信息安全服务资质应急处理类自评估表

编码：ISCCC-QOG-0406-B/0服务资质认证自评估表填写规范发布/修订日期：2017 年9 月 1 日生效日期：2017 年 9月 1日主责处室：体系与服务认证部批准：张剑中国信息安全认证中心ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范程序文件修改记录序号 文件代码 修改章节 文件更改通知单编号 修改日期 修改人 批准人 1 B/0 新增 2017.8 翟亚红 张剑服务资质认证自评估表填写规范1目的对自评估表填写进行规范，确保申请组织的自评价材料基本信息清晰明了。

2适用范围适用于所有服务资质申请企业。

3职责申请组织相关人员填写自评估表。

4服务资质认证自评估表填写过程4.1公共管理自评估表填写规范4.1.1、财务资信填写内容包含以下信息：所提供的财务审计或者财务报告的年份，对于财务审核报告需填写所出具的会计事务所名称，需填写收入、净利润等信息。

4.1.2、办公场所填写内容包含以下信息：房屋产权证或房屋租赁合同；产权人/出租人、地址、面积、租期。

4.1.3、人员能力填写内容包含以下信息：1）填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

2）填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

3）填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。

4）填写信息安全服务人员数量，养老保险证明出具单位及出具时间，劳动合同的签订时间及有效期。

5）信息安全专业保障人员认证证书，填写获证人员名称、证书编号、发证日期、有效期。

6）填写项目经理人员数量，人员的名称、证书名称、证书编号等。

4.1.4、业绩填写内容包含以下信息：1）填写首个信息安全服务（与申报类别一致）项目名称、合同签订时间、项目验收时间。

2）填写近三年信息安全服务项目（与申报类别一致）名称、合同金额、合同签订时间、验收时间、项目服务内容等。

4.1.5、服务管理填写内容包含以下信息：1）填写人员管理程序，内容应包含岗位职责，人员任前、中、后的监督、考核、评价、奖惩方式，信息安全服务相关技术岗位的能力指标。

信息系统灾难备份与恢复服务资质认证自评估表填写指南 填写要求：1.当条款对应的需提供证明材料为制度或项目文档时，在“证明材料清单栏目”填写文档的完整名称。

例如《信息系统灾难恢复实施流程图》、《XX数据中心生产运营管理规范》、《XX数据中心建设方案》、《XX系统灾难恢复演练方案》等，并概括地介绍制度或项目文档各章节的主要内容。

2.当条款对应的需提供证明材料为记录文档时，在“证明材料清单栏目”填写记录的完整名称。

例如《精密空调维护记录》、《新风系统维护记录》、《发电机组维护记录》、《XX灾备系统试运行记录》等，并概括地介绍记录文档的主要内容。

3.当条款对应的需提供证明材料为某制度或文档的某章节内容时，在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。

例如《XX公司灾备中心应急预案和恢复预案》第X章应急组织机构和职责、《XX系统灾难恢复演练方案》第X章参演人员分工等，并对相关内容进行总结概括。

4.所有出现在“证明材料清单”栏目中的文档，都需提供相应的电子版文档或纸质文档的扫描件作为证明材料，并按照条款的序号建立文件夹整理归档，建立文件夹的格式为“序号-条款的考核内容”，例如“1-信息系统灾难恢复实施流程”、“6-灾备中心面积证明材料”、“14-气体灭火系统”、“58-桌面推演方案及记录”等。

以下给出了一份填写样例，供申请组织进行参考。

填报组织应按照填写样例的细粒度，进行相关信息的填报。

当申请三级服务资质时，仅填写自评估表中与三级相关的条款（具体分两种情况：1、标明适用于三级的；2、未标明属于哪个级别的）；申请二级服务资质时，除填写标明适用于二级的条款之外，还应填写所有属于三级要求的条款；申请一级服务资质时，填写全部条款。

组织名称 XX公司（全称）申报级别□资源服务类A类/X级□技术服务类B类/X级评估时间 XX年X月X日-X月X日评估部门/人员 XX部/XX序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.技术服务要求建立信息系统灾难备份与恢复服务流程。

信息安全评估表1 技术要求1.1 物理安全序号控制点项目安全标准评估情况说明1.1.1物理位置的选择 1. 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；2. 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

1.1.2物理访问控制 1. 机房出入口应安排专人值守并配置电子门禁系统，控制、鉴别和记录进入的人员；2. 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；3. 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；4. 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员。

1.1.3防盗窃和防破坏 1. 应将主要设备放置在机房内；2. 应将设备或主要部件进行固定，并设置明显的不易除去的标记；3. 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；4. 应对介质分类标识，存储在介质库或档案室中；5. 应利用光、电等技术设置机房防盗报警系统；6. 应对机房设置监控报警系统。

1.1.4防雷击 1. 机房建筑应设置避雷装置；2. 应设置防雷保安器，防止感应雷；3. 机房应设置交流电源地线。

1.1.5防火 1. 机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；2. 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；安全标准评估情况说明序号控制点项目1.1.6防水和防潮 1.机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。

2.水管安装，不得穿过机房屋顶和活动地板下；3.应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；4.应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；5.应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

1.1.7防静电1.设备应采用必要的接地防静电措施；2.机房应采用防静电地板；3.应采用静电消除器等装置，减少静电的产生。

1.1.8温湿度控制机房应设置温湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

信息安全服务资质CRCー二级初次认证流程随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。

加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

关于认证申请:认证的基本环节；认证申请与受理;文档审核;现场审核;认证决定;年度监督审核。

初次申请服务资质认证时,申请单位应填写认证申请书,并提交资格、能力方面的证明材料。

申请材料通常包括:服务资质认证申请书;独立法人资格证明材料;从事信息安全服务的相关资质证明;工作保密制度及相应组织监管体系的证明材料;与信息安全风险评估服务人员签订的保密协议复印件;人员构成与素质证明材料;公司组织结构证明材料;具备固定办公场所的证明材料;项目管理制度文档;信息安全服务质量管理文件;项目案例及业绩证明材料;信息安全服务能力证明材料等。

信息安全服务资质CRC(原i SCCC)ー、二级初次认证流程1、准备阶段申请组织根据自身实际情况确定需要申请的服务资质类型,登录中国网络安全审查技术与认证中心CCRC网站，下载《信息安全服务资质认证自评估表公共管理》、对应的技术自评估表、《信息安全服务资质认证申请2.非现场审核及商务阶段(此阶段工作在三周内完成,如需要申请组织补充材料,在五周内完成)项目管理人员指派审查员对申请组织提交的材料进行非现场审核;审查员依据《信息安全服务规范》及相关技术标准,对申请组织所提供的材料是否满足要求进行判定, 并填写《审核记录表》。

如满足要求，审查员通知项目管理人员向申请组织出具《受理通知单》, 收取认证费用。

如不满足要求,审查员开具《材料问题清单》,通知申请组织补充材料重新提交,并对补充材料进行审核(如申请组织所补充的材料仍无法满足要求,审查员应将此情况告知项目管理人员,项目管理人员通知申请组织目前尚不具备申请资质的条件)。