二级/一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。
47.
风险处置阶段-风险处置原则确定
仅二级/一级要求:应协助被评估组织确定风险处置原则,以及风险处置原则适用的范围和例外情况。
已完成项目的风险评估报告或建议报告中对风险处置原则及适用的范围和例外情况说明的证明材料。
48.
风险处置阶段-安全整改建议
仅二级/一级要求:对组织不可接受的风险提出风险处置措施。
27.
应对脆弱性进行赋值。
已完成项目的脆弱性赋值列表。
28.
风险识别阶段-威胁识别
应参考国家或国际标准,对威胁进行分类;
威胁分类清单。
29.
应识别所评估信息资产存在的潜在威胁;
已完成项目中的威胁识别清单。
30.
应识别威胁利用脆弱性的可能性;
已完成项目中分析威胁利用脆弱性可能性的证明材料。
31.
应分析威胁利用脆弱性对组织可能造成的影响。
已完成的所申请资质级别要求的风险评估报告,报告中至少包括评估过程、评估方法、评估结果、处置建议等内容。
45.
报告应包括但不限于评估过程、评估方法、评估结果、处置建议等内容。
46.
仅二级/一级要求:风险评估报告中应对计算分析出的风险给予比较详细的说明。
已完成项目的风险评估报告中对风险给予详细说明的证明材料。
已完成项目的专家评审意见、整改措施及
仅一级要求:对组织提出完整的风险处置方案。
已完成项目的残余风险处置方案,方案至少包含处置措施、工具、时间计划等内容。
52.
仅一级要求:必要时,对残余风险进行再评估。
已完成项目中对残余风险进行再评估的证明材料。
53.
上一年度提出的观察项整改情况(如有)
已完成项目的风险评估报告中,对威胁、脆弱性及安全措施分析的描述。
38.
仅二级/一级要求:构建风险分析模型应将资产、威胁、脆弱性三个基本要素及每个要素各自的属性进行关联。
已完成项目的风险评估报告中对资产、威胁、脆弱性三个基本要素进行关联的证明材料。
39.
风险分析阶段-风险计算方法确定
仅三级要求:应根据分析模型确定的方法计算出风险值。
参照已发布的标准,形成的资产分类列表。
20.
识别重要信息资产,形成资产清单。
已完成项目的重要资产清单。
21.
对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。
已完成项目的重要资产的三性等级要求列表。
22.
对资产根据其在保密性、完整性和可用性上的等级分析结果,经过综合评定进行赋值。
已完成项目中分析脆弱性发生对组织造成影响的证明材料。
32.
仅二级/一级要求:应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。
已完成项目中对组织和信息系统造成的潜在威胁进行分析的证明材料。
33.
仅一级要求:采用多种方法进行威胁调查。
已完成项目中采取多种威胁调查方法的证明材料。
34.
风险识别-已有安全措施确认
42.
风险分析阶段-风险评价
应根据风险评价准则确定风险等级。
已完成项目的风险评估报告中的评价准则,并根据评价准则确定风险等级的证明材料。
43.
仅二级/一级要求:应对不同等级的安全风险进行统计、评价,形成最终的总体安全评价。
已完成项目的风险评估报告中的安全评价内容。
44.
风险分析-风险评估报告
应向客户提供风险评估报告。
25.
仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。
26.
风险识别阶段-脆弱性识别
应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技术脆弱性列表。
已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。
已完成项目的风险评估实施方案中应根据目标及调研结果,明确评估依据和评估方法,评估依据和评估方法符合国家标准、行业标准及相关要求。
13.
仅二级/一级要求:应形成较为完整的风险评估实施方案。
14.
准备阶段-人员和工具管理
应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。
已完成项目的风险评估方案中对风险评估实施团队成员及团队构架的介绍。
已完成项目的重要资产赋值表。
23.
仅一级要求:识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。
已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。
24.
仅一级要求:根据业务特点和业务流程识别出关键数据和关键服务。
已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。
54.
55.
56.
上一年度提出的不符合项整改情况(如有)
57.
58.
自评估结论:
经自主评估,本单位的信息安全风险评估服务满足《信息安全服务规范》级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
15.
应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。
16.
应对评估团队实施风险评估前进行安全教育和技术培训。
项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。
17.
已完成项目的风险评估报告中对计算方法的描述,计算得出风险值的过程。
40.
仅二级/一级要求:在风险计算时,应根据实际情况选择定性计算方法或定量计算方法。
已完成项目的风险评估报告中对评估方法、评价方法、计算方法的描述,计算得出风险值的过程。
41.
仅二级/一级要求:风险评估报告中应对本次评估建立的风险分析模型进行说明,并应阐明本次评估采用的风险计算方法及风险评价方法。
仅二级/一级要求:需采取相关措施,保障工具自身的安全性、适用性。
工具的安全测试证明材料;定期或工具软件有重大版本变更时,对工具软件进行适用性确认的测试记录。
18.
仅一级要求:需采取相关措施,保障工具管理的规范性。
已制定的工具管理制度及执行记录。
19.
风险识别阶段-资产识别
参考国家或国际标准,对资产进行分类。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
49.
风险处置阶段-组织评审会
仅一级要求:协助被评估组织召开评审会。
服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。
50.
仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。
信息安全
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
服务技术要求
建立信息安全风险评估服务流程。
按照相关标准建立的信息安全风险评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定信息安全风险评估服务规范并按照规范实施。
已制定的信息安全风险评估服务规范。
3.
基本资格
仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。
一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。
4.
仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。