当前位置:文档之家 › 信息系统安全运维服务资质认证自表

信息系统安全运维服务资质认证自表

  • 格式:doc
  • 大小:167.00 KB
  • 文档页数:11

下载文档原格式

  / 11

合集下载

信息系统安全集成服务资质认证自评估表

信息系统安全集成服务资质认证自评估表
信息系统安全集成服务规范。
3・
4.
5.
6.
集成准备・ 需求调研 与分析
调研客户背景信息,采集系统建设需求 和建设目标,明确系统功能、性能及安 全性要求。
准备阶段控制程序文件,包括明确工 作内容、流程、方法、文档模板,内 容至少包括需求调研、分析、评审, 产品选型,财务预算。提供投标文件、 项目文档等证明。
仅一级要求:对于新建系统,建设实施 过程应重点关注信息系统的功能、性能 和安全性等方而要求。对于系统改造, 还应考虑改造前技术测试验证及在实 施失败后的回退措施。技术测试验证需 要考虑新旧系统的兼容问题,包括网络 兼容、系统兼容、应用兼容等。
序 号
17.
要点
条款
需提供证明材料
自评估 结论
证明材料清单
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门从员
序 号
要点
条款
需提供证明材料
自评估
结论
证明材料清单
符 合
不 符 合
1・
2.
技术服务 要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程,流程图 中应包括每个阶段对应的职责、输入 输岀等。
制左信息系统安全集成服务规范并按 照规范实施。
审核条款要求。
仅二级/一级要求:基于客户需求和投 入能力,开展需求分析,编制需求分析 报告。
仅一级要求:协助客户有效识别系统建 设过程中的政策、法律和约束条件,有 效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险 评估报告。
9.
10.
11.
12.
方案设计
根据系统建设安全需求,编制安全集成 技术方案。

信息安全风险服务资质认证自表

信息安全风险服务资质认证自表

如有你有帮助,请购买下载,谢谢! 1页 信息安全风险评估服务资质认证自评估表 组织名称 申报级别 评估时间 评估部门/人员

序号 要点 条款 需提供证明材料 自评估结论 证明材料清单

符合

服务技术要求

建立信息安全风险评估服务流程。 按照相关标准建立的信息安全风险评估服务流程,流程图中应包括每个

阶段对应的职责、输入输出等。 制定信息安全风险评估服务规范并按照规范实施。 已制定的信息安全风险评估服务规

范。

基本资格 仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。

一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。

仅二级要求:针对多种类型组织,多

行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。 一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。

仅一级要求:能够在全国范围内,针

对5个(含)以上行业开展风险评估服5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术 如有你有帮助,请购买下载,谢谢! 2页 务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。 层面对脆弱性进行识别的材料。

仅三级要求:具备跟踪信息安全漏洞的能力 跟踪信息安全漏洞的证明材料

仅二级要求:具备跟踪、验证信息安全漏洞的能力。 跟踪、验证信息安全漏洞的证明材料

仅一级要求:具备跟踪、验证、挖掘

信息安全漏洞的能力。 跟踪、验证、挖掘信息安全漏洞的证明材料。

准备阶段-服务方案制定 编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。 信息安全风险评估方案、风险评估模板。 应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。 已完成项目的风险评估方案,方案中应包含风险评价原则。 仅二级/一级要求:应进行充分的系统调研,形成调研报告。 已完成项目的系统调研报告,报告中对被评估对象有清晰的描述。 仅二级/一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。

信息安全风险服务资质认证自表

信息安全风险服务资质认证自表
44.
风险分析-风险评估报告
应向客户提供风险评估报告。
已完成的所申请资质级别要求的风险评估报告,报告中至少包括评估过程、评估方法、评估结果、处置建议等内容。
45.
报告应包括但不限于评估过程、评估方法、评估结果、处置建议等内容。
46.
仅二级/一级要求:风险评估报告中应对计算分析出的风险给予比较详细的说明。
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
50.
仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。
已完成项目的专家评审意见、整改措施及其总结。
51.
风险处置阶段-残余风险处置
仅一级要求:对组织提出完整的风险处置方案。
已完成项目的残余风险处置方案,方案至少包含处置措施、工具、时间计划等内容。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
.
9.
准备阶段-服务方案制定
编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。
信息安全风险评估方案、风险评估模板。
10.
应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。
已完成项目的风险评估方案,方案中应包含风险评价原则。
11.
仅二级/一级要求:应进行充分的系统调研,形成调研报告。
已完成项目的风险评估报告中对风险给予详细说明的证明材料。
47.
风险处置阶段-风险处置原则确定
仅二级/一级要求:应协助被评估组织确定风险处置原则,以及风险处置原则适用的范围和例外情况。
已完成项目的风险评估报告或建议报告中对风险处置原则及适用的范围和例外情况说明的证明材料。

信息安全服务资质认证自评估表-公共管理

信息安全服务资质认证自评估表-公共管理
24.
确定信息安全服务范围。
提供的信息安全服务项目(与申报类别一致)合同/协议中明确了具体范围。
25.
应签订信息安全服务合同或协议。
提供信息安全服务项目(与申报类别一致)合同/协议。
26.
仅二级/一级要求:合同应明确信息安全服务的行为规范。
提供信息安全服务项目(与申报类别一致)合同/协议,其中需明确针对信息安全服务的行为规范。
信息安全服务资质
填表说明:该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
组织名称
服务类别/级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
财务资信要求
仅适用于初次认证
18.
仅一级要求:参照国际、国家标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系,并提供有效运行的相关证明。
信息安全管理或信息技术服务管理体系认证证书,包括证书编号、认证范围、颁证日期、有效期,范围覆盖与申报类别一致的信息安全服务。
19.
建立人员管理程序和能力考核指标;制定业务和技能培训计划,定期对相关人员开展培训和考核。
结合信息安全管理体系文件,查阅体系运行记录,验证体系运行情况,至少包括范围方针文件、文件控制程序、记录控制程序、纠正与预防控制程序、内审与管评控制程序、内审、管评、外审管控程序及报告、[风险管理程序、适用性声明及相应的控制措施文件](适用于27001)或[服务等级管理程序、事件管理程序、问题管理程序、变更和发布管理程序、配置管理程序](适用于20000)。范围覆盖与申报类别一致的信息安全服务。

信息安全风险服务资质认证自表填写

信息安全风险服务资质认证自表填写

中国信息安全认证中心 制
第 1 页 共 12 页
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
组织名称 评估时间
XX 公司(全称) XX 年 X 月 X 日-X 月 X 日
申报级别
X级
评估部门/人员 XX 部/XX
自评估
序 要点

条款
需提供证明材料
结论 不
符 符
合 合
行业类型:
中国信息安全认证中心 制
第 2 页 共 12 页
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
自评估
序 要点

条款
需提供证明材料
结论 不
符 符
合 合
证明材料清单
该系统的用户数在 10,000 以上;具备从 脆弱性识别的材料。
系统规模(用户数):
管理和技术层面对脆弱性进行识别的
用户数在 100,000 以上;具备从业务、 层面对脆弱性进行识别的材料。
行业类型: 系统规模(用户数): 合同签订时间:
管理和技术层面对脆弱性进行识别的
项目验收时间:
能力。
合同金额:
3.项目名称:
行业类型:
系统规模(用户数):
合同签订时间:
项目验收时间:
合同金额:
中国信息安全认证中心 制
第 3 页 共 12 页
证明材料清单
提供《信息安全风险评估服务流程》(包含 XX 阶段、XX
阶段、XX 阶段、XX 阶段),对每个阶段的目标、角色、
1.
建立信息安全风险评估服务流程。 服务技术
要求
按照相关标准建立的信息安全风险 评估服务流程,流程图中应包括每个 阶段对应的职责、输入输出等。

信息安全风险评估服务资质认证自评估表

信息安全风险评估服务资质认证自评估表
27.
应对脆弱性进行赋值。
已完成项目的脆弱性赋值列表。
28.
风险识别阶段-威胁识别
应参考国家或国际标准,对威胁进行分类;
威胁分类清单。
29.
应识别所评估信息资产存在的潜在威胁;
已完成项目中的威胁识别清单。
30.
应识别威胁利用脆弱性的可能性;
已完成项目中分析威胁利用脆弱性可能性的证明材料。
31.
应分析威胁利用脆弱性对组织可能造成的影响。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
49.
风险处置阶段-组织评审会
仅一级要求:协助被评估组织召开评审会。
服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。
50.
仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。
25.
仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。
26.
风险识别阶段-脆弱性识别
应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技术脆弱性列表。
已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。
15.
应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。
16.
应对评估团队实施风险评估前进行安全教育和技术培训。
项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。
17.

信息系统安全运维服务资质认证申报流程详解

信息系统安全运维服务资质认证申报流程详解

信息系统安全运维服务资质认证是企业在信息化发展过程中必须完成的重要环节,它能够有效保障企业信息系统的安全运行,保护用户数据的安全和隐私,防范网络攻击和数据泄露等风险,对于企业的可持续发展具有重要意义。

本文将对信息系统安全运维服务资质认证的申报流程进行详细解析,以帮助企业准确、高效地完成资质认证申报。

一、申报资料准备1.企业基本信息申报企业需准备企业的营业执照、组织机构代码证、税务登记证、法人唯一识别信息等基本信息资料,并确保这些资料是真实有效的。

2.服务相关资料申报企业还需要准备相关的服务资质证明,包括员工的从业资格证书、安全生产许可证、资质证书等。

3.安全管理制度企业需要制定完善的信息安全管理制度,包括安全培训、安全控制、事件响应等,以确保企业安全运维服务的有效性和可靠性。

二、资质认证申报流程1.申报材料准备企业首先需要将准备好的申报材料按照要求整理,确保所有的材料齐全、真实有效。

2.申报资格确认企业需要向资质认证机构进行申报资格确认,确认企业是否符合相关资质认证的条件和要求。

3.申报材料递交企业在确认了资格后,将申报材料递交给资质认证机构,工作人员会对材料进行初步审核。

4.现场审核通过初步审核的企业将接受资质认证机构的现场审核,审核内容包括企业的安全管理制度、服务流程、技术能力等。

5.资质认证审核通过的企业将获得资质认证证书,证明企业具备信息系统安全运维服务的资质,可以为客户提供安全可靠的服务。

三、注意事项和建议1.了解相关法律法规在进行资质认证申报之前,企业需要充分了解相关的法律法规要求,确保自己的服务和管理制度符合规定。

2.加强内部管理企业需要加强内部管理,建立规范的制度和流程,确保安全运维服务的高效和可靠。

3.培训员工企业需要培训员工,提高员工的安全意识和技能水平,保障安全运维服务的质量。

4.不断改进企业在获得资质认证后,需要不断改进和提升自身的管理水平和服务质量,以适应信息化发展的要求。

信息安全服务资质认证自评估表公共管理[0001]资料

信息安全服务资质认证自评估表公共管理[0001]资料

信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。

2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。

申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。

自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。

经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ISCCC-QOT-0434-B/2 信息系统安全运维服务资质认证自评估表 中国信息安全认证中心 第 1 页 共 11 页 信息系统安全运维服务资质认证自评估表

组织名称 申报级别 评估时间 评估部门/人员

序号 要点 条款 需提供证明材料 自评估结论 证明材料清单

符合

1. 准备阶段—需求调研与分析 采集客户对信息系统运维服务时间的需求。 运维前的客户需求调查报告,可结合结合业务部门,公司高层的战略规划,内容必须有服务时间要求。

2. 进行信息系统运维预算,定义运维服务。 运维前的信息系统运维预算表,内容应包括工作量、人力资源项目经费、项目节点等。 3. 与客户进行沟通,达成共识并形成记录 。 运维前与客户沟通的记录,应有沟通结果双方达成共识的体现。

4. 仅二级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。 信息系统运维过程中的历史数据清单; 历史数据清单的分析报告,内容包含指标完成情况、违例操作、重大事件、重大(失败)变更等。 根据报告的分析制定的运维策略,及实施 ISCCC-QOT-0434-B/2 信息系统安全运维服务资质认证自评估表

中国信息安全认证中心 第 2 页 共 11 页 方案;

仅二级要求:分析客户对信息系统安全

服务的需求和类型。

客户需求调查报告,包含信息系统安全服

务的需求和类型;

5. 仅二级要求:收集与分析信息系统的可用性指标,明确可用性指标的类型。 信息系统的可用性指标清单,如整体指标或单系统指标等; 6. 仅二级要求:分析以往服务的数据,提取出来未来可自动化的服务。 以往提供服务的解决方案,对生产的影响的分析报告; 根据以往安全事件的解决效率进行分析,适宜时提出来未来可自动化的服务。 7. 仅一级要求:内部团队之间的安全运营级别协议应和与安全运维第三方之间的的服务级别设计保持一致。 服务级别设计、安全运营级别协议,两者应保持一致。 8. 仅一级要求:安全组织中要设定安全领导小组;在采用外包模式的情况下,执行组还应包含安全运维服务供应商参与运维的人员。 安全组织架构图及相关运维人员清单,其中应有安全领导小组; 外包模式的执行组中应有第三方参与运维的人员。 9. 仅一级要求:采用基于PDCA的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。 信息系统安全运维服务有策划,实施,监视与评审和持续改进流程。 ISCCC-QOT-0434-B/2 信息系统安全运维服务资质认证自评估表

中国信息安全认证中心 第 3 页 共 11 页 10. 仅一级要求:建立安全运维可视化视图。基于信息系统安全的生命周期,建立信息系统安全运维的整体策略。基于客户、业务的价值体现,形成安全运维的整体视图。 安全运维项目施工手册和作业指导书; 新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求,应保留与客户的需求分析记录; 系统改造中考虑造前技术测试验证及在实施失败后的回退措施; 测试验证中对旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等,有验证报告。 11. 准备阶段—运维服务设计 制定安全运维服务目录,目录内容包括但不限于:初始服务、安全设备运维、日常巡检服务、健康检查、安全事件审计。 安全运维服务目录,内容包含条款要求。 12. 信息系统相关的IT资产进行识别。 IT资产识别清单,内容有IT资产识别的标识、分级、保护和软件配置建立基础资料档案; 有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。 13. 对安全设备进行日常维护及监控,并记录硬件故障。 安全设备的日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计的记录。 14. 提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。 有安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件记录。 15. 采集系统配置、流量信息、系统状态等安全信息。 安全设备、业务系统的健康检查服务,应与安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件的记录。 ISCCC-QOT-0434-B/2 信息系统安全运维服务资质认证自评估表

中国信息安全认证中心 第 4 页 共 11 页 16. 收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。 有对网络及安全设备日志,服务器、操作系统等日志,网络应用日志的记录与分析报告。 17. 仅二级要求:对信息安全事件进行统计与分析。 信息安全事件的统计表,分析报告; 信息系统的可用性事件、计划、报告; 安全运维角色清单。 18. 仅二级要求:编写安全运维服务目录,目录内容包括但不限于:运维监控与分析、终端安全监控、等级保护合规性运维。 安全运维服务目录,内容应包含有条款的要求。 19. 仅二级要求:建立信息系统安全运维的问题管理程序。 信息系统问题管理程序,已审批并发布。 20. 仅二级要求:建立知识管理程序及初步形成知识库。 知识管理程序,已审批并发布。

21. 仅二级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。 信息系统的可用性事件、计划、报告。 22. 仅二级要求:形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。 信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。 23. 仅一级要求:编制安全运维项目作业指导书。 安全运维项目中各模块作业指导书。 ISCCC-QOT-0434-B/2 信息系统安全运维服务资质认证自评估表

中国信息安全认证中心 第 5 页 共 11 页 24. 仅一级要求:建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。 有改造过程中的信息系统的测试计划; 有信息系统的基线、回退的措施文件。 25. 仅一级要求:编写安全运维服务目录,目录内容包括但不限于:安全通告及漏洞分析、应急响应服务。 安全运维服务目录,内容有条款要求的服务。 26. 准备阶段—运维服务导入 收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性。 完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。 27. 专业人员负责安全管理的接口。 完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。 28. 建立服务目录。 安全运维服务目录。 29. 建立事件响应和解决的机制,有基本的安全运维报告模式。 安全事件处理与应急响应流程,安全事件处理与上报流程。

30. 仅二级要求:采用流程化管理方法,基于安全事件处理流程、安全培训服务流程、渗透测试流程进行标准化的信息系统安全运维工作。 渗透测试的计划和记录; 建立安全事件处理流程,安全培训服务流程,渗透测试的流程。 31. 仅一级要求:基于渗透测试流程管理进行标准化的信息系统安全运维工作。 运维过程中的渗透测试的计划和记录。 32. 仅一级要求:编制信息安全产品和工具定制开发计划。 信息安全产品和工具定制开发计划,内容可以应客户要求或组织自身的能力。 ISCCC-QOT-0434-B/2 信息系统安全运维服务资质认证自评估表

中国信息安全认证中心 第 6 页 共 11 页 33. 准备阶段—服务协议的特殊要求 明确安全事件处理与应急响应流程,流程包括但不限于:安全事件的分类、安全事件上报流程、安全事件处理流程、安全事件的事后处理。 建立安全事件处理流程,应急响应流程,内容应包括条款要求; 34. 明确安全运维的方式,方式包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。 服务级别协议协议,其中内容包括运维的方式。 35. 仅二级要求:签订服务级别协议,建立信息系统应急事件响应机制和恢复保障。 服务级别协议,内容包括承诺信息系统核心指标; 应急响应计划、系统恢复计划。 36. 仅二级要求:建立问题管理程序。 信息系统的问题管理程序,已审批并发布。 37. 仅二级要求:建立信息系统安全的配置库及关联关系信息。 配置库,系统安全配置项之间有关联信息。 38. 仅一级要求:建立信息系统安全运维服务级别管理程序,签订服务级别协议。 有已通过审核并发布的信息系统安全运维服务级别管理程序; 查看客户有服务级别协议。 39. 仅一级要求:建立信息系统应急事件响应机制和恢复保障。 应急响应计划、系统恢复计划的演练记录; 40. 仅一级要求:对客户满意度进行趋势分析。 客户满意度调查报告与趋势分析报告; 41. 仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。 发布且通过审批的业务连续性计划。 42. 服务实施阶段 实施初始服务:完成资产识别,定期配置项的更新和维护,实施相关运维流程。 资产识别表,对配置项的更新和维护记录,实施相关运维流程的记录。 ISCCC-QOT-0434-B/2 信息系统安全运维服务资质认证自评估表

中国信息安全认证中心 第 7 页 共 11 页 43. 实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。 日常维护,巡检、状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除的记录; 44. 实施日常巡检服务:完成安全设备监控;病毒监测、查杀及网络防病毒维护,并有相关记录。 信息安全事件审计报告,如网络及安全设备日志、服务器、操作系统、网络应用的日志; 45. 实施健康检查服务:完成安全设备、业务系统的健康检查服务。 安全设备、业务系统的健康检查服务,主要工作针对于设备的可用性、持续性,并提供相应服务记录。 46. 实施安全事件审计服务:完成网络及安全设备日志、服务器、操作系统、网络应用的日志、并且进行记录。 实施安全事件审计服务,内容包含条款中的要求。 47. 组建运维服务台职能,培养服务台人员的专业能力。 建立服务台; 提供服务台人员的培训记录。 48. 建立事件管理程序和信息安全服务请求管理程序。 事件管理程序,已审批并发布; 服务请求管理程序,已审批并发布。 49. 仅二级要求:实施运维监控与分析并形成记录。 运维监控分析报告,内容以数据来分析各个指标的趋势。 50. 仅二级要求:进行等级保护合规性运维。 针对信息系统安全建立保护等级; 对信息系统分级的标准;