信息系统灾难备份与恢复服务资质认证自评估表
信息系统安全运维服务资质认证自评估表
信息系统安全运维服务资质认证自评估表
年度提出的观察项跟踪验证情况(如有)
年度提出的不符合项跟踪验证情况(如有)
(表格)CJJ 28-2014 城镇供热管网工程施工及验收
自评估结论:
经自主评估,本单位的信息系统安全运维服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
信你自己罢!只有你自己是真实的,也只有你能够创造你自己
b11。
信息安全服务资质认证自评估表-公共管理
信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。
服务资质认证自评估表填写规范
编码:ISCCC-QOG-0406-B/0服务资质认证自评估表填写规范发布/修订日期:2017 年9 月 1 日生效日期:2017 年 9月 1日主责处室:体系与服务认证部批准:张剑中国信息安全认证中心ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范程序文件修改记录序号 文件代码 修改章节 文件更改通知单编号 修改日期 修改人 批准人 1 B/0 新增 2017.8 翟亚红 张剑服务资质认证自评估表填写规范1目的对自评估表填写进行规范,确保申请组织的自评价材料基本信息清晰明了。
2适用范围适用于所有服务资质申请企业。
3职责申请组织相关人员填写自评估表。
4服务资质认证自评估表填写过程4.1公共管理自评估表填写规范4.1.1、财务资信填写内容包含以下信息:所提供的财务审计或者财务报告的年份,对于财务审核报告需填写所出具的会计事务所名称,需填写收入、净利润等信息。
4.1.2、办公场所填写内容包含以下信息:房屋产权证或房屋租赁合同;产权人/出租人、地址、面积、租期。
4.1.3、人员能力填写内容包含以下信息:1)填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
2)填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
3)填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
4)填写信息安全服务人员数量,养老保险证明出具单位及出具时间,劳动合同的签订时间及有效期。
5)信息安全专业保障人员认证证书,填写获证人员名称、证书编号、发证日期、有效期。
6)填写项目经理人员数量,人员的名称、证书名称、证书编号等。
4.1.4、业绩填写内容包含以下信息:1)填写首个信息安全服务(与申报类别一致)项目名称、合同签订时间、项目验收时间。
2)填写近三年信息安全服务项目(与申报类别一致)名称、合同金额、合同签订时间、验收时间、项目服务内容等。
4.1.5、服务管理填写内容包含以下信息:1)填写人员管理程序,内容应包含岗位职责,人员任前、中、后的监督、考核、评价、奖惩方式,信息安全服务相关技术岗位的能力指标。
信息系统安全运维服务资质认证自评估表
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
建立服务目录。
安全运维服务目录。
建立事件响应和解决的机制,有基本的安全运维报告模式。
安全事件处理与应急响应流程,安全事件处理与上报流程。
仅二级要求:采用流程化管理方法,基于安全事件处理流程、安全培训服务流程、渗透测试流程进行标准化的信息系统安全运维工作。
日常维护,巡检、状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除的记录;
实施日常巡检服务:完成安全设备监控;病毒监测、查杀及网络防病毒维护,并有相关记录。
信息安全事件审计报告,如网络及安全设备日志、服务器、操作系统、网络应用的日志;
实施健康检查服务:完成安全设备、业务系统的健康检查服务。
渗透测试的计划和记录;
建立安全事件处理流程,安全培训服务流程,渗透测试的流程。
仅一级要求:基于渗透测试流程管理进行标准化的信息系统安全运维工作。
运维过程中的渗透测试的计划和记录。
仅一级要求:编制信息安全产品和工具定制开发计划。
信息安全产品和工具定制开发计划,内容可以应客户要求或组织自身的能力。
准备阶段—服务协议的特殊要求
仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
服务实施阶段
实施初始服务:完成资产识别,定期配置项的更新和维护,实施相关运维流程。
资产识别表,对配置项的更新和维护记录,实施相关运维流程的记录。
实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
以往提供服务的解决方案,对生产的影响的分析报告;
信息系统灾难备份与恢复服务资质认证自评估表填写指南
信息系统灾难备份与恢复服务资质认证自评估表填写指南 填写要求:1.当条款对应的需提供证明材料为制度或项目文档时,在“证明材料清单栏目”填写文档的完整名称。
例如《信息系统灾难恢复实施流程图》、《XX数据中心生产运营管理规范》、《XX数据中心建设方案》、《XX系统灾难恢复演练方案》等,并概括地介绍制度或项目文档各章节的主要内容。
2.当条款对应的需提供证明材料为记录文档时,在“证明材料清单栏目”填写记录的完整名称。
例如《精密空调维护记录》、《新风系统维护记录》、《发电机组维护记录》、《XX灾备系统试运行记录》等,并概括地介绍记录文档的主要内容。
3.当条款对应的需提供证明材料为某制度或文档的某章节内容时,在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。
例如《XX公司灾备中心应急预案和恢复预案》第X章应急组织机构和职责、《XX系统灾难恢复演练方案》第X章参演人员分工等,并对相关内容进行总结概括。
4.所有出现在“证明材料清单”栏目中的文档,都需提供相应的电子版文档或纸质文档的扫描件作为证明材料,并按照条款的序号建立文件夹整理归档,建立文件夹的格式为“序号-条款的考核内容”,例如“1-信息系统灾难恢复实施流程”、“6-灾备中心面积证明材料”、“14-气体灭火系统”、“58-桌面推演方案及记录”等。
以下给出了一份填写样例,供申请组织进行参考。
填报组织应按照填写样例的细粒度,进行相关信息的填报。
当申请三级服务资质时,仅填写自评估表中与三级相关的条款(具体分两种情况:1、标明适用于三级的;2、未标明属于哪个级别的);申请二级服务资质时,除填写标明适用于二级的条款之外,还应填写所有属于三级要求的条款;申请一级服务资质时,填写全部条款。
组织名称 XX公司(全称)申报级别□资源服务类A类/X级□技术服务类B类/X级评估时间 XX年X月X日-X月X日评估部门/人员 XX部/XX序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.技术服务要求建立信息系统灾难备份与恢复服务流程。
信息系统安全运维服务资质认证自评估表
信息系统安全运维服务资质认证自评估表
信息系统安全运维服务资质认证自评估表
中国信息安全认证中心第 2 页共 31 页
中国信息安全认证中心第 3 页共 31 页
中国信息安全认证中心第 4 页共 31 页
中国信息安全认证中心第 5 页共 31 页
中国信息安全认证中心第 6 页共 31 页
中国信息安全认证中心第 7 页共 31 页
中国信息安全认证中心第 8 页共 31 页
中国信息安全认证中心第 9 页共 31 页
中国信息安全认证中心第 10 页共 31 页
ISCCC-QOT-0434-B/2 信息系统安全运维服务资质认证自评估表自评估结论:
经自主评估,本单位的信息系统安全运维服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
中国信息安全认证中心第 31 页共 31 页。
信息系统安全集成服务资质认证自评估表.doc
25.
安全保障-系统试运行
为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况,试运行周期至少一个月。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。系统试运行记录。
26.
仅二级/一级要求:试运行结束后,项目组制定系统试运行报告,并提交客户。
仅二级/一级要求:基于客户需求和投入能力,开展需求分析,编制需求分析报告。
6.
仅一级要求:协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
7.
集成准备-签订服务协议
与客户、供应商签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。
2.
基于系统建设需求,提出产品选型方案和建设预算。
3.
结合系统建设和安全需求,与客户、设计、开发等充分沟通,达成共识并形成记录。
4.
仅二级/一级要求:准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求,提出系统安全保障策略和建议。
系统安全需求分析报告,内容应覆盖审核条款要求。
5.
29.
仅一级要求:提供三个月以上的试运行记录和报告。
30.
安全保障-验收
根据合同约定,配合组织项目验收,出具项目验收报告。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。项目终验报告。
自评估结论:
经自主评估,本单位的信息系统安全集成服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方评审。
仅二级/一级要求:产品、设备安装调试过程中,应完整妥善记录相关信息,并提交完工报告。
信息系统安全运维服务资质认证自评估表
应急响应服预案,应急演练的记录;
变更管理程序,已审批并发布;
运维过程中的变更记录单。
54.
仅一级要求:建立运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
针对运维有审批并发布的变更管理程序;运维过程中的变更应有响应的变更记录。
仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
安全运维服务目录,内容包含条款要求。
13.
信息系统相关的IT资产进行识别。
IT资产识别清单,内容有IT资产识别的标识、分级、保护和软件配置建立基础资料档案;
有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。
14.
对安全设备进行日常维护及监控,并记录硬件故障。
安全设备的日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计的记录。
信息系统的可用性事件、计划、报告。
23.
仅二级要求:形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。
24.
仅一级要求:编制安全运维项目作业指导书。
安全运维项目中各模块作业指导书。
25.
仅一级要求:建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。
运维数据收集记录,内容应包含条款中的要求。
57.
对运维实现情况进行监视测量,未能实现的目标应采取纠正预防措施。
安全运维实现情况监视测量清单,如客户满意度、投诉建议、KPI等;
纠正预防措施记录单。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
建立灾备中心信息系统运行监控平台,及时发现灾备系统运行的故障并进行故障定位、诊断和审计,保存相关记录。
灾备中心信息系统运行监控平台建设和运行管理情况,包括但不限于监控范围、预警、故障处理等;提供灾备系统故障应急处置预案。
介绍灾备中心发电机组及燃料油库相关情况,提供实际切换记录。
29.
资源服务类(A类)要求-灾备中心运维管理要求
拥有灾备中心运维组织架构和运行管理团队,建立灾备中心机房运行管理和信息安全管理制度,并有效运行。
灾备中心组织架构、岗位职责及运行维护管理团队名单,提供灾备中心机房运行管理制度和信息安全管理制度。
信息系统灾难备份与恢复服务资质认证自评估表
组织名称
申报级别
□资源服务类A类□技术服务类B类
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
技术服务要求
建立信息系统灾难备份与恢复服务流程。
按照相关标准建立信息系统灾难备份与恢复服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
19.
拥有灾备中心基础配套设施,包括但不限于灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室等。
介绍灾备中心灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室等配套设施配备情况。
20.
拥有灾备中心基础生活设施,包括但不限于日常运维人员生活所需宿舍、食堂、活动室等。
灾备中心双路高压及双路UPS供电设计方案,介绍UPS供电能力。
27.
仅一级要求:高压电来自两个独立的变电站的双路设计。
提供灾备中心高压电路设计方案,达到双路供电要求。
28.
仅一级要求:后备发电机组具有不停机补充燃料的能力,并且与燃料供应商签署燃料供应保障协议,保障燃料数量和质量要求,UPS和油机可自动切换。
9.
具备较高灵敏度的烟雾探测系统和消防系统,可实现分区灭火和定点报警。
灾备中心功能区与公共区域防火预警措施和管理制度,提供园区内防火设备设施清单、区域布防情况。
10.
灾备中心建筑耐火等级达到二级及以上。
灾备中心建筑耐火等级证明材料。
11.
仅一级要求:灾备中心建筑耐火等级达到一级。
12.
仅二级/一级要求:灾备中心建设等级满足国标A级或国际T3以上机房要求。
具备单路高压供电和独立UPS不间断电源保障。
灾备中心外部供电系统及UPS电源供电模式,提供灾备中心UPS电源供电设备清单。
23.
采用精密空调系统,并具备恒温恒湿要求。
介绍灾备中心机房制冷设备、设施配备情况;提供空调系统在温湿度方面的具体参数。
24.
仅二级/一级要求:采用精密空调系统,机房温度应达到22°C±2°C,湿度应达到45%-65%。
2.
制定信息系统灾难备份与恢复服务规范并按照规范实施。
信息系统灾难备份与恢复服务规范。
3.
资源服务类(A类)要求-灾备中心场地资源要求
拥有至少1个可用于灾备中心的场地,位置避免处于地质沉降地带,交通便利、抗震等级按照国家规定的该地区抗震设防烈度执行,抗震设防类别为丙类及以上。
介绍所属各个灾备中心的分布与建设情况,包括但不限于灾备中心地理位置、物理环境、建设与完工时间、基础建设、信息系统建设、主要承担业务等情况;提供灾备中心选址情况说明、灾备中心抗震等级、自然环境安全风险防控等。
介绍灾备中心保障日常运维所配备生活设施情况,包括但不限于人员宿舍、食堂、活动室等。
21.
拥有灾备中心运行所需工作环境,包括但不限于计算机机房、主操作室、通讯机房、介质机房、信息系统设备测试维修机房等。
介绍灾备中心数据机房、主操作室、通讯机房、介质机房、信息系统设备测试维修机房等运行工作环境情况。
22.
4.
仅二级/一级要求:拥有至少2个在不同地域的可用于灾备中心的场地资源,抗震设防烈度按照国家规定的该地区抗震设防烈度执行,抗震设防类别为乙类及以上。
5.
仅一级要求:拥有至少2个在不同地域且处于不同的风险区域的:用于和可用于灾备中心IT运行区的高架地板面积不低于1000/2000/5000平米。
仅一级要求:用于灾备中心的场地应自有产权,或者签署有剩余期限不少于5年的长期租赁合同。
提供灾备中心的土地使用证或长期租赁合同。
16.
仅一级要求:至少采用园区保安、机房门卫、前台三重审核的外部保安措施。
灾备中心园区各个区域保安措施和安全管理方案。
17.
仅一级要求:灾备中心的所有通道、机房内均设置CCTV摄像头和7X24小时监控,并且可以按照客户的要求提供更长的保存期限。
灾备中心详细地址、产权关系,提供灾备中心IT运行区的高架地板建筑和使用面积等。
7.
机房设置7×24小时门禁系统,所有进入机房的外部人员均需获得授权。
介绍灾备中心机房门禁管理制度和访问控制程序。
8.
提供7×24小时闭路电视监控,其中公共区域的监控数据保留1个月以上,机房区域的监控数据保留2个月以上。
灾备中心配备监控设备、监控影像数据保存要求。
灾备中心监控区域分布、人员值守情况,视频数据保存管理要求。
18.
资源服务类(A类)要求-灾备中心基础设施要求
拥有灾备中心基础保障设施,包括但不限于供配电设施、空调暖通设施、给排水设施、监控设施、货运设施等,并定期检查。
介绍灾备中心供配电设施、空调暖通设施、给排水设施、监控设施、货运设施等基础保障设施的配备情况,提供基础保障设施检查和巡检制度和措施。
提供灾备中心机房建设情况;提供灾备中心机房环境达到相应要求的证明材料。
13.
仅一级要求:灾备中心应符合环保要求,采用高效新风换气系统,机房内正压,确保机房洁净度。
14.
仅二级/一级要求:具备气体灭火的消防系统,并具备早期报警系统/温感和烟感系统两级报警。
灾备中心机房气体灭火消防系统设施配置情况。
15.
25.
仅二级/一级要求:建立并运行基础设施日常巡检、监控、检查、维护、性能和容量管理、系统优化、应急与故障演练制度和流程。
灾备中心基础设施巡检、监控、检查、维护、性能和容量管理制度,应急与故障演练制度和流程,包括但不限于灾备中心运维整体规划、运维管理层制度、实施层制度和操作层制度等。
26.
仅二级/一级要求:具备双路高压供电和双路UPS供电,拥有后备发电机组,并能在UPS后备时间内提供电力供应,满足全部负荷连续运行48小时以上。