下面是小编为大家整理的信息安全服务资质自评估表,供大家参考。
信息 系统 安全 集成 服务 资质 认证 自评估表
组织名称
申报 级别 三级 评估时间 2017 年 年 11 月 月 24 日-11 月 月 30 日 评估部门/ 人员
序号 号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 合 不符合 合 1.
技 术 服 务要求 建立信息系统安全集成服务流程。
信息系统安全集成服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
√
见附件资料:
《信息系统安全集成服务流程》; 明确信息系统安全集成工程的工作主要包括以下四个方面:需求分析、方案设计、工程实施、客户培训及售后保障。并包含需求分析流程图、方案设计流程图、工程实施流程图、客户培训及售后保障流程图等。
2.
制定信息系统安全集成服务规范并按照规范实施。
信息系统安全集成服务规范。
√
见附件资料:
《安全需求分析规范》; 《安全设计规范》; 制定规范文件,指导安全集成项目过程实施。
3.
集成准备-需 求 调 研与分析 调研客户背景信息,采集系统建设需求和建设目标,明确系统功能、性能及安全性要求。
准备阶段控制程序文件,包括明确工作内容、流程、方法、文档模板,内容至少包括需求调研、分析、评审,√
见附件资料:
《安全集成项目需求分析报告》(模板); 第 1.3 项目背景;第 2 现状描述 包含识别现有相关
序号 号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 合 不符合 合 产品选型,财务预算。提供投标文件、项目文档等证明。
资产、资源、业务、性能和功能需求、符合性审查;第 4 需求分析 包含业务需求、使用需求、网络应用需求、扩展性需求、技术安全需求、管理安全需求。
4.
基于系统建设需求,提出产品选型方案和建设预算。
√
见附件资料:
《安全集成项目设计方案》(模板); 《合同书》(模板); 《安全集成项目设计方案》中第五章 新增设备选型,包含设备名称、规格型号、数量等参数内容。第 6 设备费用预算。
《合同书》中第一章服务载体及费用:明确了安全集成服务载体、服务内容、服务费用明细。
5.
结合系统建设和安全需求,与客户、设计、开发等人员充分沟通,达成共识并形成记录。
√
见附件资料:
《客户沟通记录表》(模板); 规定地点、时间、参加人员、沟通主题和内容、达成的共识、未达成一致的内容、下次沟通时间和沟通方式。
6.
仅二级/ / 一级要求:
准确识别和综合分析系统在信息安全特性方面相适应的安全需求。
系统安全需求分析报告,内容应覆盖审核条款要求。
7.
仅二级/ / 一级要求:
基于客户需求和投入能力,开展需求分析,编制需求分析报告。
序号 号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 合 不符合 合 8.
仅一级要求:
协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。
9.
集成准备-方案设计 根据系统建设安全需求,编制安全集成技术方案。
项目方案设计阶段控制程序文件,包括明确工作内容、流程、文档模板,内容应覆盖审核条款的要求。项目技术方案、实施方案、沟通记录。
√
见附件资料:
《安全集成项目设计方案》(模板); 包含编写目的、项目背景、参考资料、需求分析、方案总体设计、方案详细设计、新增设备选型和设备费用预算等内容。
10.
依据技术方案,编制安全集成实施方案,明确项目人员、进度、质量、沟通、风险等方面要求。
√
见附件资料:
《安全集成项目实施方案》(模板); 第 7 章 实施组织计划,包含项目管理机构的原则、项目组织结构图、项目成员岗位职责;第 8 章 项目管理,包含项目计划管理、项目质量管理、项目沟通管理、项目风险管理等内容。
11.
结合技术方案和实施方案,与客户进行沟通,获得客户认可。
√
见附件资料:
《客户沟通记录表》(模板); 规定地点、时间、参加人员、沟通主题和内容、达成的共识、未达成一致的内容、下次沟通时间和沟通方式。
12.
仅二级/ / 一级要求:结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明确系统项目方案设计阶段控制程序文件,内容应覆盖审核条款要求。提供系统建设安全设计说明书。
序号 号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 合 不符合 合 架构、产品选型、产品功能、性能及配置等参数。
13.
仅二级/ / 一级要求:组织客户及相关技术专家对技术方案和实施方案进行论证,确认是否满足系统功能、性能和安全性要求。
项目管理评审程序,包括明确工作内容、过程、方法、文档模板,内容应覆盖审核条款要求。提供专家对项目技术方案、实施方案的评审论证意见。
14.
仅二级/ / 一级要求:结合技术方案,对项目组及第三方配合人员进行业务和技能培训。
项目方案设计阶段控制程序文件,内容应覆盖审核条款要求。提供业务和技能的相关培训记录。
15.
仅一级要求:结合项目需要,编制安全集成项目施工手册和作业指导书。
项目方案设计阶段控制程序文件,内容应覆盖审核条款的要求。提供安全集成项目施工手册和作业指导书。
16.
仅一级要求:对于新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求。对于系统改造,还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需要考虑新旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等。
序号 号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 合 不符合 合 17.
仅一级要求:基于安全集成项目需求和进度计划,编制信息安全产品和工具定制开发计划。
项目方案设计阶段控制程序文件,内容应覆盖审核条款的要求。提供自主开发的信息安全产品、平台和工具清单。
18.
建设实施-实施集成 依据已确认的安全集成项目技术方案和实施方案,按照时间和质量要求进行系统建设。
项目建设实施阶段控制程序文件,包括工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。提供项目施工记录。
√
见附件资料:
《项目施工进度计划表》; 《设备验收记录表》; 《项目周报》(模板);
19.
项目实施人员按时提交施工记录和工程日志,及时向项目经理汇报项目进度。
√
见附件资料:
《安装调试记录》(模板); 包含设备名称、安装地址、日期、现场情况、设备情况、安装/调试情况、问题解决办法、安装调试结果等内容。
20.
建立安全集成项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施过程中能够有效充分的沟通。
项目建设实施阶段控制程序,覆盖审核条款要求。提供沟通方案。
√
见附件资料:
《安全集成项目实施方案》(模板); 在第 8.3 章节项目沟通管理,对沟通职责、基本沟通内容、沟通方式等内容进行了描述; 明确邮件、电话、QQ、微信、现场交流为本项目的沟通方式。
21.
仅二级/ / 一级要求:产品、设备安装调试过程中,应完整妥善记录相关信息。
项目建设实施阶段控制程序,覆盖审核条款要求。提供安装调试记录、项
序号 号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 合 不符合 合 22.
仅二级/ / 一级要求:项目建设施工完成后,需向客户提交完工报告。
目完工报告。
23.
仅二级/ / 一级要求:项目实施完成后,相关过程记录及时归档,并统一保管。
项目建设实施阶段控制程序,覆盖审核条款要求。提供项目过程文档归档方式及归档记录。
24.
仅一级要求:建立项目变更管理程序,对项目实施过程中方案、资源变更进行有效控制,完整记录变更过程。
项目建设实施阶段控制程序,覆盖审核条款要求。提供变更管理程序、变更记录。
25.
仅一级要求:制定项目应急处置方案和恢复策略,对项目过程中的应急事件及时进行响应。
项目建设实施阶段控制程序,覆盖审核条款要求。提供应急处置方案、恢复策略、处置记录。
26.
建设实施-监督管理 仅一级要求:定期对项目实施情况进行评审,采取适当措施,控制项目风险。
项目管理评审程序,覆盖审核条款的要求。提供项目评审与质量控制文档。
27.
安全保障-系统测试 依据项目技术方案和测试计划,对系统进行联调和系统测试,完整记录测试过程相关信息。
项目安全保障阶段控制程序文件,包括明确工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。提供测试方案、计划、记录。
√
见附件资料:
《项目测试方案》(模板); 《项目测试报告》(模板); 测试方案包含测试范围、项目背景、参考文件、测试进出条件、测试通过和失败准则、测试启动/结束/暂停/再启动准则、测试需求、测试方法、测试资源、测试进度安排。
测试报告包含测试目的、范围、参考资料、测试人员
序号 号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 合 不符合 合 及时间、测试执行情况、测试结果、测试结论及建议、遗留问题等。
28.
对于新建系统重点测试系统的功能、性能和安全性等;对于系统改造或升级项目,还需进行兼容性测试。
√
见附件资料:
《项目测试方案》(模板); 第 3、4 章 包含测试需求及测试方法,包含接口和功能的测试,,安全性测试以及系统兼容性测试要求。
29.
仅二级/ / 一级要求:系统测试完成后,制定系统测试报告,并提交客户。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供测试报告、初验申请与报告。
30.
仅二级/ / 一级要求:结合项目需要提出初验申请,组织客户及相关方对项目进行初验,并提交初验报告。
31.
仅一级要求:基于建设系统的安全要求,制定系统安全性测试方案,模拟攻击场景,对系统安全性进行测试。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供系统安全性测试方案、测试记录。
32.
安全保障-系 统 试 运行 为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供系统试运行记录、设备调整维护记录。
√
见附件资料:
《系统试运行记录》(模板); 《项目测试报告》(模板); 系统运行记录包含项目名称、日期、系统运行情况、记录人等。
测试报告包含测试目的、范围、参考资料、测试人员及时间、测试执行情况、测试结果、测试结论及建议、遗留问题等。
序号 号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 合 不符合 合 33.
基于系统运行相关记录,及时对系统设备进行调整和维护。
√
见附件资料:
《系统试运行记录》(模板); 《异常情况处理记录表》(模板); 系统试运行记录包含项目名称、日期、系统运行情况、记录人等。
常情况处理记录表包含异常情况描述、处理方案、处理效果等。
34.
仅二级/ / 一级要求:系统试运行周期至少一个月。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供系统试运行方案、系统试运行记录、系统试运行报告。
35.
仅二级/ / 一级要求:试运行结束后,项目组制定系统试运行报告,并提交客户。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供系统试运行报告。
36.
仅一级要求:制定系统试运行计划,建立应急响应服务保障团队,及时应对突发事件。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供应急预案、系统运行策略和安全指南、配置管理方案、系统试运行报告。
37.
仅一级要求:综合分析系统运行状态,建立系统运行策略和安全指南,并对相关产品和设备设施进行配置管理。
序号 号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 合 不符合 合 38.
仅一级要求:提供三个月以上的试运行记录和报告。
39.
安全保障-验收 根据合同约定,向客户提交完整的项目资料及交付物,并提出终验申请。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供项目终验申请、项目终验报告。
√
见附件资料:
《终验申请表》(模板); 包含工程名称、申请验收时间、建设单位意见等,明确项目试运行期间各项指标和功能正常,符合《投标文件》、《设计方案》和《合同》要求,根据相关规定,我方承担的的工程已具备终验条件,经自检合格,特申请予以终验。
40.
根据合同约定,配合组织项目验收,出具项目验收报告 √
见附件资料:
《竣工验收报告》(模板); 包含工程名称、施工单位、建设单位、开工日期、竣工日期、验收意见及质量评价、建设单位意见等。
41.
安全保障-运行维护 根据合同约定,向客户提供维保服务,并形成维保记录。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供系统维护记录。
√
见附件资料:
《客户问题反馈表》(模板); 包含信息来源、客户名称、发生时间、报告人、反馈问题描述、原因分析、纠正预防措施、处理措施验证结果等。
42.
仅二级/ / 一级要求:建立客户满意度调查机制,并对调查结果进行分析。
项目建设实施阶段控制程序文件,覆盖审核条款的要求。提供满意度调查记录。
序号 号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 合 不符合 合 43.
仅一级要求:建立维保流程,制定维保方案,并按方案实施维保。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供系统维护方案。
44.
上一年度提出的观察项整改情况(如有)
45.
46.
47.
上一年度提出的不符合项整改情况(如有)
48.
49.
中国信息安全认证中心 制
第 11 页 共 11 页 自评估 结论:
经自主评估,本单位的信息系统安全集成服务满足《信息安全服务 规范》 三 级要求,申请第三方审核。
本 单位, 郑重承诺, 《信息安全服务资质 认证 自评估表- 公共管理 》与 本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
推荐访问:信息安全 资质 评估 信息安全服务资质自评估表 信息安全风险评估服务资质认证
扩展阅读文章
推荐阅读文章
十九范文网 www.ib19.com
Copyright © 2002-2018 . 十九范文网 版权所有