信息安全服务资质自评估表-安全集成类
合集下载
信息安全应急处理自评估表(信息安全服务资质)
应急抑制处理方案的变更管理(变更 管理涉及的文档)。 抑制措施的内容。
抑制过程中用到的可信工具列表、工 具简介。
根除建议(方案)的内容。
应急处理根除阶段涉及的风险阐述 及告知记录。 安全事件得到根除的证明材料。
根除过程中用到的可信工具列表、工 具简介。 应急处理恢复阶段涉及的风险阐述 及告知记录。
(如需重建系统时适用该条款)对于不 重建系统的相关过程记录。
序 要点
号
33. 34. 35.
36. 37.
根除阶段 38. 39. 40.
恢复阶段 41.
条款 存在的风险。
需提供证明材料 及告知记录。
自评估 结论 不
符 符
合 合
严格执行抑制处理方案中规定的内容, 如有必要更改,须获得客户的授权。 抑制措施应能够限制受攻击的范围,抑 制潜在的或进一步的攻击和破坏行为。 仅一级要求:应使用可信的工具进行安 全事件的抑制处理,不得使用受害系统 已有的不可信文件。 协助客户检查所有受影响的系统,提出 根除的方案建议,并协助客户进行具体 实施。 应明确告知客户所采取的根除措施可能 带来的风险。 找出导致网络或信息安全事件发生的原 因,并予以彻底消除。 仅一级要求:应使用可信的工具进行安 全事件的根除处理,不得使用受害系统 已有的不可信文件。 告知客户网络或信息安全事件的恢复方 法及可能存在的风险。
与客户充分沟通,并预测应急处理方案 应急处理方案涉及的风险阐述(风险
可能造成的影响。
识别与风险控制措施)。
应急处理工作流程或其他文档中约 检测工作应在客户的监督与配合下完
定的工作配合/监督机制,相关过程 成。
记录。
仅二级/一级要求:建立有针对常规应用 提供相应的检测技术规范列表及各 系统、安全设备、常见网络与信息安全 规范内容(范本或应用本),如针对
信息安全应急处理服务资质认证自评估表
信息安全应急处理服务资质认证自评估表组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.准备阶段明确客户的应急需求。
应急服务内容。
2.了解客户应急预案的内容。
需对客户自身已建立的应急预案的内容进行了解与熟悉(客户应急预案的内容)。
3.向客户提供应急处理服务流程。
应为客户提供本企业应急处理服务流程,使其了解应急处理服务的相关环节(应急处理服务流程图及各阶段工作说明)。
4.可提供本地2小时应急响应服务能力。
该级别服务提供商需具备本地化2小时应急响应时间的能力(服务承诺书)5.配备有处理网络或信息安全事件的工具包,包括常用的系统命令、工具软件等。
工具包及工具列表序号要点条款需提供证明材料自评估结论证明材料清单符合不符合6.工具包应定期更新。
工具包更新记录7.配备应急处理服务人员。
服务人员列表、专业资质证书8.具有处理一般信息安全事件的能力。
该级别服务提供商需具备处理一般信息安全事件的能力。
(注:参考国家标准GB/Z 20985-2007 《信息安全事件分类分级指南》)9.仅二级/一级要求:在客户应急需求基础上制定应急服务方案。
服务方案(模板和实际服务项目方案)10.仅二级/一级要求:应急服务方案应涉及客户应急预案的启动与执行。
应急服务方案中应涵盖客户自身建立的应急预案内容11.仅二级/一级要求:若客户未建立应急预案,可协助客户建立。
应具备为客户建立应急预案的能力12.仅二级/一级要求:向客户提供规范化应急处理服务流程。
应急服务流程可做到规范化管理与应用(制度化管理)13.仅二级/一级要求:可提供本地1小时、外地8小时应急响应服务能力。
该级别服务提供者应具备本地1小时、外地8小时提供应急处理服务的能力(服务承诺书、合同条款等)14.仅二级/一级要求:配备有处理网络与信息安全事件的工具包,工具包中应配备专业技术检测设备。
工具包中应配备有专业化的技术检测工具,如正版、商业购买等。
信息系统安全集成服务资质认证自评估表.doc
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。系统安全性测试方案、测试记录。
25.
安全保障-系统试运行
为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况,试运行周期至少一个月。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。系统试运行记录。
26.
仅二级/一级要求:试运行结束后,项目组制定系统试运行报告,并提交客户。
仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制需求分析报告。
6.
仅一级要求:协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
7.
集成准备-签订服务协议
与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
2.
基于系统建设需求,提出产品选型方案和建设预算。
3.
结合系统建设和安全需求,与客户、设计、开发等充分沟通,达成共识并形成记录。
4.
仅二级/一级要求:准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求,提出系统安全保障策略和建议。
系统安全需求分析报告,内容应覆盖审核条款要求。
5.
29.
仅一级要求:提供三个月以上的试运行记录和报告。
30.
安全保障-验收
根据合同约定,配合组织项目验收,出具项目验收报告。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。项目终验报告。
自评估结论:
经自主评估,本单位的信息系统安全集成服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方评审。
仅二级/一级要求:产品、设备安装调试过程中,应完整妥善记录相关信息,并提交完工报告。
25.
安全保障-系统试运行
为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况,试运行周期至少一个月。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。系统试运行记录。
26.
仅二级/一级要求:试运行结束后,项目组制定系统试运行报告,并提交客户。
仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制需求分析报告。
6.
仅一级要求:协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
7.
集成准备-签订服务协议
与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
2.
基于系统建设需求,提出产品选型方案和建设预算。
3.
结合系统建设和安全需求,与客户、设计、开发等充分沟通,达成共识并形成记录。
4.
仅二级/一级要求:准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求,提出系统安全保障策略和建议。
系统安全需求分析报告,内容应覆盖审核条款要求。
5.
29.
仅一级要求:提供三个月以上的试运行记录和报告。
30.
安全保障-验收
根据合同约定,配合组织项目验收,出具项目验收报告。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。项目终验报告。
自评估结论:
经自主评估,本单位的信息系统安全集成服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方评审。
仅二级/一级要求:产品、设备安装调试过程中,应完整妥善记录相关信息,并提交完工报告。
信息系统安全运维服务资质认证自评估表
仅二级/一级要求:实施安全设备、网络设备、中间件、数据库、服务器等资产的安全配置管理,定期对配置项进行更新和维护。
项目服务方案,内容应包括条款要求。
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
安全设备、业务系统的健康检查服务记录,应与安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查内容一致,健康检查服务重点关注安全设备、业务系统的可靠性(设备或者系统在一定条件、一定时间下完成一定任务稳定运行的概率)、可用性。
专业人员负责安全管理的接口。
运维项目中由高层指定的、负责安全管理接口的运维管理人员信息。
仅二级/一级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
信息系统可用性计划;信息系统可用性事件记录;信息系统可用性执行报告、改进报告。
仅二级/一级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。(监审时适用
实施日常巡检服务:对用户的安全设备、网络设备、服务器提供业务操作巡检、状态巡检、安全策略配置巡检服务。
日常巡检记录,主要针对条款要求内容。
实施日常安全运维服务:完成安全设备、网络设备、服务器、应用系统安全事件监控;病毒监测、查杀及网络防病毒维护;漏洞扫描、安全加固、补丁安装;并有相关记录。
日常安全运维服务记录,主要针对条款要求内容。
服务级别协议中,安全运维第三方之间的服务级别设计与内部团队之间的安全运营级别协议应一致。
仅一级要求:安全组织中要设定安全领导小组。
安全组织架构图,其中应有安全领导小组。
准备阶段—签订服务协议
与客户签订服务协议,明确范围、目标、时间、内容、金额、质量和输出时间、内容、金额、质量和输出等。
项目服务方案,内容应包括条款要求。
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
安全设备、业务系统的健康检查服务记录,应与安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查内容一致,健康检查服务重点关注安全设备、业务系统的可靠性(设备或者系统在一定条件、一定时间下完成一定任务稳定运行的概率)、可用性。
专业人员负责安全管理的接口。
运维项目中由高层指定的、负责安全管理接口的运维管理人员信息。
仅二级/一级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
信息系统可用性计划;信息系统可用性事件记录;信息系统可用性执行报告、改进报告。
仅二级/一级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。(监审时适用
实施日常巡检服务:对用户的安全设备、网络设备、服务器提供业务操作巡检、状态巡检、安全策略配置巡检服务。
日常巡检记录,主要针对条款要求内容。
实施日常安全运维服务:完成安全设备、网络设备、服务器、应用系统安全事件监控;病毒监测、查杀及网络防病毒维护;漏洞扫描、安全加固、补丁安装;并有相关记录。
日常安全运维服务记录,主要针对条款要求内容。
服务级别协议中,安全运维第三方之间的服务级别设计与内部团队之间的安全运营级别协议应一致。
仅一级要求:安全组织中要设定安全领导小组。
安全组织架构图,其中应有安全领导小组。
准备阶段—签订服务协议
与客户签订服务协议,明确范围、目标、时间、内容、金额、质量和输出时间、内容、金额、质量和输出等。
信息系统安全集成服务资质认证自评估表
信息系统安全集成服务规范。
3・
4.
5.
6.
集成准备・ 需求调研 与分析
调研客户背景信息,采集系统建设需求 和建设目标,明确系统功能、性能及安 全性要求。
准备阶段控制程序文件,包括明确工 作内容、流程、方法、文档模板,内 容至少包括需求调研、分析、评审, 产品选型,财务预算。提供投标文件、 项目文档等证明。
仅一级要求:对于新建系统,建设实施 过程应重点关注信息系统的功能、性能 和安全性等方而要求。对于系统改造, 还应考虑改造前技术测试验证及在实 施失败后的回退措施。技术测试验证需 要考虑新旧系统的兼容问题,包括网络 兼容、系统兼容、应用兼容等。
序 号
17.
要点
条款
需提供证明材料
自评估 结论
证明材料清单
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门从员
序 号
要点
条款
需提供证明材料
自评估
结论
证明材料清单
符 合
不 符 合
1・
2.
技术服务 要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程,流程图 中应包括每个阶段对应的职责、输入 输岀等。
制左信息系统安全集成服务规范并按 照规范实施。
审核条款要求。
仅二级/一级要求:基于客户需求和投 入能力,开展需求分析,编制需求分析 报告。
仅一级要求:协助客户有效识别系统建 设过程中的政策、法律和约束条件,有 效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险 评估报告。
9.
10.
11.
12.
方案设计
根据系统建设安全需求,编制安全集成 技术方案。
3・
4.
5.
6.
集成准备・ 需求调研 与分析
调研客户背景信息,采集系统建设需求 和建设目标,明确系统功能、性能及安 全性要求。
准备阶段控制程序文件,包括明确工 作内容、流程、方法、文档模板,内 容至少包括需求调研、分析、评审, 产品选型,财务预算。提供投标文件、 项目文档等证明。
仅一级要求:对于新建系统,建设实施 过程应重点关注信息系统的功能、性能 和安全性等方而要求。对于系统改造, 还应考虑改造前技术测试验证及在实 施失败后的回退措施。技术测试验证需 要考虑新旧系统的兼容问题,包括网络 兼容、系统兼容、应用兼容等。
序 号
17.
要点
条款
需提供证明材料
自评估 结论
证明材料清单
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门从员
序 号
要点
条款
需提供证明材料
自评估
结论
证明材料清单
符 合
不 符 合
1・
2.
技术服务 要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程,流程图 中应包括每个阶段对应的职责、输入 输岀等。
制左信息系统安全集成服务规范并按 照规范实施。
审核条款要求。
仅二级/一级要求:基于客户需求和投 入能力,开展需求分析,编制需求分析 报告。
仅一级要求:协助客户有效识别系统建 设过程中的政策、法律和约束条件,有 效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险 评估报告。
9.
10.
11.
12.
方案设计
根据系统建设安全需求,编制安全集成 技术方案。
信息安全风险评估服务资质认证自评估表
27.
应对脆弱性进行赋值。
已完成项目的脆弱性赋值列表。
28.
风险识别阶段-威胁识别
应参考国家或国际标准,对威胁进行分类;
威胁分类清单。
29.
应识别所评估信息资产存在的潜在威胁;
已完成项目中的威胁识别清单。
30.
应识别威胁利用脆弱性的可能性;
已完成项目中分析威胁利用脆弱性可能性的证明材料。
31.
应分析威胁利用脆弱性对组织可能造成的影响。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
49.
风险处置阶段-组织评审会
仅一级要求:协助被评估组织召开评审会。
服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。
50.
仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。
25.
仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。
26.
风险识别阶段-脆弱性识别
应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技术脆弱性列表。
已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。
15.
应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。
16.
应对评估团队实施风险评估前进行安全教育和技术培训。
项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。
17.
应对脆弱性进行赋值。
已完成项目的脆弱性赋值列表。
28.
风险识别阶段-威胁识别
应参考国家或国际标准,对威胁进行分类;
威胁分类清单。
29.
应识别所评估信息资产存在的潜在威胁;
已完成项目中的威胁识别清单。
30.
应识别威胁利用脆弱性的可能性;
已完成项目中分析威胁利用脆弱性可能性的证明材料。
31.
应分析威胁利用脆弱性对组织可能造成的影响。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
49.
风险处置阶段-组织评审会
仅一级要求:协助被评估组织召开评审会。
服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。
50.
仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。
25.
仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。
26.
风险识别阶段-脆弱性识别
应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技术脆弱性列表。
已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。
15.
应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。
16.
应对评估团队实施风险评估前进行安全教育和技术培训。
项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。
17.
信息系统安全运维自评估表-信息安全服务资质
仅二级要求:建立信息系统安全配置
20.
库。
及的配置项,如安全设备的配置项有安全
策略、管理员账户、IP 等。
仅一级要求:建立信息系统应急事件
21.
响应机制和恢复保障。
信息系统的应急响应计划和恢复计划。
仅一级要求:编制安全运维项目作业 安全运维作业指导书,例如:配置核查操
22.
指导书。
作手册、常见安全事件处理指南等。
段-需求
信息系统安全运维预算,其中包括运维服
4.
调 研 与 进行信息系统运维预算,定义运维服 务内容、每项服务的工作量、每项服务的
分析
务。
人力资源项目经费等。
与客户进行沟通,达成共识并形成记 与客户沟通形成的记录,内容应有对运维
5.
录。
服务项目达成共识的体现。
证明材料清单
中国网络安全审查技术与认证中心 制
仅一级要求:建立应急响应和灾难恢
23.
复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
仅一级要求:在安全运维服务方案中
24.
明确漏洞管理的工作流程。
漏洞管理的方案、流程。
运维服 25. 务实施 实施初始服务,完成资产识别。
资产识别表,为 IT 资产的标识、分级、保 护和软件配置建立基础资料档案;有设备 和系统的种类、型号、功能、物理位置、 端口对应情况、部署情况等资产详细信
完整性、可用性(专职管理)。
项有安全策略、管理员账户、IP等。
仅二级/一级要求:实施安全设备、网
络设备、中间件、数据库、服务器等
34.
配置项的更新和维护记录。 资产的安全配置管理,定期对配置项
进行更新和维护。
信息安全风险评估服务资质认证自评估表
已完成项目的风险评估报告或建议报告中对风险处置原则及适用的范围和例外情况说明的证明材料。
46.
风险处置阶段-安全整改建议
仅二级/一级要求:对组织不可接受的风险提出风险处置措施。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
47.
风险处置阶段-组织评审会
仅一级要求:协助被评估组织召开评审会。
已完成项目的风险评估实施方案中应根据目标及调研结果,明确评估依据和评估方法,评估依据和评估方法符合国家标准、行业标准及相关要求。
11.
仅二级/一级要求:应形成较为完整的风险评估实施方案。
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
12.
准备阶段-人员和工具管理
应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。
服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
48.
仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。
已完成项目的专家评审意见、整改措施及其总结。
49.
风险处置阶段-残余风险处置
仅一级要求:对组织提出完整的风险处置方案。
2-3份报告中对评估模型、评估方法、评价方法等描述的内容。
44.
仅二级/一级要求:风险评估报告中应对计算分析出的风险给予比较详细的说明。
已完成项目的风险评估报告中对风险给予详细说明的证明材料。
45.
风险处置阶段-风险处置原则确定
46.
风险处置阶段-安全整改建议
仅二级/一级要求:对组织不可接受的风险提出风险处置措施。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
47.
风险处置阶段-组织评审会
仅一级要求:协助被评估组织召开评审会。
已完成项目的风险评估实施方案中应根据目标及调研结果,明确评估依据和评估方法,评估依据和评估方法符合国家标准、行业标准及相关要求。
11.
仅二级/一级要求:应形成较为完整的风险评估实施方案。
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
12.
准备阶段-人员和工具管理
应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。
服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
48.
仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。
已完成项目的专家评审意见、整改措施及其总结。
49.
风险处置阶段-残余风险处置
仅一级要求:对组织提出完整的风险处置方案。
2-3份报告中对评估模型、评估方法、评价方法等描述的内容。
44.
仅二级/一级要求:风险评估报告中应对计算分析出的风险给予比较详细的说明。
已完成项目的风险评估报告中对风险给予详细说明的证明材料。
45.
风险处置阶段-风险处置原则确定
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
仅二级/一级要求:产品、设备安装调试过程中,应完整妥善记录相关信息,并提交完工报告。
项目建设实施阶段控制程序,覆盖审核条款要求。查验安装调试记录、项目完工报告。
19.
建设实施-监督管理
仅二级/一级要求:建立客户满意度调查机制,并对调查结果进行分析。
项目建设实施阶段控制程序文件,覆盖审核条款的要求。满意度调查记录。
2.
基于系统建设需求,提出产品选型方案和建设预算。
3.
结合系统建设和安全需求,与客户、设计、开发等充分沟通,达成共识并形成记录。
4.
仅二级/一级要求:准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求,提出系统安全保障策略和建议。
系统安段控制程序文件,内容应覆盖审核条款的要求。系统安全性测试方案、测试记录。
25.
安全保障-系统试运行
为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况,试运行周期至少一个月。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。系统试运行记录。
26.
仅二级/一级要求:试运行结束后,项目组制定系统试运行报告,并提交客户。
信息
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
集成准备-需求调研与分析
调研客户背景信息,采集系统建设需求和建设目标,明确功能、性能及安全性要求。
准备阶段控制程序文件,包括明确工作内容、流程、方法、文档模板,内容至少包括需求调研、分析、评审,产品选型,财务预算。提供投标文件、项目文档等证明。
项目方案设计阶段控制程序文件,内容应覆盖审核条款的要求。
15.
仅一级要求:新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等要求。系统改造,还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需要考虑新旧系统兼容问题,包括网络兼容、系统兼容、应用兼容等。
16.
方案设计
仅一级要求:基于安全集成项目需求和进度计划,编制信息安全产品和工具定制开发计划。
22.
仅二级/一级要求:系统测试完成后,制定系统测试报告,并提交客户。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。测试报告、初验申请与报告。
23.
仅二级/一级要求:结合项目需要提出初验申请,组织客户及相关方对项目进行初验,并提交初验报告。
24.
仅一级要求:基于建设系统的安全要求,制定系统安全性测试方案,模拟攻击场景,对系统安全性进行测试。
10.
仅二级/一级要求:结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明确系统架构、产品选型、产品功能、性能及配置等参数。
项目方案设计阶段控制程序文件,内容应覆盖审核条款要求。
11.
仅二级/一级要求:组织客户及相关技术专家对技术方案和实施方案进行论证,确认是否满足系统功能、性能和安全性要求。
29.
仅一级要求:提供三个月以上的试运行记录和报告。
30.
安全保障-验收
根据合同约定,配合组织项目验收,出具项目验收报告。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。项目终验报告。
31.
上一年度提出的观察项跟踪验证情况(如有)
32.
33.
34.
35.
上一年度提出的不符合项跟踪验证情况(如有)
项目方案设计阶段控制程序文件,内容应覆盖审核条款的要求。组织自主开发的信息安全产品、平台和工具清单。
17.
建设实施-实施集成
项目实施人员按时提交施工记录和工程日志,及时向项目经理汇报项目进度。
项目建设实施阶段控制程序文件,包括工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。项目施工记录。
18.
项目管理评审程序,包括明确工作内容、过程、方法、文档模板,内容应覆盖审核条款要求。
12.
仅二级/一级要求:对项目组及第三方配合人员进行业务和技能培训。
项目方案设计阶段控制程序文件,内容应覆盖审核条款要求。
13.
仅二级/一级要求:依据技术方案具体指标要求,制定系统测试计划。
14.
仅一级要求:结合项目需要,编制安全集成项目施工手册和作业指导书。
仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制需求分析报告。
6.
仅一级要求:协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
7.
集成准备-签订服务协议
与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
20.
仅一级要求:定期对项目实施情况进行评审,采取适当措施,控制项目风险。
项目管理评审程序,覆盖审核条款的要求,项目评审与质量控制文档。
21.
安全保障-系统测试
依据项目技术方案和测试计划,对系统进行联调和系统测试。
项目安全保障阶段控制程序文件,包括明确工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。测试方案、计划、记录。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。系统试运行报告。
27.
仅一级要求:制定系统试运行计划,建立应急响应服务保障团队,及时应对突发事件。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。应急预案、系统运行策略和安全指南、配置管理方案、系统试运行报告。
28.
仅一级要求:综合分析系统运行状态,建立系统运行策略和安全指南,并对相关产品和设备设施进行配置管理。
项目合同管理办法,项目合同及保密协议。
8.
仅一级要求:建立安全集成服务级别管理程序,签订服务级别协议。
服务级别管理程序、服务级别协议。
9.
方案设计
根据系统建设安全需求,编制安全集成技术方案。依据技术方案,编制安全集成实施方案,明确人员、进度、质量、沟通、风险等方面要求。
项目方案设计阶段控制程序文件,包括明确工作内容、流程、文档模板,内容应覆盖审核条款的要求。项目技术方案、实施方案。
36.
37.
自评估结论:
经自主评估,本单位的信息系统安全集成服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
项目建设实施阶段控制程序,覆盖审核条款要求。查验安装调试记录、项目完工报告。
19.
建设实施-监督管理
仅二级/一级要求:建立客户满意度调查机制,并对调查结果进行分析。
项目建设实施阶段控制程序文件,覆盖审核条款的要求。满意度调查记录。
2.
基于系统建设需求,提出产品选型方案和建设预算。
3.
结合系统建设和安全需求,与客户、设计、开发等充分沟通,达成共识并形成记录。
4.
仅二级/一级要求:准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求,提出系统安全保障策略和建议。
系统安段控制程序文件,内容应覆盖审核条款的要求。系统安全性测试方案、测试记录。
25.
安全保障-系统试运行
为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况,试运行周期至少一个月。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。系统试运行记录。
26.
仅二级/一级要求:试运行结束后,项目组制定系统试运行报告,并提交客户。
信息
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
集成准备-需求调研与分析
调研客户背景信息,采集系统建设需求和建设目标,明确功能、性能及安全性要求。
准备阶段控制程序文件,包括明确工作内容、流程、方法、文档模板,内容至少包括需求调研、分析、评审,产品选型,财务预算。提供投标文件、项目文档等证明。
项目方案设计阶段控制程序文件,内容应覆盖审核条款的要求。
15.
仅一级要求:新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等要求。系统改造,还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需要考虑新旧系统兼容问题,包括网络兼容、系统兼容、应用兼容等。
16.
方案设计
仅一级要求:基于安全集成项目需求和进度计划,编制信息安全产品和工具定制开发计划。
22.
仅二级/一级要求:系统测试完成后,制定系统测试报告,并提交客户。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。测试报告、初验申请与报告。
23.
仅二级/一级要求:结合项目需要提出初验申请,组织客户及相关方对项目进行初验,并提交初验报告。
24.
仅一级要求:基于建设系统的安全要求,制定系统安全性测试方案,模拟攻击场景,对系统安全性进行测试。
10.
仅二级/一级要求:结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明确系统架构、产品选型、产品功能、性能及配置等参数。
项目方案设计阶段控制程序文件,内容应覆盖审核条款要求。
11.
仅二级/一级要求:组织客户及相关技术专家对技术方案和实施方案进行论证,确认是否满足系统功能、性能和安全性要求。
29.
仅一级要求:提供三个月以上的试运行记录和报告。
30.
安全保障-验收
根据合同约定,配合组织项目验收,出具项目验收报告。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。项目终验报告。
31.
上一年度提出的观察项跟踪验证情况(如有)
32.
33.
34.
35.
上一年度提出的不符合项跟踪验证情况(如有)
项目方案设计阶段控制程序文件,内容应覆盖审核条款的要求。组织自主开发的信息安全产品、平台和工具清单。
17.
建设实施-实施集成
项目实施人员按时提交施工记录和工程日志,及时向项目经理汇报项目进度。
项目建设实施阶段控制程序文件,包括工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。项目施工记录。
18.
项目管理评审程序,包括明确工作内容、过程、方法、文档模板,内容应覆盖审核条款要求。
12.
仅二级/一级要求:对项目组及第三方配合人员进行业务和技能培训。
项目方案设计阶段控制程序文件,内容应覆盖审核条款要求。
13.
仅二级/一级要求:依据技术方案具体指标要求,制定系统测试计划。
14.
仅一级要求:结合项目需要,编制安全集成项目施工手册和作业指导书。
仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制需求分析报告。
6.
仅一级要求:协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
7.
集成准备-签订服务协议
与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
20.
仅一级要求:定期对项目实施情况进行评审,采取适当措施,控制项目风险。
项目管理评审程序,覆盖审核条款的要求,项目评审与质量控制文档。
21.
安全保障-系统测试
依据项目技术方案和测试计划,对系统进行联调和系统测试。
项目安全保障阶段控制程序文件,包括明确工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。测试方案、计划、记录。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。系统试运行报告。
27.
仅一级要求:制定系统试运行计划,建立应急响应服务保障团队,及时应对突发事件。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。应急预案、系统运行策略和安全指南、配置管理方案、系统试运行报告。
28.
仅一级要求:综合分析系统运行状态,建立系统运行策略和安全指南,并对相关产品和设备设施进行配置管理。
项目合同管理办法,项目合同及保密协议。
8.
仅一级要求:建立安全集成服务级别管理程序,签订服务级别协议。
服务级别管理程序、服务级别协议。
9.
方案设计
根据系统建设安全需求,编制安全集成技术方案。依据技术方案,编制安全集成实施方案,明确人员、进度、质量、沟通、风险等方面要求。
项目方案设计阶段控制程序文件,包括明确工作内容、流程、文档模板,内容应覆盖审核条款的要求。项目技术方案、实施方案。
36.
37.
自评估结论:
经自主评估,本单位的信息系统安全集成服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。