信息系统安全运维服务资质认证自表
信息安全服务资质认证自评估表公共管理
信息安全服务资质认证自评估表公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请【一】二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的治理要求填写。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共治理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。
信息安全服务资质自表-风险类-中国信息安全认证中心
CCRC-QOT-0428-B/4信息安全风险评估服务资质认证自评估表信息安全风险评估服务资质认证自评估表组织名称评估时间序要点号条款申报级别评估部门 /人员自评估结论需提供证明材料不证明材料清单符符合合按照相关标准建立的信息安全风险1.2.3.4. 服务技术要求基本资格建立信息安全风险评估服务流程。
制定信息安全风险评估服务规范并按照规范实施。
仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在 1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。
仅二级要求:针对多种类型组织,多行业组织,至少完成一个风险评估项目,该系统的用户数在 10,000 以上;具备从管理和技术层面对脆弱性进行识别的能力。
评估服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
已制定的信息安全风险评估服务规范。
一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。
一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。
序要点号5.6.7.8.9.10.准备阶段- 11.服务方案制定12.13.条款仅一级要求:能够在全国范围内,针对5个(含)以上行业开展风险评估服务;至少完成两个风险评估项目,该系统的用户数在 100,000 以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。
仅三级要求:具备跟踪信息安全漏洞的能力仅二级要求:具备跟踪、验证信息安全漏洞的能力。
仅一级要求:具备跟踪、验证、挖掘信息安全漏洞的能力。
编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。
应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。
仅二级 / 一级要求:应进行充分的系统调研,形成调研报告。
仅二级 / 一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。
仅二级 /一级要求:应形成较为完整的需提供证明材料5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术层面对脆弱性进行识别的材料。
信息系统安全集成服务资质认证自评估表
3・
4.
5.
6.
集成准备・ 需求调研 与分析
调研客户背景信息,采集系统建设需求 和建设目标,明确系统功能、性能及安 全性要求。
准备阶段控制程序文件,包括明确工 作内容、流程、方法、文档模板,内 容至少包括需求调研、分析、评审, 产品选型,财务预算。提供投标文件、 项目文档等证明。
仅一级要求:对于新建系统,建设实施 过程应重点关注信息系统的功能、性能 和安全性等方而要求。对于系统改造, 还应考虑改造前技术测试验证及在实 施失败后的回退措施。技术测试验证需 要考虑新旧系统的兼容问题,包括网络 兼容、系统兼容、应用兼容等。
序 号
17.
要点
条款
需提供证明材料
自评估 结论
证明材料清单
信息系统安全集成服务资质认证自评估表
组织名称
申报级别
评估时间
评估部门从员
序 号
要点
条款
需提供证明材料
自评估
结论
证明材料清单
符 合
不 符 合
1・
2.
技术服务 要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程,流程图 中应包括每个阶段对应的职责、输入 输岀等。
制左信息系统安全集成服务规范并按 照规范实施。
审核条款要求。
仅二级/一级要求:基于客户需求和投 入能力,开展需求分析,编制需求分析 报告。
仅一级要求:协助客户有效识别系统建 设过程中的政策、法律和约束条件,有 效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险 评估报告。
9.
10.
11.
12.
方案设计
根据系统建设安全需求,编制安全集成 技术方案。
信息安全风险服务资质认证自表
如有你有帮助,请购买下载,谢谢! 1页 信息安全风险评估服务资质认证自评估表 组织名称 申报级别 评估时间 评估部门/人员
序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
符
合
不
符合
服务技术要求
建立信息安全风险评估服务流程。 按照相关标准建立的信息安全风险评估服务流程,流程图中应包括每个
阶段对应的职责、输入输出等。 制定信息安全风险评估服务规范并按照规范实施。 已制定的信息安全风险评估服务规
范。
基本资格 仅三级要求:至少有一个完成的风险评估项目,该系统的用户数在1,000以上;具备从管理或(和)技术层面对脆弱性进行识别的能力。
一个已完成项目的合同、用户数、验收的证明材料,包括管理或(和)技术层面脆弱性识别的材料。
仅二级要求:针对多种类型组织,多
行业组织,至少完成一个风险评估项目,该系统的用户数在10,000以上;具备从管理和技术层面对脆弱性进行识别的能力。 一个已完成项目的合同、用户数、验收的证明材料,包括管理和技术层面脆弱性识别的材料。
仅一级要求:能够在全国范围内,针
对5个(含)以上行业开展风险评估服5个已完成项目的合同、用户数、验收的证明材料,从业务、管理和技术 如有你有帮助,请购买下载,谢谢! 2页 务;至少完成两个风险评估项目,该系统的用户数在100,000以上;具备从业务、管理和技术层面对脆弱性进行识别的能力。 层面对脆弱性进行识别的材料。
仅三级要求:具备跟踪信息安全漏洞的能力 跟踪信息安全漏洞的证明材料
仅二级要求:具备跟踪、验证信息安全漏洞的能力。 跟踪、验证信息安全漏洞的证明材料
仅一级要求:具备跟踪、验证、挖掘
信息安全漏洞的能力。 跟踪、验证、挖掘信息安全漏洞的证明材料。
准备阶段-服务方案制定 编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。 信息安全风险评估方案、风险评估模板。 应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。 已完成项目的风险评估方案,方案中应包含风险评价原则。 仅二级/一级要求:应进行充分的系统调研,形成调研报告。 已完成项目的系统调研报告,报告中对被评估对象有清晰的描述。 仅二级/一级要求:宜根据风险评估目标以及调研结果,确定评估依据和评估方法。
信息安全风险服务资质认证自表
风险分析-风险评估报告
应向客户提供风险评估报告。
已完成的所申请资质级别要求的风险评估报告,报告中至少包括评估过程、评估方法、评估结果、处置建议等内容。
45.
报告应包括但不限于评估过程、评估方法、评估结果、处置建议等内容。
46.
仅二级/一级要求:风险评估报告中应对计算分析出的风险给予比较详细的说明。
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
50.
仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。
已完成项目的专家评审意见、整改措施及其总结。
51.
风险处置阶段-残余风险处置
仅一级要求:对组织提出完整的风险处置方案。
已完成项目的残余风险处置方案,方案至少包含处置措施、工具、时间计划等内容。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
.
9.
准备阶段-服务方案制定
编制风险评估方案、风险评估模板,并在项目实施过程中按照模板实施。
信息安全风险评估方案、风险评估模板。
10.
应为风险评估实施活动提供总体计划或方案,方案应包含风险评价原则。
已完成项目的风险评估方案,方案中应包含风险评价原则。
11.
仅二级/一级要求:应进行充分的系统调研,形成调研报告。
已完成项目的风险评估报告中对风险给予详细说明的证明材料。
47.
风险处置阶段-风险处置原则确定
仅二级/一级要求:应协助被评估组织确定风险处置原则,以及风险处置原则适用的范围和例外情况。
已完成项目的风险评估报告或建议报告中对风险处置原则及适用的范围和例外情况说明的证明材料。
信息安全风险服务资质认证自表填写
中国信息安全认证中心 制
第 1 页 共 12 页
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
组织名称 评估时间
XX 公司(全称) XX 年 X 月 X 日-X 月 X 日
申报级别
X级
评估部门/人员 XX 部/XX
自评估
序 要点
号
条款
需提供证明材料
结论 不
符 符
合 合
行业类型:
中国信息安全认证中心 制
第 2 页 共 12 页
ISCCC-QOG-0408-B/0
信息安全风险评估服务资质认证自评估表填写指南
自评估
序 要点
号
条款
需提供证明材料
结论 不
符 符
合 合
证明材料清单
该系统的用户数在 10,000 以上;具备从 脆弱性识别的材料。
系统规模(用户数):
管理和技术层面对脆弱性进行识别的
用户数在 100,000 以上;具备从业务、 层面对脆弱性进行识别的材料。
行业类型: 系统规模(用户数): 合同签订时间:
管理和技术层面对脆弱性进行识别的
项目验收时间:
能力。
合同金额:
3.项目名称:
行业类型:
系统规模(用户数):
合同签订时间:
项目验收时间:
合同金额:
中国信息安全认证中心 制
第 3 页 共 12 页
证明材料清单
提供《信息安全风险评估服务流程》(包含 XX 阶段、XX
阶段、XX 阶段、XX 阶段),对每个阶段的目标、角色、
1.
建立信息安全风险评估服务流程。 服务技术
要求
按照相关标准建立的信息安全风险 评估服务流程,流程图中应包括每个 阶段对应的职责、输入输出等。
安全集成服务资质自评估表填写指南
信息系统安全集成服务资质认证自评估表填写指南填写要求:1.当条款对应的需提供证明材料为制度或项目文档时,在“证明材料清单栏目”填写文档的完整名称。
例如《XX 公司信息系统安全集成服务流程》、《XX 项目需求调研与分析报告》、《XX 单位信息安全建设项目系统集成测试方案》、《XX 单位XX 集成项目试运行报告》等,并概括地介绍制度或项目文档各章节的主要内容。
2.当条款对应的需提供证明材料为记录文档时,在“证明材料清单栏目”填写记录的完整名称。
例如《XX 集成项目设备调试记录》、《XX 集成项目设备安装记录》、《XX 集成项目XX 系统安全性测试记录》等,并概括地介绍记录文档的主要内容。
3.当条款对应的需提供证明材料为某制度或文档的某章节内容时,在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。
例如《XX 公司XX 集成项目投标文件》第X 章安全需求分析、《XX 单位XX 系统集成实施方案》第9 章项目风险管理等,并对相关内容进行总结概括。
4.所有出现在“证明材料清单”栏目中的文档,都需提供相应的电子版文档或纸质文档的扫描件作为证明材料,并按照条款的序号建立文件夹整理归档,建立文件夹的格式为“序号-条款的考核内容”,例如“1-安全集成服务流程”、“3-需求调研与分析”、“15-施工手册和作业指导书”、“29-系统测试报告”等。
以下给出了一份填写样例,供申请组织进行参考。
填报组织应按照填写样例的细粒度,进行相关信息的填报。
当申请三级服务资质时,仅填写自评估表中与三级相关的条款(具体分两种情况:1、标明适用于三级的;2、未标明属于哪个级别的);申请二级服务资质时,除填写标明适用于二级的条款之外,还应填写所有属于三级要求的条款;申请一级服务资质时,填写全部条款。
第 10 页 共 15中国信息安全认证中心 制ISCCC-QOG-0409-B/0 信息系统安全集成服务资质认证自评估表填写指南自评估结论:经自主评估,本单位的信息系统安全集成服务满足《信息安全服务规范》级要求,申请第三方审核。
信息安全应急处理服务资质认证自评估表.doc.pdf
仅一级要求: 与客பைடு நூலகம்之间建立安全保密
与客户传输信息时采用可信及保密
15. 的信息传输渠道。
传输渠道的证明材料。
证明材料清单
序
号
要点
16.
17. 18. 19.
20. 检测阶段
21. 22. 23.
条款
仅一级要求: 具有自主开发专业检测工 具的能力。
自评估
结论
需提供证明材料
不 符 合符
合
windows 、Aix 、Unix 、Linux 、oracle、
Firewalls 、 Router 等。 信息收集的过程及确定安全事件等 级的证明材料。
应急方案应涵盖该内容。
应急方案应涵盖该内容。
相关技术检测规范, 技术人员检测高 技术入侵的能力展示。
提供相关漏洞的证明, 包括漏洞平台 的发布、漏洞库编号等。 提供安全事件管理程序及事件启动 条件(安全事件管理程序文件)。 应急处理方案中对社会影响进行分 析的证明材料。
证明材料清单
序
号
要点
24.
25.
26.
27.
28. 29. 30. 31.
抑制阶段 32.
条款
事件的检测技术规范。
仅二级 /一级要求: 协助客户确定安全事 件等级。 仅二级 /一级要求: 应急处理方案应包含 对安全事件的抑制、根除和恢复的详细 处理步骤。 仅二级 /一级要求: 应急处理方案应包含 实施方案失败的应变和回退措施。 仅一级要求: 建立有完善的检测技术规 范及具有对高技术入侵的检测技术能 力。 仅一级要求: 具有挖掘系统设备及业务 系统安全漏洞的能力。 仅一级要求: 对确认的安全事件启动安 全事件管理程序。 仅一级要求: 应急处理方案中应对可能 造成的影响进行分析,包括社会影响。 与客户充分沟通,使其了解所面临的首 要问题及抑制处理的目的。 在采取抑制措施之前,应告知客户可能
信息安全风险评估服务资质认证自评估表
应对脆弱性进行赋值。
已完成项目的脆弱性赋值列表。
28.
风险识别阶段-威胁识别
应参考国家或国际标准,对威胁进行分类;
威胁分类清单。
29.
应识别所评估信息资产存在的潜在威胁;
已完成项目中的威胁识别清单。
30.
应识别威胁利用脆弱性的可能性;
已完成项目中分析威胁利用脆弱性可能性的证明材料。
31.
应分析威胁利用脆弱性对组织可能造成的影响。
已完成项目的风险评估报告或建议报告中对组织不可接受的风险提出风险处置措施或建议的证明材料。
49.
风险处置阶段-组织评审会
仅一级要求:协助被评估组织召开评审会。
服务提供者协助被评估组织组织评审会的证明材料,如会议通知、专家签到表、专家意见等。
50.
仅一级要求:依据最终的评审意见进行相应的整改,形成最终的整改材料。
25.
仅一级要求:识别处理数据和提供服务所需的关键系统单元和关键系统组件。
已完成项目中对处理数据和提供服务所需的关键系统单元和关键系统组件的识别分析证明材料。
26.
风险识别阶段-脆弱性识别
应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查,并形成安全管理或技术脆弱性列表。
已完成项目中对脆弱性识别时使用的工具列表、管理或技术脆弱性列表。
15.
应根据评估的需求准备必要的工具。
已完成项目的风险评估方案中对评估工具的介绍,工具列表及主要功能描述。
16.
应对评估团队实施风险评估前进行安全教育和技术培训。
项目实施前的安全教育及技术培训的证明材料,如启动会的PPT,PPT中包含培训的内容,以及其他可证明对其安全教育、技术方面培训的材料。
17.
信息安全服务资质认证自评估表-公共管理
信息安全服务资质认证自评估表-公共管理
填表说明:
1、该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
2、表中要求的所有程序文件均已发布实施。
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》级要求,申请第三方审核。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如有你有帮助,请购买下载,谢谢!
1页
信息系统安全运维服务资质认证自评估表
组织
名称
申报级别
评估时间 评估部门/人
员
序
号
要点 条款 需提供证明材料 自评估结论 证明材料清单
符
合
不
符
合
服务技术
要求
建立信息系统安全运维服务流程。
信息系统安全运维服务流程,流程图中应包
括每个阶段对应的职责、输入输出等。
制定信息系统安全运维服务规范并按照
规范实施。
信息系统安全运维服务规范并按照规范实
施。
准备阶段
-需求调
研与分析
调研客户信息系统安全现状,采集客户
安全服务需求与目标,明确客户对信息
系统安全运维服务时间、服务期限、服
务内容以及服务方式的需求。
针对客户的调研报告,其中包括对信息系统
安全运维服务时间、服务期限、服务内容以
及服务方式的需求调研结果。
进行信息系统运维预算,定义运维服务。 信息系统安全运维预算,其中包括运维服务内容、每项服务的工作量、每项服务的人力资源项目经费等。
与客户进行沟通,达成共识并形成记
录 。
与客户沟通形成的记录,内容应有对运维服
务项目达成共识的体现。
如有你有帮助,请购买下载,谢谢!
2页
仅二级/一级要求:
分析客户对信息系
统安全运维服务的需求和类型。
对客户进行调查的记录,内容中应有信息系
统安全运维服务的需求和类型,如应用安
全:应用系统安全测试、安全监控、安全事
件应急等。
仅二级/一级要求:
收集与分析信息系
统的可用性指标。
所运维信息系统的可用性指标,如整体指标
或单系统指标等。
仅二级/一级要求:
分析以往服务的数
据,提取出来未来可自动化的服务。(监
审时适用)
运维服务报告,其中应对以往安全服务进行
总结,对安全事件的解决效率进行分析,适
宜时提出未来可自动化的服务。
仅一级要求:
内部团队之间的安全运营
级别协议应和与安全运维第三方之间的
服务级别设计保持一致。
服务级别协议中,安全运维第三方之间的服
务级别设计与内部团队之间的安全运营级
别协议应一致。
仅一级要求:
安全组织中要设定安全领
导小组。
安全组织架构图,其中应有安全领导小组。
准备阶段—签订服务协议 与客户签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。 项目合同及保密协议,合同内容应至少包含服务范围、目标、时间、内容、金额、质量和输出等。 明确安全运维的方式,方式包括但不限
于:驻场值守方式,定期巡检方式,远程值守方式。 项目合同/协议中应有明确的安全运维模式。
仅二级/一级要求:
签订服务级别协议。 与客户签订的服务级别协议,协议中应承诺信息系统核心指标,如:可用性、安全事件
解决率等。
方案设计
阶段
根据系统安全运维需求,编制安全运维
服务方案,明确安全运维服务时间、服
务内容、服务方式、服务期限、服务人
员、服务交付物、服务质量管理、服务
项目服务方案,内容应包括条款要求。
如有你有帮助,请购买下载,谢谢!
3页
沟通机制、服务风险管理等方面要求。
在安全运维服务方案中明确健康检查服务的服务方式、检查频次和检查内容。 项目服务方案对健康检查服务的服务方式、
检查频次和检查内容进行明确。
专业人员负责安全管理的接口。 运维项目中由高层指定的、负责安全管理接口的运维管理人员信息。
仅二级/一级要求:
编制信息系统的可
用性计划,监控可用性事件,报告可用
性执行,指导可用性的改进。
信息系统可用性计划;信息系统可用性事件
记录;信息系统可用性执行报告、改进报告。
仅二级/一级要求:
识别与分析信息系
统运维过程中的历史数据,提出系统运
维的保障策略和解决方案。(监审时适
用
信息系统运维过程中的分析报告,主要分析
项目应有:历史数据清单的分析报告,内容
包含运维完成情况、重大事件、重大(失败)
变更等;基于以往运维数据分析结果提出的
新的运维策略及解决方案。
仅二级/一级要求:
编制信息系统的安
全基线。
信息系统安全基线。
仅二级要求:
建立信息系统安全配置
库。
配置库信息,其中应纳入信息系统安全涉及
的配置项,如安全设备的配置项有安全策
略、管理员账户、IP等。
仅一级要求:
建立信息系统应急事件响
应机制和恢复保障。
信息系统的应急响应计划和恢复计划。
仅一级要求:
编制安全运维项目作业指
导书。
安全运维作业指导书,例如:配置核查操作
手册、常见安全事件处理指南等。
仅一级要求:
建立应急响应和灾难恢复
机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。