当前位置:文档之家 › 信息系统安全集成服务资质认证自评估表.doc

信息系统安全集成服务资质认证自评估表.doc

  • 格式:doc
  • 大小:62.31 KB
  • 文档页数:6

下载文档原格式

  / 6

合集下载

信息系统安全运维服务资质认证自评估表

信息系统安全运维服务资质认证自评估表

信息系统安全运维服务资质认证自评估表
年度提出的观察项跟踪验证情况(如有)
年度提出的不符合项跟踪验证情况(如有)
(表格)CJJ 28-2014 城镇供热管网工程施工及验收
自评估结论:
经自主评估,本单位的信息系统安全运维服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方审核。

本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。

信你自己罢!只有你自己是真实的,也只有你能够创造你自己
b11。

信息安全服务资质认证自评估表-公共管理【模板】

信息安全服务资质认证自评估表-公共管理【模板】

信息安全服务资质认证自评估表-公共管理填表说明:
1、该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。

申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。

2、表中要求的所有程序文件均已发布实施。

自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。

经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》级要求,申请第三方审核。

信息系统安全运维服务资质认证自评估表

信息系统安全运维服务资质认证自评估表

信息系统安全运维服务资质认证自评估表
信息系统安全运维服务资质认证自评估表
中国信息安全认证中心第 2 页共 31 页
中国信息安全认证中心第 3 页共 31 页
中国信息安全认证中心第 4 页共 31 页
中国信息安全认证中心第 5 页共 31 页
中国信息安全认证中心第 6 页共 31 页
中国信息安全认证中心第 7 页共 31 页
中国信息安全认证中心第 8 页共 31 页
中国信息安全认证中心第 9 页共 31 页
中国信息安全认证中心第 10 页共 31 页
ISCCC-QOT-0434-B/2 信息系统安全运维服务资质认证自评估表自评估结论:
经自主评估,本单位的信息系统安全运维服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方审核。

本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。

中国信息安全认证中心第 31 页共 31 页。

信息系统安全集成服务资质认证自评估表

信息系统安全集成服务资质认证自评估表
信息系统安全集成服务规范。
3・
4.
5.
6.
集成准备・ 需求调研 与分析
调研客户背景信息,采集系统建设需求 和建设目标,明确系统功能、性能及安 全性要求。
准备阶段控制程序文件,包括明确工 作内容、流程、方法、文档模板,内 容至少包括需求调研、分析、评审, 产品选型,财务预算。提供投标文件、 项目文档等证明。
仅一级要求:对于新建系统,建设实施 过程应重点关注信息系统的功能、性能 和安全性等方而要求。对于系统改造, 还应考虑改造前技术测试验证及在实 施失败后的回退措施。技术测试验证需 要考虑新旧系统的兼容问题,包括网络 兼容、系统兼容、应用兼容等。
序 号
17.
要点
条款
需提供证明材料
自评估 结论
证明材料清单
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门从员
序 号
要点
条款
需提供证明材料
自评估
结论
证明材料清单
符 合
不 符 合
1・
2.
技术服务 要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程,流程图 中应包括每个阶段对应的职责、输入 输岀等。
制左信息系统安全集成服务规范并按 照规范实施。
审核条款要求。
仅二级/一级要求:基于客户需求和投 入能力,开展需求分析,编制需求分析 报告。
仅一级要求:协助客户有效识别系统建 设过程中的政策、法律和约束条件,有 效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险 评估报告。
9.
10.
11.
12.
方案设计
根据系统建设安全需求,编制安全集成 技术方案。

信息系统安全运维服务资质认证自评估表

信息系统安全运维服务资质认证自评估表
通告与漏洞分析记录;
应急响应服预案,应急演练的记录;
变更管理程序,已审批并发布;
运维过程中的变更记录单。
54.
仅一级要求:建立运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
针对运维有审批并发布的变更管理程序;运维过程中的变更应有响应的变更记录。
仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
安全运维服务目录,内容包含条款要求。
13.
信息系统相关的IT资产进行识别。
IT资产识别清单,内容有IT资产识别的标识、分级、保护和软件配置建立基础资料档案;
有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。
14.
对安全设备进行日常维护及监控,并记录硬件故障。
安全设备的日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计的记录。
信息系统的可用性事件、计划、报告。
23.
仅二级要求:形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。
24.
仅一级要求:编制安全运维项目作业指导书。
安全运维项目中各模块作业指导书。
25.
仅一级要求:建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。
运维数据收集记录,内容应包含条款中的要求。
57.
对运维实现情况进行监视测量,未能实现的目标应采取纠正预防措施。
安全运维实现情况监视测量清单,如客户满意度、投诉建议、KPI等;
纠正预防措施记录单。

信息系统安全运维服务资质认证自评估表

信息系统安全运维服务资质认证自评估表
测试验证中对旧系统的兼容问题,包括网
络兼容、系统兼容、应用兼容等,有验证 报告。
11.
准备阶段一 运维服务设 计
制定安全运维服务目录,目录内容包括 但不限于:初始服务、安全设备运维、 日常巡检服务、健康检查、安全事件审 计。
安全运维服务目录,内容包含条款要求。
12.
信息系统相关的IT资产进行识别。
IT资产识别清单,内容有IT资产识别的
完整的配置数据库,能初步收集资产与配 置项,并确保配置项目的机密性、 完整性、 可用性。
27.
专业人员负责安全管理的接口。
完整的配置数据库,能初步收集资产与配 置项,并确保配置项目的机密性、 完整性、 可用性。
28.
建立服务目录。
安全运维服务目录。
29.
建立事件响应和解决的机制,有基本的
安全运维报告模式。
2.
进行信息系统运维预算,定义运维服务。
运维前的信息系统运维预算表,内容应包
括工作量、人力资源项目经费、项目节点 等。
3.
与客户进行沟通,达成共识并形成记 录。
运维前与客户沟通的记录,应有沟通结果
双方达成共识的体现。
4.
仅一级要求:识别与分析信息系统运维 过程中的历史数据,提出系统运维的保 障策略和解决方案。
安全运维服务目录, 内容应包含有条款的 要求。
19.
仅二级要求:建立信息系统安全运维的 问题管理程序。
信息系统问题管理程序,已审批并发布。
20.
仅二级要求:建立知识管理程序及初步 形成知识库。
知识管理程序,已审批并发布。
21.
仅二级要求:编制信息系统的可用性计 戈监控可用性事件,报告可用性执行, 指导可用性的改进。

CCRC-QOT-0429-B 4 安全集成

CCRC-QOT-0429-B 4 安全集成
仅一级要求:建立项目变更管理程序,对项目实施过程中方案、资源变更进行有效控制,完整记录变更过程。
项目建设实施阶段控制程序,覆盖审核条款要求。提供变更管理程序、变更记录。
25.
仅一级要求:制定项目应急处置方案和恢复策略,对项目过程中的应急事件及时进行响应。
项目建设实施阶段控制程序,覆盖审核条款要求。提供应急处置方案、恢复策略、处置记录。
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
技术服务要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定信息系统安全集成服务规范并按照规范实施。
信息系统安全集成服务规范。
11.
结合技术方案和实施方案,与客户进行沟通,获得客户认可。
12.
仅二级/一级要求:结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明确系统架构、产品选型、产品功能、性能及配置等参数。
项目方案设计阶段控制程序文件,内容应覆盖审核条款要求。提供系统建设安全设计说明书。
13.
38.
仅一级要求:提供三个月以上的试运行记录和报告。
39.
安全保障-验收
根据合同约定,向客户提交完整的项目资料及交付物,并提出终验申请。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供项目终验申请、项目终验报告。
40.
根据合同约定,配合组织项目验收,出具项目验收报告
41.
安全保障-运行维护

信息安全服务资质自评价表-中国信息安全认证中心

信息安全服务资质自评价表-中国信息安全认证中心

信息系统安全集成服务资质认证自评估表
提出的观察项整改情况(如有)提出的不符合项整改情况(如有)
CCRC-QOT-0429-B/4 信息系统安全集成服务资质认证自评估表自评估结论:
经自主评估,本单位的信息系统安全集成服务满足《信息安全服务规范》级要求,申请第三方审核。

本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。

中国网络安全审查技术与认证中心制第 5 页共5 页。

信息安全服务资质认证自评估表公共管理 .doc

信息安全服务资质认证自评估表公共管理 .doc

信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。

2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。

申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。

3、表中要求的所有程序文件均已发布实施。

自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。

经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。

信息系统安全运维服务资质认证自评估表

信息系统安全运维服务资质认证自评估表
42.
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
43.
服务实施阶段
实施初始服务:完成资产识别,定期配置项的更新和维护,实施相关运维流程。
资产识别表,对配置项的更新和维护记录,实施相关运维流程的记录。
44.
实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
运维前的信息系统运维预算表,内容应包括工作量、人力资源项目经费、项目节点等。
3.
与客户进行沟通,达成共识并形成记录 。
运维前与客户沟通的记录,应有沟通结果双方达成共识的体现。
4.
仅二级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。
信息系统运维过程中的历史数据清单;
历史数据清单的分析报告,内容包含指标完成情况、违例操作、重大事件、重大(失败)变更等。
安全组织架构图及相关运维人员清单,其中应有安全领导小组;
外包模式的执行组中应有第三方参与运维的人员。
10.
仅一级要求:采用基于PDCA的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。
信息系统安全运维服务有策划,实施,监视与评审和持续改进流程。
11.
仅一级要求:建立安全运维可视化视图。基于信息系统安全的生命周期,建立信息系统安全运维的整体策略。基于客户、业务的价值体现,形成安全运维的整体视图。
纠正措施的进展情况;
可能影响安全运维服务的变更;
改进的机会,如指标为满足、运维中存在的问题、服务提升点等。
61.
仅一级要求:形成体系化的审核机制及企业文化。

(完整word版)ISCCCQOT0459B1信息安全服务资质自评估表安全运维类试用版

(完整word版)ISCCCQOT0459B1信息安全服务资质自评估表安全运维类试用版
运维过程中的变更记录单。
54.
仅一级要求:建立运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
针对运维有审批并发布的变更管理程序;运维过程中的变更应有响应的变更记录。
仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
有已审批并发布的应急处置方案和恢复策略;

使用说明书、安装说明书
14.
对安全设备进行日常维护及监控,并记录硬件故障。
安全设备的日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计的记录。

安全设备位于IDC机房,满足安全设备日常维护及监控的要求
15.
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
日常维护,巡检、状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除的记录;

安全设备位于IDC机房,满足安全设备日常维护及监控的要求
45.
实施日常巡检服务:完成安全设备监控;病毒监测、查杀及网络防病毒维护,并有相关记录。
安全运维服务目录,内容有条款要求的服务。
27.
准备阶段—运维服务导入
收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。

管理数据库
28.
专业人员负责安全管理的接口。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。系统安全性测试方案、测试记录。
25.
安全保障-系统试运行
为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况,试运行周期至少一个月。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。系统试运行记录。
26.
仅二级/一级要求:试运行结束后,项目组制定系统试运行报告,并提交客户。
仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制需求分析报告。
6.
仅一级要求:协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
7.
集成准备-签订服务协议
与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
2.
基于系统建设需求,提出产品选型方案和建设预算。
3.
结合系统建设和安全需求,与客户、设计、开发等充分沟通,达成共识并形成记录。
4.
仅二级/一级要求:准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求,提出系统安全保障策略和建议。
系统安全需求分析报告,内容应覆盖审核条款要求。
5.
29.
仅一级要求:提供三个月以上的试运行记录和报告。
30.
安全保障-验收
根据合同约定,配合组织项目验收,出具项目验收报告。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。项目终验报告。
自评估结论:
经自主评估,本单位的信息系统安全集成服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方评审。
仅二级/一级要求:产品、设备安装调试过程中,应完整妥善记录相关信息,并提交完工报告。
项目建设实施阶段控制程序,覆盖审核条款要求。查验安装调试记录、项目完工报告。
19.
建设实施-监督管理
仅二级/一级要求:建立客户满意度调查机制,并对调查结果进行分析。
项目建设实施阶段控制程序文件,覆盖审核条款的要求。满意度调查记录。
项目管理评审程序,包括明确工作内容、过程、方法、文档模板,内容应覆盖审核条款要求。
12.
仅二级/一级要求:对项目组及第三方配合人员进行业务和技能培训。
项目方案设计阶段控制程序文件,内容应覆盖审核条款要求。
13.
仅二级/一级要求:依据技术方案具体指标要求,制定系统测试计划。
14.
仅一级要求:结合项目需要,编制安全集成项目施工手册和作业指导书。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。系统试运行报告。
27.
仅一级要求:制定系统试运行计划,建立应急响应服务保障团队,及时应对突发事件。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。应急预案、系统运行策略和安全指南、配置管理方案、系统试运行报告。
28.
仅一级要求:综合分析系统运行状态,建立系统运行策略和安全指南,并对相关产品和设备设施进行配置管理。
10.
仅二级/一级要求:结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明确系统架构、产品选型、产品功能、性能及配置等参数。
项目方案设计阶段控制程序文件,内容应覆盖审核条款要求。
11.
仅二级/一级要求:组织客户及相关技术专家对技术方案和实施方案进行论证,确认是否满足系统功能、性能和安全性要求。
项目方案设计阶段控制程序文件,内容应覆盖审核条款的要求。组织自主开发的信息安全产品、平台和工具清单。
17.
建设实施-实施集成
项目实施人员按时提交施工记录和工程日志,及时向项目经理汇报项目进度。
项目建设实施阶段控制程序文件,包括工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。项目施工记录。
18.
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
集成准备-需求调研与分析
调研客户背景信息,采集系统建设需求和建设目标,明确功能、性能及安全性要求。
准备阶段控制程序文件,包括明确工作内容、流程、方法、文档模板,内容至少包括需求调研、分析、评审,产品选型,财务预算。提供投标文件、项目文档等证明。
项目方案设计阶段控制程序文件,内容应覆盖审核条款的要求。
15.
仅一级要求:新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等要求。系统改造,还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需要考虑新旧系统兼容问题,包括网络兼容、系统兼容、应用兼容等。
16.
方案设计
仅一级要求:基于安全集成项目需求和进度计划,编制信息安全产品和工具定制开发计划。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
单位法人签字(公章):
时间:年月日
项目合同管理办法,项目合同及保密协议。
8.
仅一级要求:建立安全集成服务级别管理程序,签订服务级别协议。
服根据系统建设安全需求,编制安全集成技术方案。依据技术方案,编制安全集成实施方案,明确人员、进度、质量、沟通、风险等方面要求。
项目方案设计阶段控制程序文件,包括明确工作内容、流程、文档模板,内容应覆盖审核条款的要求。项目技术方案、实施方案。
20.
仅一级要求:定期对项目实施情况进行评审,采取适当措施,控制项目风险。
项目管理评审程序,覆盖审核条款的要求,项目评审与质量控制文档。
21.
安全保障-系统测试
依据项目技术方案和测试计划,对系统进行联调和系统测试。
项目安全保障阶段控制程序文件,包括明确工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。测试方案、计划、记录。
22.
仅二级/一级要求:系统测试完成后,制定系统测试报告,并提交客户。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。测试报告、初验申请与报告。
23.
仅二级/一级要求:结合项目需要提出初验申请,组织客户及相关方对项目进行初验,并提交初验报告。
24.
仅一级要求:基于建设系统的安全要求,制定系统安全性测试方案,模拟攻击场景,对系统安全性进行测试。