信息安全服务资质自评估表.docx

信息平安服务资质认证自评估表-公共管理填表说明：1、申请三级信息平安服务资质认证时，仅需填写该自评估表。2、申请一、二级服务资质认证时，该自评估表与申报具体的服务类别自评估一并使用，单个文档不作为自评估支撑材料。申报多个服务类别且级别不同时，依据申请的最高级别服务资质认证的管理要求填写。3、表中要求的全部程序文件均已发布实施。组织名称服务类别/级别评估时间评估部门/人员序号要点条款需供应证明材料自评估 结论证明材料清单符 合不 符 合1.法律地位 要求仅适用于初次认证：在中华人民共和国境内注册的 独立法人组织，进展历程清楚， 产权关系明确。监督审核：如有变化则重新供应。营业执照/事业单位登记证，核对注册 号、法定代表人、注册资本、注册地址、 公司类型、经营范围、成立日期、营业 期限等。如独立法人实体的一个部门或部分，经 法人批准成立,法人实体能为申请人开序号要点条款需供应证明材料自评估 结论证明材料清单符 合不 符 合规范、平安配置核查表（可以包含 windows类操作系统平安配置核查表、 linux类操作系统平安配置核查表、数 据库平安配置核查表、中间件平安配置 核查表）；（6）总结阶段：至少包含总结报告；备注：应急处理方案中可以总体涵盖 检测、抑制、根除、恢复方面的内容。仅适用于三级初次制定信息系统平安运维服务过 程的文档模板平安运维：（1） 预备阶段：至少包含需求调研 报告；（2） 方案设计阶段：至少包含平安 运维服务方案；（3） 运维服务实施阶段：至少包含 平安信息（包含平安配置、流量信息、 平安策略等）巡检纪录表、状态巡检纪 录表、健康性检查纪录表、病毒查杀纪 录表、平安加固法律规范等；（4） 运维服务报告阶段：至少包含 运维服务月报/季报、年度服务总结报 告、验收报告；仅适用于三级初次制定信息系统软件平安开发服 务过程的文档模板软件平安开发：（1）预备阶段：至少包含开发方案、配置管理方案、变更纪录单；序号要点条款需供应证明材料自评估 结论证明材料清单符 合不 符 合（2） 需求阶段：至少包含需求分析报告；（3） 设计阶段：至少包含概要设计说明书、具体设计说明书；（4） 编码阶段：至少包含编码法律规范；（5） 测试阶段：至少包含测试方案、测试用例、测试报告；（6） 验收阶段：至少包含验收申请、验收报告；（7） 维保阶段：至少包含故障纪录、升级纪录；仅适用于三级初次制定信息系统灾难恢复与备份 服务过程的文档模板灾难恢复与备份（B类）：（1） 方案设计要求：至少包含需求分析报告、技术方案、实施方案；（2） 系统建设与管理要求：至少包含项目周/日报；（3） 预案制定与演练要求：至少包 含灾难恢复预案、桌面演练纪录、桌面 演练总结报告；30.仅适用于三级初次制定网络平安审计网络平安审 计服务过程的文档模板网络平安审计网络平安审计服务（1） 审计对象调研至少包括调研报告（2） 审计实施方案编制至少包括实施方案序号要点条款需供应证明材料自评估 结论证明材料清单符 合不 符 合（3） 审计取证与评价至少包括评价纪录（4） 审计报告至少包括审计报告（5） 跟踪审计至少包括跟踪审计报告（6） 审计质量掌握至少包括质量掌握要求及纪录31.仅适用于三级初次制定工业掌握系统服务过程的 文档模板（1）业务状况和工业掌握系统调研， 至少包括调研表模板（2）技术方案编制至少包括技术方案 模板（3）实施方案编制 至少包括实施方案 模板（4）实施过程纪录 至少包括实施纪录 模板（5）服务报告 至少包括总结报告模 板、交接报告模板（6）测试报告，至少包括测试方案模 板、测试报告模板32.申请二级 资质条件可依据条件直接申请，或获得 三级资质（与申报类别全都） 一年以上，且服务管理程序文 件需建立并运行半年以上。信息平安服务（与中报类别全都）三级 资质证书。服务管理程序文件及运行时 间。序号要点条款需供应证明材料自评估 结论证明材料清单符 合不 符 合33.申请一级 资质条件需获得信息平安服务（与申报 类别全都）二级资质1年以上， 旦服务管理程序文件需建立并 运行一年以上。信息平安服务（与申报类别全都）二级 资质证书。服务管理程序文件及运行时 间。以下内容适用于年度监督34.业绩状况业绩状况近一年业务进展状况，签订、完成的项 目数量及状况，项目阅历及教训等35.组织变更 状况组织变更状况组织变更状况，包括法人、资本注册、 股东变更、组织负责人、服务负责人、 组织架构等变化状况。36.证书及标 志使用状况证书及标志使用状况证书及标志使用状况。37.客户投诉 制度建立 及执行状 况客户投诉制度建设，投诉及处 理状况客户投诉状况，包括客户投诉制度，投 诉及处理状况。38.上一年度提出的观看项整改状况（监督时须填写）39.观看项内容整改状况说明序号要点条款需供应证明材料自评估 结论证明材料清单符 合不 符 合40.41.上一年度提出的不符合项整改状况（监督时须填写）42.不符合项内容整改状况说明43.自评估结论：本单位严肃承诺，信息平安服务资质认证自评估表-公共管理中所供应全部信息真实可信，且均可供应相应证明材料。经自主评估，本单位的信息平安服务资质满意信息平安服务法律规范要求，申请第三方审核。序号要点条款需供应证明材料自评估 结论证明材料清单符 合不 符 合展的活动担当相关的法律责任的文件 （法人签字盖章）。（供应企业在我国企业信用信息公示 系统中的基础信息截图）2.法律地位 要求遵循我国相关法律法规、标准 要求，无违法违规纪录，资信 状况良好。供应企业在我国企业信用信息公示系 统（）上的企业 信用信息。需要截图3.财务资信 要求仅适用于初次认证：组织经营状况正常，建立财务 管理制度，可为平安服务供应 必要的财务支持。供应财务管理制度，包括财务风险管掌 握度，必要时年度审计报告作为支撑文 件。4.办公场所 要求拥有长期固定办公场所和相适 应的办公条件，能够满意机构 设置及其业务需要。监督审核：有变化则供应，无变化则不供 应。房屋产权证或租房屋赁合同；产权人/出租人、地址、面积、租期。5.人员力量 要求三级/二级/一级分别要求：组 织负责人拥有2/3/4年以上信 息技术领域管理经受。组织负责人简历及资质证书，包括姓 名、年龄、职务、职称、学历、工作经 受、信息技术领域管理年限、资质证书。 XX市社保部门出具的公司员工社保缴 费证明，单据号：XXXX,出具时间XX 年XX月XX日。序号要点条款需供应证明材料自评估 结论证明材料清单符 合不 符 合三级/二级/一级的负责人社保证明至 少（3个月）。需供应社保部门供应的社保缴费证明 或社保系统查询截图。6.三级/二级/一级分别要求：技 术负责人具备信息平安服务 （与申报类别全都）管理力量， 经评价合格（与申报类别全 都），评价要求见附录G。技术负责人简历及资质证书，包括姓 名、年龄、职务、职称、学历、工作经 受、信息技术领域工作年限、资质证书。 供应技术负责人的信息平安服务管理 力量证明，包括力量考核结果（与申报 类别全都）。三级/二级/一级的技术负 责人社保证明至少3个月。需供应社保部门供应的社保缴费证明 或社保系统查询截图。7.三级/二级/一级分别要求：项 目负责人、项目工程师具备信 息平安服务（与申报类别全都） 技术力量，经评价合格，评价 要求见附录G。供应项目负责人、项目工程师的技术力 量证明，包括力量考核结果。如，对应 岗位职责、力量自评价、力量评价、项 目经受等证明材料。三级/二级/一级的服务人社保证明至 少3个月。需供应社保部门供应的社保缴费证明 或社保系统查询截图。8.业绩要求仅适用初次审核：三级/二级/一级分别要求：从 事信息平安服务（与申报类别 全都）至少4个月/3年或取得三供应首个信息平安服务（与申报类别全 都）项目合同原件，核对项目名称、合 同签订时间、项目验收时间等。（公开招标项目需供应中标通知书原曲唇宙核木;舌田三级初次申报填写公司成立时间/或项目开 头时间。序号要点条款需供应证明材料自评估 结论证明材料清单符 合不 符 合级资质1年以上/ 5年或取得二 级资质1年以上。件或招标网站公不截图，非公开招标项 目需供应财务收款凭证）。9.仅适用初次审核：二级/一级分别要求：近3年内 签订并完成至少6/10个信息平 安服务（与申报类别全都）项 目。一二级现场随机抽查1个 项目。监督审核：三级/二级/一级监督审核：近1 年内签订并完成至少1个/2个 /2个信息平安服务（与申报类 别全都）项目。供应信息平安服务项目（与巾报类别全 都）合同及验收报告原件，核对项目清 单，确认项目名称、合同金额、签订时 间、验收时间、项目数量、服务内容与 申报全都。（公开招标项目需供应中标通知书原 件或招标网站公示截图，非公开招标项 目需供应财务收款凭证）。三级初次申报不填此项10.服务管理 要求建立并运行人员管理程序，识 别平安服务人员的服务力量要 求，明确平安服务人员的岗位 职责、技术力量要求，并通过 评价证明其能够胜任其担当的 职责。供应服务人员管理程序，及平安服务人 员的岗位职责、技术力量要求，并供应 评价证明其能够胜任其担当的职责。11.制定服务人员力量培育方案， 包括网络与信息平安相关的技 术、技能、管理、意识等内容， 并执行方案，确保服务人员持 续胜任其担当的职责。供应服务人员力量培育方案，包括网络 与信息平安相关的技术、技能、管理、 意识等内容，并执行方案，确保服务人 员持续胜任其担当的职责。序号要点条款需供应证明材料自评估 结论证明材料清单符 合不 符 合12.建立文档管理程序，包括组织 管理、服务过程管理、质量管 理等内容，明确项目产生、发 布、保存、传输、使用（包括 交付和内部使用）、废弃等环 节的文档掌握。文档管理程序建立及实施状况，供应与 申报类型全都的平安服务项目过程文 档，核实是否存在遗失或信息泄露等问 题。13.二级：4.2.6 c）配备档案室及高 平安性的文件服务器。供应配备档案室及高平安性的文件服 务器的证据。14.一级：4.3.6 c）配备档案室及高 平安性的文件服务器，至少近 两年的项目在文件管理系统中 进行管理。供应配备档案室及局平安性的文件服 务器，至少近两年的项目在文件管理系 统中进行管理的证据。15.建立并运行项目管理程序，明 确服务项目的组织、方案、实 施、风险掌握、交付等环节的 操作规程。供应项目管理程序建立及实施状况的 证据，明确服务项目的组织、方案、实 施、风险掌握、交付等环节的操作规程， 供应项目风险管理纪录。16.建立并运行保密管理程序，明 确岗位保密责任，签订保密合 同，并能够适时对相关人员进 行保密教育。保密管理程序建立及落实状况，包括保 密范围、保密方式、保密时效、保密责 任主体、罚则。供应组织与管理层、技 术负责人及项目实施人员签订的保密 合同。关键岗位离职人员签订离职保密 合同。供应保密教育培训纪录。序号要点条款需供应证明材料自评估 结论证明材料清单符 合不 符 合17.（三级要求）建立与运行供应 商管理程序，确保其供应商满 意服务平安要求（仅适用于平 安集成、平安运维、灾难备份 与恢复、工业掌握系统平安）。供应供应商名录、供应商管理制度的实 施状况，包括供应商选择、考核与管理 等（仅适用于平安集成、平安运维、灾 难备份与恢复方响、工业掌握系统平 安）18.（一、二级要求）建立并运行 供应商管理程序，明确供应或 外包过程中的风险，对供应商 或承包方的服务基本资格、服 务过程掌握、服务质量、服务 交付等进行识别，确保其供应 商或承包方满意服务平安要求（仅适用于平安集成、平安运 维、灾难备份与恢复方向、工 业掌握系统平安）。供应供应商管理程序，明确供应或外包 过程中的风险，对供应商或承包方的服 务基本资格、服务过程掌握、服务质量、 服务交付等进行识别，确保其供应商或 承包方满意服务平安要求（仅适用于平 安集成、平安运维、灾难备份与恢复方 向、工业掌握系统平安）19.建立合同管理程序，制定统一 合同模板，依据合同商定实施 信息平安服务项目。依据客户 要求，对于接触到的客户敏感 信息和学问产权信息予以爱 护，并确保服务方人员了解客 户的相关要求。供应合同管理程序、合同统一模板。供 应服务项目（与申报类别全都）合同/ 合同中对敏感信息和学问产权信息爱 护要求的相关条款。20.一/二级要求：参照国际或国 内标准，建立业务范围掩盖信 息平安服务的质量管理体系，结合质量管理体系文件，查阅体系运行 纪录，验证体系运行状况，至少包括质 量管理体系手册、文件掌握程序、纪录序号要点条款需供应证明材料自评估 结论证明材料清单符 合不 符 合并有效运行半/一年以上。掌握程序、订正与预防掌握程序、内审 与管评掌握程序、平安服务工作掌握程 序；内审、管评、外审报告（有则供应）； 验证质量管理体系范围掩盖与申报类 别全都的信息平安服务。21.一/二级要求：参照国际或国 内标准，建立业务范围掩盖信 息平安服务的信息平安管理体 系或信息技术服务管理体系， 并有效运行半/一年以上。结合信息平安管理体系文件，查阅体系 运行纪录，验证体系运行状况，至少包 括范围方针文件、大事管理、问题管理、 介质管理、业务连续性管理、数据平安 管理、内审与管评掌握程序、内审、管 评、外审报告（有则供应）风险管理 程序、适用性声明及相应的掌握措施文 件（适用于27001）（适用于20000）； 业务范围掩盖与申报类别全都的信息 平安服务。22.一级要求：建立信息平安服务 名目（与类别相对应），签订 服务级别合同。信息平安服务名目（与类别相对应）、 服务级别合同。23.技术工具 要求二级/一级要求：具备独立的测 试环境及必要的软、硬件设施， 用于技术培训和模拟测试。信息平安服务的测试环境，供应设施清 单、建设时间、规模、主要担当工作等。24.二级/一级要求：具备担当信息 平安服务（与申报类别全都） 项目所需的平安工具，并对工 具进行管理和版本掌握。信息平安服务的软、硬件工具清单，工 具管理程序和要求；针对在平安服务项 目中应用自主开发工具和产品进行现 场演示，供应产品销售许可证或软件著序号要点条款需供应证明材料自评估 结论证明材料清单符 合不 符 合作权证书。25.服务技术仅适用于三级初次建立信息平安服务（与申报类 别全都）要求的流程，并依据 流程实施。依据相关标准建立申报的服务类别流 程（申报多类需要制定相对应的服务流 程）。流程图中应包括每个阶段对应的 职责、输入输出等。26.仅适用于三级初次制定信息平安服务（与申报类 别全都）要求的法律规范标准， 并依据法律规范实施。制定与申报的信息平安服务类别法律 规范并依据法律规范实施（申报多类需 要制定相对应的服务法律规范）。27.服务过程 文档模板仅适用于三级初次制定信息系统平安集成服务过 程的文档模板平安集成：（1） 集成预备阶段：至少包括需求 调研报告、技术方案、实施方案（技术 方案内容应至少包含项目背景、设计依 据、总体设计架构、信息平安设计等方 面内容，实施方案应至少包含项目组织 架构及人员支配、进度支配、实施内容、 项目风险管理、项目沟通管理、项目质 量管理等方面内容）；（2） 建设实施阶段：至少包括日报/周报；（3） 平安保障阶段：至少包括测试方案、验收申请、验收报告；28.仅适用于三级初次风险评估：序号要点条款需供应证明材料自评估 结论证明材料清单符 合不 符 合制定信息系统风险评估服务过 程的文档模板（1） 预备阶段：至少包括信息系统 基本状况调研表、风险评估方案（方案 中应至少包含被评估对象描述、评估依 据、评估范围、评估内容、项目组成员、 评估量划支配、评估工具、评估过程、 评估方法、风险评价原则、风险评估模 型、风险分析与计算方法等方面内容）；（2） 风险识别阶段：至少包括管理 脆弱性检查表、技术脆弱性检查表（包 含主机、数据库、网络设施、平安设施、 中间件、应用系统等）、威逼调查表；（3） 风险分析阶段：风险评估报告（至少包括评估过程、评估方法、评估 结果、处置建议等内容）；29.仅适用于三级初次制定信息平安应急处理服务过 程的文档模板应急处理：（1） 预备阶段：至少包含工具包、服务承诺书；（2） 检测阶段：至少包含授权书、应急处理方案；（3） 抑制阶段：至少包含抑制方（4） 根除阶段：至少包含根除方（5） 恢复阶段：至少包含恢复方 案、重建系统法律规范、数据备份法律