信息安全服务资质认证自评估表公共管理.docx
- 文档编号:25599456
- 上传时间:2023-06-10
- 格式:DOCX
- 页数:33
- 大小:20.67KB
信息安全服务资质认证自评估表公共管理.docx
《信息安全服务资质认证自评估表公共管理.docx》由会员分享,可在线阅读,更多相关《信息安全服务资质认证自评估表公共管理.docx(33页珍藏版)》请在冰豆网上搜索。
信息安全服务资质认证自评估表公共管理
信息安全服务资质认证自评估表公共管理
填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请【一】二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。
申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的治理要求填写。
3、表中要求的所有程序文件均已公布实施。
组织名称
服务类别/级别
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
法律地位要求
仅适用于初次认证:
在中华人民共和国境内注册的独立法人组织,进展历程清晰,产权关系明确。
监督审核:
如有变化那么重新提供。
营业执照/事业单位登记证,核对注册公司类型、经营范围、成立日期、营业期限等。
如独立法人实体的一个部门或部分,经法人批准成立,法人实体能为申请人开展的活动承担相关的法律责任的文件〔法人签字盖章〕。
〔提供企业在国家企业信用信息公示系统中的基础信息截图〕
2.
法律地位要求
遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
提供企业在国家企业信用信息公示系统〔〕上的企业信用信息。
需要截图
3.
财务资信要求
仅适用于初次认证:
组织经营状况正常,建立财务治理制度,可为安全服务提供必要的财务支持。
提供财务治理制度,包括财务风险管操纵度,必要时年度审计报告作为支撑文件。
4.
办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
监督审核:
有变化那么提供,无变化那么不提供。
房屋产权证或租房屋赁合同;
产权人/出租人、地址、面积、租期。
5.
人员能力要求
三级/二级/一级分别要求:
组织负责人拥有2/3/4年以上信息技术领域治理经历。
组织负责人简历及资质证书,包括姓名、年龄、职务、职称、学历、工作经历、信息技术领域治理年限、资质证书。
XX市社保部门出具的公司职员社保缴费证明,单据号:
XXXX,出具时间XX年XX月XX日。
三级/二级/一级的负责人社保证明至少〔3个月〕。
需提供社保部门提供的社保缴费证明或社保系统查询截图。
6.
三级/二级/一级分别要求:
技术负责人具备信息安全服务〔与申报类别一致〕治理能力,经评价合格〔与申报类别一致〕,评价要求见附录G。
技术负责人简历及资质证书,包括姓名、年龄、职务、职称、学历、工作经历、信息技术领域工作年限、资质证书。
提供技术负责人的信息安全服务治理能力证明,包括能力考核结果〔与申报类别一致〕。
三级/二级/一级的技术负责人社保证明至少3个月。
需提供社保部门提供的社保缴费证明或社保系统查询截图。
7.
三级/二级/一级分别要求:
项目负责人、项目工程师具备信息安全服务〔与申报类别一致〕技术能力,经评价合格,评价要求见附录G。
提供项目负责人、项目工程师的技术能力证明,包括能力考核结果。
如,对应岗位职责、能力自评价、能力评价、项目经历等证明材料。
三级/二级/一级的服务人社保证明至少3个月。
需提供社保部门提供的社保缴费证明或社保系统查询截图。
8.
业绩要求
仅适用初次审核:
三级/二级/一级分别要求:
从事信息安全服务〔与申报类别一致〕至少4个月/3年或取得三级资质1年以上/5年或取得二级资质1年以上。
提供首个信息安全服务〔与申报类别一致〕项目合同原件,核对项目名称、合同签订时间、项目验收时间等。
〔公开招标项目需提供中标通知书原件或招标网站公示截图,非公开招标项目需提供财务收款凭证〕。
监督审核不适用。
三级初次申报填写公司成立时间/或项目开始时间。
9.
仅适用初次审核:
二级/一级分别要求:
近3年内签订并完成至少6/10个信息安全服务〔与申报类别一致〕项目。
一二级现场随机抽查1个项目。
监督审核:
三级/二级/一级监督审核:
近1年内签订并完成至少1个/2个/2个信息安全服务〔与申报类别一致〕项目。
提供信息安全服务项目〔与申报类别一致〕合同及验收报告原件,核对项目清单,确认项目名称、合同金额、签订时间、验收时间、项目数量、服务内容与申报一致。
〔公开招标项目需提供中标通知书原件或招标网站公示截图,非公开招标项目需提供财务收款凭证〕。
三级初次申报不填此项
10.
服务治理要求
建立并运行人员治理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。
提供服务人员治理程序,及安全服务人员的岗位职责、技术能力要求,并提供评价证明其能够胜任其承担的职责。
11.
制定服务人员能力培养计划,包括网络与信息安全相关的技术、技能、治理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。
提供服务人员能力培养计划,包括网络与信息安全相关的技术、技能、治理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。
12.
建立文档治理程序,包括组织治理、服务过程治理、质量治理等内容,明确项目产生、公布、保存、传输、使用〔包括交付和内部使用〕、废弃等环节的文档操纵。
文档治理程序建立及实施情况,提供与申报类型一致的安全服务项目过程文档,核实是否存在遗失或信息泄露等问题。
13.
二级:
4.2.6c)配备档案室及高安全性的文件服务器。
提供配备档案室及高安全性的文件服务器的证据。
14.
一级:
4.3.6c)配备档案室及高安全性的文件服务器,至少近两年的项目在文件治理系统中进行治理。
提供配备档案室及高安全性的文件服务器,至少近两年的项目在文件治理系统中进行治理的证据。
15.
建立并运行项目治理程序,明确服务项目的组织、计划、实施、风险操纵、交付等环节的操作规程。
提供项目治理程序建立及实施情况的证据,明确服务项目的组织、计划、实施、风险操纵、交付等环节的操作规程,提供项目风险治理记录。
16.
建立并运行保密治理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。
保密治理程序建立及落实情况,包括保密范围、保密方式、保密时效、保密责任主体、罚那么。
提供组织与治理层、技术负责人及项目实施人员签订的保密协议。
关键岗位离职人员签订离职保密协议。
提供保密教育培训记录。
17.
〔三级要求〕建立与运行供应商治理程序,确保其供应商满足服务安全要求〔仅适用于安全集成、安全运维、灾难备份与恢复、、工业操纵系统安全〕。
提供供应商名录、供应商治理制度的实施情况,包括供应商选择、考核与治理等〔仅适用于安全集成、安全运维、灾难备份与恢复方向、工业操纵系统安全〕
18.
〔【一】二级要求〕建立并运行供应商治理程序,明确供应或外包过程中的风险,对供应商或承包方的服务差不多资格、服务过程操纵、服务质量、服务交付等进行识别,确保其供应商或承包方满足服务安全要求〔仅适用于安全集成、安全运维、灾难备份与恢复方向、工业操纵系统安全〕。
提供供应商治理程序,明确供应或外包过程中的风险,对供应商或承包方的服务差不多资格、服务过程操纵、服务质量、服务交付等进行识别,确保其供应商或承包方满足服务安全要求〔仅适用于安全集成、安全运维、灾难备份与恢复方向、工业操纵系统安全〕
19.
建立合同治理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。
按照客户要求,关于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。
提供合同治理程序、合同统一模板。
提供服务项目〔与申报类别一致〕合同/协议中对敏感信息和知识产权信息保护要求的相关条款。
20.
一/二级要求:
参照国际或国内标准,建立业务范围覆盖信息安全服务的质量治理体系,并有效运行半/一年以上。
结合质量治理体系文件,查阅体系运行记录,验证体系运行情况,至少包括质量治理体系手册、文件操纵程序、记录操纵程序、纠正与预防操纵程序、内审与管评操纵程序、安全服务工作操纵程序;内审、管评、外审报告〔有那么提供〕;验证质量治理体系范围覆盖与申报类别一致的信息安全服务。
21.
一/二级要求:
参照国际或国内标准,建立业务范围覆盖信息安全服务的信息安全治理体系或信息技术服务治理体系,并有效运行半/一年以上。
结合信息安全治理体系文件,查阅体系运行记录,验证体系运行情况,至少包括范围方针文件、事件治理、问题治理、介质治理、业务连续性治理、数据安全治理、内审与管评操纵程序、内审、管评、外审报告〔有那么提供〕[风险治理程序、适用性声明及相应的操纵措施文件]〔适用于27001〕〔适用于20000〕;业务范围覆盖与申报类别一致的信息安全服务。
22.
一级要求:
建立信息安全服务目录〔与类别相对应〕,签订服务级别协议。
信息安全服务目录〔与类别相对应〕、服务级别协议。
23.
技术工具要求
二级/一级要求:
具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。
信息安全服务的测试环境,提供设备清单、建设时间、规模、要紧承担工作等。
24.
二级/一级要求:
具备承担信息安全服务〔与申报类别一致〕项目所需的安全工具,并对工具进行治理和版本操纵。
信息安全服务的软、硬件工具清单,工具治理程序和要求;针对在安全服务项目中应用自主开发工具和产品进行现场演示,提供产品销售许可证或软件著作权证书。
25.
服务技术
仅适用于三级初次
建立信息安全服务〔与申报类别一致〕要求的流程,并按照流程实施。
按照相关标准建立申报的服务类别流程〔申报多类需要制定相对应的服务流程〕。
流程图中应包括每个阶段对应的职责、输入输出等。
26.
仅适用于三级初次
制定信息安全服务〔与申报类别一致〕要求的规范标准,并按照规范实施。
制定与申报的信息安全服务类别规范并按照规范实施〔申报多类需要制定相对应的服务规范〕。
27.
服务过程文档模板
仅适用于三级初次
制定信息系统安全集成服务过程的文档模板
安全集成:
(1)集成预备阶段:
至少包括需求调研报告、技术方案、实施方案(技术方案内容应至少包含项目背景、设计依据、总体设计架构、信息安全设计等方面内容,实施方案应至少包含项目组织架构及人员安排、进度安排、实施内容、项目风险治理、项目沟通治理、项目质量治理等方面内容);
(2)建设实施阶段:
至少包括日报/周报;
(3)安全保障阶段:
至少包括测试方案、验收申请、验收报告;
28.
仅适用于三级初次
制定信息系统风险评估服务过程的文档模板
风险评估:
(1)预备阶段:
至少包括信息系统差不多情况调研表、风险评估方案〔方案中应至少包含被评估对象描述、评估依据、评估范围、评估内容、项目组成员、评可能划安排、评估工具、评估过程、评估方法、风险评价原那么、风险评估模型、风险分析与计算方法等方面内容〕;
(2)风险识别阶段:
至少包括治理脆弱性检查表、技术脆弱性检查表〔包含主机、数据库、网络设备、安全设备、中间件、应用系统等〕、威胁调查表;
(3)风险分析阶段:
风险评估报告〔至少包括评估过程、评估方法、评估结果、处置建议等内容〕;
29.
仅适用于三级初次
制定信息安全应急处理服务过程的文档模板
应急处理:
(1)预备阶段:
至少包含工具包、服务承诺书;
(2)检测阶段:
至少包含授权书、应急处理方案;
(3)抑制阶段:
至少包含抑制方案;
(4)根除阶段:
至少包含根除方案;
(5)恢复阶段:
至少包含恢复方案、重建系统规范、数据备份规范、安全配置核查表〔能够包含windows类操作系统安全配置核查表、linux类操作系统安全配置核查表、数据库安全配置核查表、中间件安全配置核查表〕;
(6)总结阶段:
至少包含总结报告;
备注:
应急处理方案中能够总体涵盖检测、抑制、根除、恢复方面的内容。
仅适用于三级初次
制定信息系统安全运维服务过程的文档模板
安全运维:
(1)预备阶段:
至少包含需求调研报告;
(2)方案设计阶段:
至少包含安全运维服务方案;
(3)运维服务实施阶段:
至少包含安全信息〔包含安全配置、流量信息、安全策略等〕巡检记录表、状态巡检记录表、健康性检查记录表、病毒查杀记录表、安全加固规范等;
(4)运维服务报告阶段:
至少包含运维服务月报/季报、年度服务总结报告、验收报告;
仅适用于三级初次
制定信息系统软件安全开发服务过程的文档模板
软件安全开发:
(1)预备阶段:
至少包含开发计划、配置治理计划、变更记录单;
(2)需求阶段:
至少包含需求分析报告;
(3)设计阶段:
至少包含概要设计说明书、详细设计说明书;
(4)编码阶段:
至少包含编码规范;
(5)测试阶段:
至少包含测试方案、测试用例、测试报告;
(6)验收阶段:
至少包含验收申请、验收报告;
(7)维保阶段:
至少包含故障记录、升级记录;
仅适用于三级初次
制定信息系统灾难恢复与备份服务过程的文档模板
灾难恢复与备份〔B类〕:
(1)方案设计要求:
至少包含需求分析报告、技术方案、实施方案;
(2)系统建设与治理要求:
至少包含项目周/日报;
(3)预案制定与演练要求:
至少包含灾难恢复预案、桌面演练记录、桌面演练总结报告;
33.
仅适用于三级初次
制定网络安全审计网络安全审计服务过程的文档模板
网络安全审计网络安全审计服务
(1)审计对象调研
至少包括调研报告
(2)审计实施方案编制
至少包括实施方案
(3)审计取证与评价
至少包括评价记录
(4)审计报告
至少包括审计报告
(5)跟踪审计
至少包括跟踪审计报告
(6)审计质量操纵
至少包括质量操纵要求及记录
34.
仅适用于三级初次
制定工业操纵系统服务过程的文档模板
〔1〕业务情况和工业操纵系统调研,至少包括调研表模板
〔2〕技术方案编制至少包括技术方案模板
〔3〕实施方案编制至少包括实施方案模板
〔4〕实施过程记录至少包括实施记录模板
〔5〕服务报告至少包括总结报告模板、交接报告模板
〔6〕测试报告,至少包括测试方案模板、测试报告模板
35.
申请二级资质条件
可依照条件直截了当申请,或获得三级资质〔与申报类别一致〕一年以上,且服务治理程序文件需建立并运行半年以上。
信息安全服务〔与申报类别一致〕三级资质证书。
服务治理程序文件及运行时间。
36.
申请一级资质条件
需获得信息安全服务〔与申报类别一致〕二级资质1年以上,且服务治理程序文件需建立并运行一年以上。
信息安全服务〔与申报类别一致〕二级资质证书。
服务治理程序文件及运行时间。
以下内容适用于年度监督
37.
业绩情况
业绩情况
近一年业务进展情况,签订、完成的项目数量及情况,项目经验及教训等
38.
组织变更情况
组织变更情况
组织变更情况,包括法人、资本注册、股东变更、组织负责人、服务负责人、组织架构等变化情况。
39.
证书及标志使用情况
证书及标志使用情况
证书及标志使用情况。
40.
客户投诉制度建立及执行情况
客户投诉制度建设,投诉及处理情况
客户投诉情况,包括客户投诉制度,投诉及处理情况。
41.
上一年度提出的观看项整改情况〔监督时须填写〕
42.
观看项内容
整改情况说明
43.
44.
上一年度提出的不符合项整改情况〔监督时须填写〕
45.
不符合项内容
整改情况说明
46.
自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共治理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全服务资质满足《信息安全服务规范》要求,申请第三方审核。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 服务 资质 认证 评估 公共 管理