认证中心软件开发安全自评估表

合集下载

信息安全服务资质认证自评估表-公共管理

信息安全服务资质认证自评估表-公共管理
填表说明：
1、申请三级信息安全服务资质认证时，仅需填写该自评估表。

2、申请一、二级服务资质认证时，该自评估表与申报具体的服务类别自评估一并使用，单个文档不作为自评估支撑材料。

申报多个服务类别且级别不同时，按照申请的最高级别服务资质认证的管理要求填写。

3、表中要求的所有程序文件均已发布实施。

自评估结论：
本单位郑重承诺，《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信，且均可提供相应证明材料。

经自主评估，本单位的信息安全服务资质满足《信息安全服务规范》要求，申请第三方审核。

信息系统安全集成服务资质认证自评估表

需提供证明材料
自评估结论不
符合符
合
项目方案设计阶段控制程序文件，内容应覆盖审核条款的要求。提供自主开发的信息安全产品、平台和工具清单。
项目建设实施阶段控制程序文件，包括工作内容、过程、方法、文档模板，内容应覆盖审核条款的要求。提供项目施工记录。
项目建设实施阶段控制程序，覆盖审核条款要求。提供沟通方案。
技能培训。
仅一级要求：结合项目需要，编制安全
15.
集成项目施工手册和作业指导书。
仅一级要求：对于新建系统，建设实施
过程应重点关注信息系统的功能、性能
和安全性等方面要求。对于系统改造，
16.
还应考虑改造前技术测试验证及在实
施失败后的回退措施。技术测试验证需
要考虑新旧系统的兼容问题，包括网络
兼容、系统兼容、应用兼容等。
审核条款要求。
安全需求。
仅二级 / 一级要求：基于客户需求和投入能力，开展需求分析，编制需求分析
报告。
仅一级要求：协助客户有效识别系统建设过程中的政策、法律和约束条件，有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
根据系统建设安全需求，编制安全集成
技术方案。依据技术方案，编制安全集成实施方案，明确项目人员、进度、质量、沟通、风险等方面要求。结合技术方案和实施方案，与客户进行
建设实施 - 人，畅通信息沟通渠道，保障各相关方
20. 实施集成
在项目实施过程中能够有效充分的沟
通。
仅二级 / 一级要求：产品、设备安装调 21.
试过程中，应完整妥善记录相关信息。
仅二级 / 一级要求：项目建设施工完成 22.

tisax isa自评估表

tisax isa自评估表TISAX（Trusted Information Security Assessment Exchange）是一种全球性的信息安全自评估方法和工具，旨在帮助组织评估和改进其信息安全管理系统，以满足汽车行业的安全要求。

ISA（Information Security Assessment）即为信息安全自评估表，是TISAX的一部分。

本文将对TISAX ISA自评估表进行介绍和解读。

TISAX ISA自评估表是TISAX评估的核心工具之一，用于组织自行评估其信息安全管理系统的合规性和有效性。

通过填写和提交ISA自评估表，组织可以了解其信息安全管理体系的强弱之处，并基于评估结果采取相应的改进措施。

ISA自评估表共分为12个主题，分别覆盖了信息安全管理体系的各个方面。

以下是对每个主题的简要介绍：1. Information Security Organization（信息安全组织）：评估组织内部信息安全的组织架构和责任分配情况。

2. Information Security Policies（信息安全政策）：评估组织是否建立并有效实施了针对信息安全的政策和程序。

3. Human Resources Security（人力资源安全）：评估组织对员工的信息安全培训和管理等方面的工作。

4. Asset Management（资产管理）：评估组织对信息资产的分类、保护和管理情况。

5. Access Control（访问控制）：评估组织对访问控制措施的建立和执行情况，以确保系统和数据的安全性。

6. Cryptographic Controls（加密控制）：评估组织是否正确使用加密技术保护敏感数据和通信。

7. Physical and Environmental Security（物理和环境安全）：评估组织对物理环境的安全措施，包括设备和机房的安全保护。

8. Operations Security（运营安全）：评估组织的安全管理过程和手段，包括事件管理、变更管理等方面。

信息系统安全集成服务资质认证自评估表

信息系统安全集成服务规范。
3・
4.
5.
6.
集成准备・需求调研与分析
调研客户背景信息，采集系统建设需求和建设目标，明确系统功能、性能及安全性要求。
准备阶段控制程序文件，包括明确工作内容、流程、方法、文档模板，内容至少包括需求调研、分析、评审，产品选型，财务预算。提供投标文件、项目文档等证明。
仅一级要求：对于新建系统，建设实施过程应重点关注信息系统的功能、性能和安全性等方而要求。对于系统改造，还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需要考虑新旧系统的兼容问题，包括网络兼容、系统兼容、应用兼容等。
序号
17.
要点
条款
需提供证明材料
自评估结论
证明材料清单
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门从员
序号
要点
条款
需提供证明材料
自评估
结论
证明材料清单
符合
不符合
1・
2.
技术服务要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程，流程图中应包括每个阶段对应的职责、输入输岀等。
制左信息系统安全集成服务规范并按照规范实施。
审核条款要求。
仅二级/一级要求：基于客户需求和投入能力，开展需求分析，编制需求分析报告。
仅一级要求：协助客户有效识别系统建设过程中的政策、法律和约束条件，有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
9.
10.
11.
12.
方案设计
根据系统建设安全需求，编制安全集成技术方案。

ISCCC-QOT-0459-B1信息安全服务资质自评估表-安全运维类(试用版)

√
网站安全预警监测报告、监控平台问题原始记录
18.
仅二级要求：对信息安全事件进行统计与分析。
信息安全事件的统计表，分析报告；
信息系统的可用性事件、计划、报告；
安全运维角色清单。
19.
仅二级要求：编写安全运维服务目录，目录内容包括但不限于：运维监控与分析、终端安全监控、等级保护合规性运维。
安全运维服务目录，内容应包含有条款的要求。
√
管理数据库
28.
专业人员负责安全管理的接口。
完整的配置数据库，能初步收集资产与配置项，并确保配置项目的机密性、完整性、可用性。
√
管理数据库，专业人员负责管理安全接口
29.
建立服务目录。
安全运维服务目录。
√
网站安全监控服务白皮书
30.
20.
仅二级要求：建立信息系统安全运维的问题管理程序。
信息系统问题管理程序，已审批并发布。
21.
仅二级要求：建立知识管理程序及初步形成知识库。
知识管理程序，已审批并发布。
22.
仅二级要求：编制信息系统的可用性计划，监控可用性事件，报告可用性执行，指导可用性的改进。
信息系统的可用性事件、计划、报告。
23.
信息系统安全
组织名称
沈阳赛宝科技服务有限公司(辽宁省信息安全与软件测评认证中心)
申报级别
一级
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
准备阶段—需求调研与分析
采集客户对信息系统运维服务时间的需求。
运维前的客户需求调查报告，可结合结合业务部门，公司高层的战略规划，内容必须有服务时间要求。

员工安全自我评估表格

员工安全自我评估表格以下是一个员工安全自我评估表格的例子：员工安全自我评估表格日期：________________请根据以下指标进行评估，并在每个项目后面选择适当的选项。

1. 工作场所安全设施：a. 紧急出口标识清晰易读。

- 是- 否b. 紧急出口通道畅通无障碍。

- 是- 否c. 紧急报警设备正常运行。

- 是- 否2. 个人保护装备（PPE）：a. 我理解并且正确使用了适当的个人保护装备。

- 是- 否b. 我的个人保护装备处于良好状态，并及时更换。

- 是- 否3. 工作操作安全：a. 我按照安全操作规程进行工作。

- 是- 否b. 我遵守工具和设备的正确使用方法。

- 是- 否c. 我与同事合作，并及时向他们提供帮助，以确保工作安全。

- 是- 否4. 紧急事件应急准备：a. 我知道公司的紧急撤离程序。

- 是- 否b. 我知道如何使用灭火器和其他紧急设备。

- 是- 否c. 我知道公司的紧急联系人及其联系方式。

- 是- 否请根据上述指标选择适当的选项，然后进行总结评估。

总结评估：请在以下方框中对您的员工安全进行评估：- 优秀：所有指标都达到或超过要求。

- 良好：大部分指标达到或超过要求。

- 一般：一些指标未达到要求。

- 需改进：大多数指标未达到要求。

评估结果：_____________________备注/建议：_____________________________________________________请注意，在此表格中选择"否"的任何项目都需要提供额外的解释或行动计划。

请签字确认：员工姓名：_____________________签字：_____________________日期：_____________________。

安全性评估表格

安全性评估表格
安全性评估表格通常包含以下几个方面的内容：
1. 安全风险评估：对系统、应用程序或设备中可能存在的安全风险进行评估，包括物理风险、网络风险、数据安全风险等。

2. 安全威胁分析：对系统、应用程序或设备可能面临的各种安全威胁进行分析，包括黑客攻击、恶意软件、社会工程等。

3. 安全控制措施：列出已经实施或将要实施的各种安全控制措施，包括访问控制、加密、防火墙、入侵检测系统等。

4. 安全漏洞和风险评估：对系统、应用程序或设备中可能存在的安全漏洞和风险进行评估，包括弱密码、未更新的软件、不安全的配置等。

5. 安全事件响应计划：制定一份安全事件响应计划，明确安全事件发生时的应对措施和责任分工。

6. 安全培训与意识：列出为员工提供的安全培训计划，包括安全意识培训、网络安全培训等。

7. 安全政策与合规性：列出组织的安全政策和合规性要求，并评估其与实际情况的符合程度。

8. 安全审计与监测：制定一套安全审计和监测机制，确保对系统、应用程序或设备的安全管理和监控。

以上是一个安全性评估表格的基本内容，可以根据具体的需求和情况进行适当的调整和补充。

软件安全开发服务资质认证自评价表

编码。
措施文档。
软件代码要经过安全检查、评审，对于提供代码检查、评审、漏洞修复过程的相
发现的漏洞能有效修复。
关文档。
仅二级/一级要求：软件代码要经过安全
检查、评审，对于发现的漏洞能有效修代码检查、评审相关记录。
复，且形成记录。
仅一级要求：采用代码检查工具实施安代码检查工具的使用情况说明文档。全审查。
理、归档安全性的详细设计。
详细设计说明书，内容应覆盖审核条款的
要求。
仅一级要求：依据安全要求和设计方案，
明确基于软件安全威胁的详细设计。
制定统一的代码安全编码规范,确保开安全编码规范文件，内容应覆盖审核条款
发人员参照规范安全编码。
的要求。
依据详细设计说明书，对软件进行安全提供编码过程中采取的安全编码方法与
急响应服务保障团队。
预案；应急保障团队人员组织构成和职责
仅二级/一级要求：及时应对突发事件，规定文件；应急事件记录。
并向用户提供故障事件解决报告。
仅一级要求：建立软件健康检查计划、方案，定期实施，提交相应的系统健康检查报告、巡检报告。仅一级要求：根据健康检查报告进行分析，持续优化系统。
健康检查计划、方案、系统健康检查报告、巡检报告，内容应覆盖审核条款的要求。
安全要求，制定脆弱性测试方案，对安
全漏洞进行测试，形成测试记录。
仅二级/一级要求：提供系统测试报告和系统测试报告和安全方面分析报告。
安全方面分析报告。
仅一级要求：基于软件项目的安全要求，渗透性测试方案、测试记录和测试报告，
制定系统渗透性测试方案，模拟攻击场内容应覆盖审核条款的要求。景，对系统安全性进行测试。
开发过程管控措施。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

组织名称
评估时间
序要号点
软件安全开发服务资质认证自评估表
申报级别评估部门/人员
条款
需提供证明材料
自评估结论
证明材料清单
中
国
信
息
安
全
认
证
中
心
制
第 1 页共 22 页
不符符合合
软件安全开发服务流程，
建立软件安全开发服务
1服.
流程图中应包括每个阶段对
流程。
务技术
应的职责、输入输出等。
别和综合分析软件项目在可
18. 用性、完整性、真实性、机密
需求分析报告，内容应
性、不可否认性、可控性和可覆盖条款的要求。
靠性等方面的安全需求。
19.
仅二级/一级要求：对于数
中
国
信
息
安
全
认
证
中
心
制
第 7 页共 22 页
据采集、产生、使用，明确识
别安全保护要求。
仅二级/一级要求：基于客
户需求，开展需求分析，编制
20.
具有软件安全需求的分析报
告。
仅二级/一级要求：需求分
21. 析报告中明确项目开发中使
用的安全技术标准、规范。
仅一级要求：应基于软件
22.
安全威胁开展需求分析。
中
国
信
息
安
全
认
证
中
心
制
第 8 页共 22 页
仅一级要求：基于软件项
23. 目需求分析建立软件安全开
发模型。
根据软件项目需求，编制
24.
计说明书应明确数据完整性
27. 和保密性、通信完整性和保密
设性、软件容错、资源控制等安
设计阶段控制程序文件；
计阶段- 全功能要求。
提供概要设计说明书，内容
概要设
仅一级要求：概要设计说
应覆盖条款的要求。
计 28. 明书中应明确基于软件安全
威胁分析的安全要求。
仅一级要求：当开发场景
29.
适用时，概要设计说明书中应
项目人员构成表或其他
能体现项目组成员构成的文
仅二级/一级要求：配备专
11.
档，设立专职的软件安全管
职的测试人员。
理人员、测试人员，并明确描
述其职责。
仅二级/一级要求：建立独开发环境与测试环境配
12. 立的测试环境，确保测试环境置的说明文档。
与开发环境隔离。
13.
仅一级要求：建立软硬件
软硬件设备及工具安全
要求
2.
制定软件安全开发服务
软件安全开发服务规范
规范并按照规范实施。
并按照规范实施。
准
3.
备阶段
建立软件项目安全开发
项目人员构成表或其他
团队，明确各岗位、人员、职能体现项目组成员构成的文
责。
档，其中明确项目组成员构
中
国
信
息
安
全
认
证
中
心
制
第 2 页共 22 页
成情况以及安全开发人员的
角色及职责。
细设计。
3编2.
制定统一的代码安全编
软件开发所使用语言的
中
国
信
息
安
全
认
证
中
心
制
第 11 页共 22 页
码阶段码规范，确保开发人员参照规安全编码规范，规范内容包
范安全编码。
括但不限于代码安全编写的
原则、方式、方法等。
在编码过程中，对规避
依据详细设计说明书，对
33.
高危风险的漏洞采取的方法
软件进行安全编码。
仅二级/一级要求：建立软风险管理制度、风险管
9. 件安全开发项目风险管理机理计划、风险分析报告。
制，对软件项目进行风险评估。
10.
仅二级/一级要求：使用配
配置管理计划，其中描
中
国
信
息
安
全
认
证
中
心
制
第 4 页共 22 页
置管理工具对软件项目进行述采用的配置管理工具；配置
配置管理。
管理工具的使用情况介绍。
或措施的文档或记录。
软件代码要经过安全检
代码安全检查、评审记
34. 查、评审，对于发现的漏洞能录，对发现的漏洞，提供漏洞
有效修复。
修复与验证记录。
仅二级/一级要求：软件代
代码检查、审核相关记
35.
码的安全检查、评审工作应形录。
中
国
信
息
安
全
认
证
中
心
制
第 12 页共 22 页
成记录。
仅一级要求：采用自动化
中
国
信
息
安
全
认
证
中
心
制
第 10 页共 22 页
明确抗抵赖、安全标记、可信路
径等安全功能要求。
仅二级/一级要求：详细设
计说明书中应包含对数据产
30.
设生、传输、存储、使用、处理和
计阶段- 归档安全方面的详细设计。
详细设计说明书，内容
详细设
仅一级要求：依据安全要应覆盖条款的要求。
计
31.
求和概要设计说明书，明确基于软件安全威胁分析进行详
需求阶段项目文档，包括可项目需求，明确软件功能、性
行性报告、招标文件、需求分能及安全方面的要求。
析报告等，需求文档的内容
中
国
信
息
安
全
认
证
中
心
制
第 6 页共 22 页
应涉及软件功能、性能及安
全性要求。
结合软件项目需求、安全
17. 需求，与客户充分沟通，达成
与客户沟通的记录。
共识并形成记录。
仅二级/一级要求：准确识
软件设计说明书。
2设5. 计阶段
软件设计说明书明确系设计阶段控制程序文件；
统/子系统的功能和非功能设提供软件设计说明书，内容
计要求。应覆盖条款的要求。
软件设计说明书明确包
26. 含安全功能要求，包括标识与
鉴别、访问控制、安全审计和
中
国
信
息
安
全
认
证
中
心
制
第 9 页共 22 页
安全管理等。
仅二级/一级要求：概要设
工具对代码安全漏洞进行审
代码检查工具的检查结
36.
查，对于发现的漏洞能有效修果记录/报告。
复，并形成审查报告。
测
37.
试阶段
测试方案、测试计划，提依据软件设计说明书对软件
供软件功能测试、安全性测功能、安全功能进行测试。
试记录与报告。
对测试发现的漏洞进行
漏洞发现、分析与修复
制定软件项目安全开发项目开发计划，计划中
4. 管理计划，明确开发过程管控应包含安全开发的内容。
措施。
建立软件开发的配置管
项目配置管理计划，包
5. 理计划，明确配置管理的安全含安全相关活动。提供配置
要求。
管理相关记录。
建立变更控制制度，明确
变更控制管理制度，提
6. 软件项目变更控制的安全要供项目变更控制记录，变更
求。
的记录单，记录单中的内容
中
国
信
息
安
全
认Байду номын сангаас
证
中
心
制
第 3 页共 22 页
应包含变更申请，审批，执行，
执行后的评价结果。
制定软件项目安全培训培训管理制度，项目培
7. 计划，对相关人员进行安全培训计划和培训记录。
训。
建立独立的开发环境，确保开
开发环境与运行环境配
8.
发环境与运行环境隔离。
置的说明文档。
中
国
信
息
安
全
认
证
中
心
制
第 5 页共 22 页
设备和工具等资源安全使用使用规范；软硬件设备及工具
规范。
资源配备计划。
安全管理专职人员的任
仅一级要求：配备安全管
14.
命文件，项目相关的安全监
理人员。
控记录。
仅一级要求：建立变更控
变更控制委员会成员构
15.
制委员会。
成与职责规定文件。
需
16.
求阶段
需求阶段控制程序文件；调研项目背景信息，收集