ISCCC-QOT-0428信息安全服务资质自表-风险类
服务资质认证自评估表填写规范
编码:ISCCC-QOG-0406-B/0服务资质认证自评估表填写规范发布/修订日期:2017 年9 月 1 日生效日期:2017 年 9月 1日主责处室:体系与服务认证部批准:张剑中国信息安全认证中心ISCCC-QOG-0426-B/0 服务资质认证自评估表填写规范程序文件修改记录序号 文件代码 修改章节 文件更改通知单编号 修改日期 修改人 批准人 1 B/0 新增 2017.8 翟亚红 张剑服务资质认证自评估表填写规范1目的对自评估表填写进行规范,确保申请组织的自评价材料基本信息清晰明了。
2适用范围适用于所有服务资质申请企业。
3职责申请组织相关人员填写自评估表。
4服务资质认证自评估表填写过程4.1公共管理自评估表填写规范4.1.1、财务资信填写内容包含以下信息:所提供的财务审计或者财务报告的年份,对于财务审核报告需填写所出具的会计事务所名称,需填写收入、净利润等信息。
4.1.2、办公场所填写内容包含以下信息:房屋产权证或房屋租赁合同;产权人/出租人、地址、面积、租期。
4.1.3、人员能力填写内容包含以下信息:1)填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
2)填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
3)填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
4)填写信息安全服务人员数量,养老保险证明出具单位及出具时间,劳动合同的签订时间及有效期。
5)信息安全专业保障人员认证证书,填写获证人员名称、证书编号、发证日期、有效期。
6)填写项目经理人员数量,人员的名称、证书名称、证书编号等。
4.1.4、业绩填写内容包含以下信息:1)填写首个信息安全服务(与申报类别一致)项目名称、合同签订时间、项目验收时间。
2)填写近三年信息安全服务项目(与申报类别一致)名称、合同金额、合同签订时间、验收时间、项目服务内容等。
4.1.5、服务管理填写内容包含以下信息:1)填写人员管理程序,内容应包含岗位职责,人员任前、中、后的监督、考核、评价、奖惩方式,信息安全服务相关技术岗位的能力指标。
信息安全服务资质认证自评估表-公共管理
48.
中国信息安全认证中心 制
第 9 页 共 9 页
序 号
自评估 结论 要点 条款 需提供证明材料 符 合 不 符 合 证明材料清单
1.
仅适用于初次认证 财务审计报告或(仅限于三级)加盖 近3年经营状况良好,财务数据真实可 本单位公章的财务报表(近 3 年) 。 信,应提供在中华人民共和国境内登记 注册的会计师事务所出具的近 3年财务 财务资信 审计报告。 要求 监督审核: 应提供在中华人民共和国境内登记注 册的会计师事务所出具的近1 年财务审 计报告。
36.
申请一级 资质条件
37. 38.
以下内容适用于年度监督 近一年业务发展情况,签订、完成的 项目数量及情况,项目经验及教训
业绩情况
业绩情况
中国信息安全认证中心 制
第 7 页 共 9 页
ISCCC-QOT-0432-B/2
信息安全服务资质认证自评估表-公共管理
序 号
自评估 结论 要点 条款 需提供证明材料 符 合 等。 不 符 合 证明材料清单
8.
9.
10. 技术工具 要求 11.
用于信息安全服务的主要软、硬件工 具清单;工具管理程序和要求;有自 主开发产品或工具,并在安全服务项 目中实际应用,需详细介绍,提供产 品销售许可证或软件著作权证书。 提供首个信息安全服务(与申报类别 一致)项目合同,其中包括但不限于 项目名称、合同签订时间、项目验收 时间。 信息安全服务项目(与申报类别一 致)合同及验收报告,项目清单包括 但不限于项目名称、合同金额、签订 时间、验收时间、项目数量、服务内 容等,提交申请书时间为截止时间。
客户投诉制度建设,投诉及处理情况
上一年度提出的观察项跟踪验证情况(如有)
信息系统安全运维服务资质认证自评价表-中国信息安全认证中心
信息系统安全运维服务资质认证自评估表
度提出的观察项跟踪验证情况(如有)度提出的不符合项跟踪验证情况(如有)
ISCCC-QOT-0434-B/2 信息系统安全运维服务资质认证自评估表自评估结论:
经自主评估,本单位的信息系统安全运维服务资质满足ISCCC-SV-001:2015《信息安全服务资质认证实施规则》级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
中国信息安全认证中心第7 页共7 页。
信息安全服务资质认证自评估表-公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
如独立法人实体的一个部门或部分,经法人批准成立,法人实体能为申请人开展的活动承担相关的法律责任的文件(法人签字盖章)。
(提供企业在国家企业信用信息公示系统中的基础信息截图)
2.
法律地位要求
遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
提供企业在国家企业信用信息公示系统()上的企业信用信息。
三级初次申报不填此项
10.
服务管理要求
建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。
提供服务人员管理程序,及安全服务人员的岗位职责、技术能力要求,并提供评价证明其能够胜任其承担的职责。
11.
制定服务人员能力培养计划,包括网络与信息安全相关的技术、技能、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。
保密管理程序建立及落实情况,包括保密范围、保密方式、保密时效、保密责任主体、罚则。提供组织与管理层、技术负责人及项目实施人员签订的保密协议。关键岗位离职人员签订离职保密协议。提供保密教育培训记录。
13.
二级:4.2.6 c)配备档案室及高安全性的文件服务器。
提供配备档案室及高安全性的文件服务器的证据。
14.
一级:4.3.6 c)配备档案室及高安全性的文件服务器,至少近两年的项目在文件管理系统中进行管理。
信息安全服务资质自表-风险类-中国信息安全认证中心
CCRC-QOT-0428-B/4信息安全风险评估服务资质认证自评估表信息安全风险评估服务资质认证自评估表组织名称评估时间序要点号条款申报级别评估部门 /人员自评估结论需提供证明材料不证明材料清单符符合合按照相关标准建立的信息安全风险1.2.3.4. 服务技术要求基本资格建立信息安全风险评估服务流程。
制定信息安全风险评估服务规范并按照规范实施。
仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在 1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。
仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在 10,000 以上;具备从管理和技术层面对脆弱性进行识别的能力。
评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
已制定的信息安全风险评估服务规范。
一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。
一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。
序要点号5.6.7.8.9.10.准备阶段- 11.服务方案制定12.13.条款仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在 100,000 以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。
仅三级要求:具备跟踪信息安全漏洞的能力仅二级要求:具备跟踪、验证信息安全漏洞的能力。
仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。
编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。
应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。
仅二级 / 一级要求:应进行充分的系统调研,形成调研报告。
仅二级 / 一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。
仅二级 /一级要求:应形成较为完整的需提供证明材料5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。
ISCCC-QOT-0408 信息安全服务资质认证现场审核计划表
现场审核计划表
项目编号
受审核方名称
受审核类别
级别
审核类型
安全集成
一级二级三级
□初次□年监审 □升级□其他
风险评估
一级二级三级
□初次□年监审 □升级□其他
应急处理
一级二级三级
□初次□年监审 □升级□其他
灾难备份与恢复
一级二级三级
□初次□年监审 □升级□其他
软件安全开发
一级二级三级
□初次□年监审 □升级□其他
1.确认本审核计划;
2.确定负责配合现场审核工作的人员;
3.提供现场审核活动需要的资源,并承担现场审核活动发生的交通费和食宿费用;
4.本审核计划提供的详细程度应反映审核范围及复杂程度,任何修改应征得各方同意后方可实施。
审核组长:
受审核方:
签字:
日期:
签字:
日期:
□ISCCC-ISV-C01:2017《信息安全服务 规范》对服务级资质要求和过程能力要求的全部要素。
□ISCCC-ISV-Cห้องสมุดไป่ตู้1:2017《信息安全服务 规范》对服务级资质要求和过程能力要求的全部要素。
审核依据
□ISCCC-ISV-C01:2017《信息安全服务 规范》;
□适用法律法规;
□其他信息安全服务相关管理制度、技术规范等。
安全运维
一级二级三级
□初次□年监审 □升级□其他
基本信息
受审核方地址
邮编
受审核方
联系人
电话
手机
邮箱
传真
项目管理人员
电话
手机
邮箱
传真
审核组成员
代号
组内职务
姓 名
信息安全服务资质应急处理类自评估表
信息安全服务资质应急处理类自评估表————————————————————————————————作者: ————————————————————————————————日期:ﻩ信息安全应急处理服务资质认证自评估表组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.服务技术要求建立信息安全应急处理服务流程。
按照相关标准建立的信息安全应急处理服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.制定信息安全应急处理服务规范并按照规范实施。
已制定的信息安全应急处理服务规范。
3.准备阶段明确客户的应急需求。
应急服务内容,已完成项目中对客户应急需求进行调研分析的证明材料。
4.了解客户应急预案的内容。
需对客户自身已建立的应急预案的内容进行了解与熟悉(客户应急预案的内容)。
5.配备有处理网络或信息安全事件的工具包,包括常用的系统命令、工具软件等。
工具包及工具列表6.仅二级/一级要求:网络与信息安全事件序号要点条款需提供证明材料自评估结论证明材料清单符合不符合工具包中应配备专业技术检测设备。
7.工具包应定期更新。
工具包更新记录。
8.配备应急处理服务人员。
服务人员列表、专业资质证书。
9.对在应急处理服务过程中可能会采取的操作、处理等行为,获得用户的书面授权。
用户出具的书面授权书。
10.仅二级/一级要求:在客户应急需求基础上制定应急服务方案。
应急服务方案(模板和实际服务项目方案),应急服务方案中应涵盖客户自身建立的应急预案内容。
协助客户建立的应急预案。
11.仅二级/一级要求:应急服务方案应涉及客户应急预案的启动与执行。
12.仅二级/一级要求:若客户未建立应急预案,可协助客户建立。
13.仅二级/一级要求:对工具包实行制度化管理。
工具包管理制度及执行记录。
14.三级/二级/一级分别要求:可提供本地2小时/本地1小时、外地8小时/本地7X24小时、外地4小时应急响应服务能力。
信息安全风险服务资质认证自表填写
中国信息安全认证中心 制
第 1 页 共 12 页
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
组织名称 评估时间
XX 公司(全称) XX 年 X 月 X 日-X 月 X 日
申报级别
X级
评估部门/人员 XX 部/XX
自评估
序 要点
号
条款
需提供证明材料
结论 不
符 符
合 合
行业类型:
中国信息安全认证中心 制
第 2 页 共 12 页
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
自评估
序 要点
号
条款
需提供证明材料
结论 不
符 符
合 合
证明材料清单
该系统的用户数在 10,000 以上;具备从 脆弱性识别的材料。
系统规模(用户数):
管理和技术层面对脆弱性进行识别的
用户数在 100,000 以上;具备从业务、 层面对脆弱性进行识别的材料。
行业类型: 系统规模(用户数): 合同签订时间:
管理和技术层面对脆弱性进行识别的
项目验收时间:
能力。
合同金额:
3.项目名称:
行业类型:
系统规模(用户数):
合同签订时间:
项目验收时间:
合同金额:
中国信息安全认证中心 制
第 3 页 共 12 页
证明材料清单
提供《信息安全风险评估服务流程》(包含 XX 阶段、XX
阶段、XX 阶段、XX 阶段),对每个阶段的目标、角色、
1.
建立信息安全风险评估服务流程。 服务技术
要求
按照相关标准建立的信息安全风险 评估服务流程,流程图中应包括每个 阶段对应的职责、输入输出等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
组织名称
申报级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
服务技术要求
建立信息安全风险评估服务流程。
按照相关标准建立的信息安全风险评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定信息安全风险评估服务规范并按照规范实施。
已制定的信息安全风险评估服务规范。
威胁分类清单。
27.
应识别所评估信息资产存在的潜在威胁;
已完成项目中的威胁识别清单。
28.
应识别威胁利用脆弱性的可能性;
已完成项目中分析威胁利用脆弱性可能性的证明材料。
29.
应分析威胁利用脆弱性对组织可能造成的影响。
已完成项目中分析脆弱性发生对组织造成影响的证明材料。
30.
仅二级/一级要求:应识别出组织和信息系统中潜在的对级要求:需采取相关措施,保障工具管理的规范性。
已制定的工具管理制度及执行记录。
17.
风险识别阶段-资产识别
参考国家或国际标准,对资产进行分类。
参照已发布的标准,形成的资产分类列表。
18.
识别重要信息资产,形成资产清单。
已完成项目的重要资产清单。
19.
对已识别的重要资产,分析资产的保密性、完整性和可用性等安全属性的等级要求。
6.
仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。
跟踪、验证、挖掘信息安全漏洞的证明材料。
7.
准备阶段-服务方案制定
编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。
信息安全风险评估方案、风险评估模板。
8.
应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。
已完成项目的风险评估方案,方案中应包含风险评价原则。
已完成项目中对组织和信息系统造成的潜在威胁进行分析的证明材料。
31.
仅一级要求:采用多种方法进行威胁调查。
已完成项目中采取多种威胁调查方法的证明材料。
32.
风险识别-已有安全措施确认
应识别组织已采取的安全措施;
已完成项目中的已识别的安全措施列表。
33.
应评价已采取的安全措施的有效性。
已完成项目中分析安全措施有效性的证明材料。
11.
仅二级/一级要求:应形成较为完整的风险评估实施方案。
12.
准备阶段-人员和工具管理
应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。
已完成项目的风险评估方案中对风险评估实施团队成员及团队构架的介绍。
13.
应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。
34.
风险分析阶段-风险分析模型建立
应构建风险分析模型。
已完成项目的风险评估报告中对风险分析模型的描述,并验证其可行性、科学性。
35.
应根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。
已完成项目的风险评估报告中,对威胁、脆弱性及安全措施分析的描述。
36.
应根据分析模型确定的方法计算出风险值。
一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。
5.
仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。
5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。
已完成项目的风险评估报告中对风险计算方法的描述,计算得出风险值的过程。
37.
仅二级/一级要求:构建风险分析模型应将资产、威胁、脆弱性三个基本要素及每个要素各自的属性进行关联。
已完成项目的风险评估报告中对资产、威胁、脆弱性三个基本要素进行关联的证明材料。
38.
风险分析阶段-风险计算方法确定
仅二级/一级要求:在风险计算时,应根据实际情况选择定性计算方法或定量计算方法。
风险识别阶段-脆弱性识别
应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技术脆弱性列表。
已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。
25.
应对脆弱性进行赋值。
已完成项目的脆弱性赋值列表。
26.
风险识别阶段-威胁识别
应参考国家或国际标准,对威胁进行分类;
3.
基本资格
仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。
一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。
4.
仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。
22.
仅一级要求:根据业务特点和业务流程识别出关键数据和关键服务。
已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。
23.
仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。
24.
已完成项目的重要资产的三性等级要求列表。
20.
对资产根据其在保密性、完整性和可用性上的等级分析结果,经过综合评定进行赋值。
已完成项目的重要资产赋值表。
21.
仅一级要求:识别信息系统处理的业务功能,重点识别出关键业务功能和关键业务流程。
已完成项目中识别信息系统、以及业务系统承载的业务、业务流程的证明材料。
14.
应对评估团队实施风险评估前进行安全教育和技术培训。
项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。。
15.
仅二级/一级要求:需采取相关措施,保障工具自身的安全性、适用性。
工具的安全测试证明材料;定期或工具软件有重大版本变更时,对工具软件进行适用性确认的测试记录。
9.
仅二级/一级要求:应进行充分的系统调研,形成调研报告。
已完成项目的系统调研报告,报告中对被评估对象有清晰的描述。
10.
仅二级/一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。
已完成项目的风险评估实施方案中应根据目标及调研结果,明确评估依据和评估方法,评估依据和评估方法符合国家标准、行业标准及相关要求。