信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證自評價(jià)表

1、信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證自評估表組織名稱申報(bào)級別評估時(shí)間評估部門/人員序號要點(diǎn)條款需提供證明材料自評估結(jié)論證明材料清單符合不符合1.技術(shù)服務(wù)要求建立信息系統(tǒng)安全集成服務(wù)流程。信息系統(tǒng)安全集成服務(wù)流程，流程圖中應(yīng)包括每個(gè)階段對應(yīng)的職責(zé)、輸入輸出等。2.制定信息系統(tǒng)安全集成服務(wù)規(guī)范并按照規(guī)范實(shí)施。信息系統(tǒng)安全集成服務(wù)規(guī)范。3.集成準(zhǔn)備-需求調(diào)研與分析調(diào)研客戶背景信息，采集系統(tǒng)建設(shè)需求和建設(shè)目標(biāo)，明確系統(tǒng)功能、性能及安全性要求。準(zhǔn)備階段控制程序文件，包括明確工作內(nèi)容、流程、方法、文檔模板，內(nèi)容至少包括需求調(diào)研、分析、評審，產(chǎn)品選型，財(cái)務(wù)預(yù)算。提供投標(biāo)文件、項(xiàng)目文檔等證明。4.基于系統(tǒng)建設(shè)需求，提

2、出產(chǎn)品選型方案和建設(shè)預(yù)算。5.結(jié)合系統(tǒng)建設(shè)和安全需求，與客戶、設(shè)計(jì)、開發(fā)等人員充分溝通，達(dá)成共識并形成記錄。6.僅二級/一級要求：準(zhǔn)確識別和綜合分析系統(tǒng)在信息安全特性方面相適應(yīng)的安全需求。系統(tǒng)安全需求分析報(bào)告，內(nèi)容應(yīng)覆蓋審核條款要求。7.僅二級/一級要求：基于客戶需求和投入能力，開展需求分析，編制需求分析報(bào)告。8.僅一級要求：協(xié)助客戶有效識別系統(tǒng)建設(shè)過程中的政策、法律和約束條件，有效規(guī)避商業(yè)風(fēng)險(xiǎn)和泄密事件。安全集成項(xiàng)目風(fēng)險(xiǎn)評估程序及風(fēng)險(xiǎn)評估報(bào)告。9.方案設(shè)計(jì)根據(jù)系統(tǒng)建設(shè)安全需求，編制安全集成技術(shù)方案。項(xiàng)目方案設(shè)計(jì)階段控制程序文件，包括明確工作內(nèi)容、流程、文檔模板，內(nèi)容應(yīng)覆蓋審核條款的要求。項(xiàng)目

3、技術(shù)方案、實(shí)施方案、溝通記錄。10.依據(jù)技術(shù)方案，編制安全集成實(shí)施方案，明確項(xiàng)目人員、進(jìn)度、質(zhì)量、溝通、風(fēng)險(xiǎn)等方面要求。11.結(jié)合技術(shù)方案和實(shí)施方案，與客戶進(jìn)行溝通，獲得客戶認(rèn)可。12.僅二級/一級要求：結(jié)合需求分析和客戶在保障系統(tǒng)安全方面的投入能力，提出系統(tǒng)建設(shè)安全設(shè)計(jì)說明書，明確系統(tǒng)架構(gòu)、產(chǎn)品選型、產(chǎn)品功能、性能及配置等參數(shù)。項(xiàng)目方案設(shè)計(jì)階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款要求。提供系統(tǒng)建設(shè)安全設(shè)計(jì)說明書。13.僅二級/一級要求：組織客戶及相關(guān)技術(shù)專家對技術(shù)方案和實(shí)施方案進(jìn)行論證，確認(rèn)是否滿足系統(tǒng)功能、性能和安全性要求。項(xiàng)目管理評審程序，包括明確工作內(nèi)容、過程、方法、文檔模板，內(nèi)容應(yīng)覆蓋審

4、核條款要求。提供專家對項(xiàng)目技術(shù)方案、實(shí)施方案的評審論證意見。14.僅二級/一級要求：結(jié)合技術(shù)方案，對項(xiàng)目組及第三方配合人員進(jìn)行業(yè)務(wù)和技能培訓(xùn)。項(xiàng)目方案設(shè)計(jì)階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款要求。提供業(yè)務(wù)和技能的相關(guān)培訓(xùn)記錄。15.僅一級要求：結(jié)合項(xiàng)目需要，編制安全集成項(xiàng)目施工手冊和作業(yè)指導(dǎo)書。項(xiàng)目方案設(shè)計(jì)階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。提供安全集成項(xiàng)目施工手冊和作業(yè)指導(dǎo)書。16.僅一級要求：對于新建系統(tǒng)，建設(shè)實(shí)施過程應(yīng)重點(diǎn)關(guān)注信息系統(tǒng)的功能、性能和安全性等方面要求。對于系統(tǒng)改造，還應(yīng)考慮改造前技術(shù)測試驗(yàn)證及在實(shí)施失敗后的回退措施。技術(shù)測試驗(yàn)證需要考慮新舊系統(tǒng)的兼容問題，包括網(wǎng)絡(luò)兼

5、容、系統(tǒng)兼容、應(yīng)用兼容等。17.僅一級要求：基于安全集成項(xiàng)目需求和進(jìn)度計(jì)劃，編制信息安全產(chǎn)品和工具定制開發(fā)計(jì)劃。項(xiàng)目方案設(shè)計(jì)階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。提供自主開發(fā)的信息安全產(chǎn)品、平臺和工具清單。18.建設(shè)實(shí)施-實(shí)施集成依據(jù)已確認(rèn)的安全集成項(xiàng)目技術(shù)方案和實(shí)施方案，按照時(shí)間和質(zhì)量要求進(jìn)行系統(tǒng)建設(shè)。項(xiàng)目建設(shè)實(shí)施階段控制程序文件，包括工作內(nèi)容、過程、方法、文檔模板，內(nèi)容應(yīng)覆蓋審核條款的要求。提供項(xiàng)目施工記錄。19.項(xiàng)目實(shí)施人員按時(shí)提交施工記錄和工程日志，及時(shí)向項(xiàng)目經(jīng)理匯報(bào)項(xiàng)目進(jìn)度。20.建立安全集成項(xiàng)目協(xié)調(diào)機(jī)制，明確責(zé)任人，暢通信息溝通渠道，保障各相關(guān)方在項(xiàng)目實(shí)施過程中能夠有效充分的

6、溝通。項(xiàng)目建設(shè)實(shí)施階段控制程序，覆蓋審核條款要求。提供溝通方案。21.僅二級/一級要求：產(chǎn)品、設(shè)備安裝調(diào)試過程中，應(yīng)完整妥善記錄相關(guān)信息。項(xiàng)目建設(shè)實(shí)施階段控制程序，覆蓋審核條款要求。提供安裝調(diào)試記錄、項(xiàng)目完工報(bào)告。22.僅二級/一級要求：項(xiàng)目建設(shè)施工完成后，需向客戶提交完工報(bào)告。23.僅二級/一級要求：項(xiàng)目實(shí)施完成后，相關(guān)過程記錄及時(shí)歸檔，并統(tǒng)一保管。項(xiàng)目建設(shè)實(shí)施階段控制程序，覆蓋審核條款要求。提供項(xiàng)目過程文檔歸檔方式及歸檔記錄。24.僅一級要求：建立項(xiàng)目變更管理程序，對項(xiàng)目實(shí)施過程中方案、資源變更進(jìn)行有效控制，完整記錄變更過程。項(xiàng)目建設(shè)實(shí)施階段控制程序，覆蓋審核條款要求。提供變更管理程序、變

7、更記錄。25.僅一級要求：制定項(xiàng)目應(yīng)急處置方案和恢復(fù)策略，對項(xiàng)目過程中的應(yīng)急事件及時(shí)進(jìn)行響應(yīng)。項(xiàng)目建設(shè)實(shí)施階段控制程序，覆蓋審核條款要求。提供應(yīng)急處置方案、恢復(fù)策略、處置記錄。26.建設(shè)實(shí)施-監(jiān)督管理僅一級要求：定期對項(xiàng)目實(shí)施情況進(jìn)行評審，采取適當(dāng)措施，控制項(xiàng)目風(fēng)險(xiǎn)。項(xiàng)目管理評審程序，覆蓋審核條款的要求。提供項(xiàng)目評審與質(zhì)量控制文檔。27.安全保障-系統(tǒng)測試依據(jù)項(xiàng)目技術(shù)方案和測試計(jì)劃，對系統(tǒng)進(jìn)行聯(lián)調(diào)和系統(tǒng)測試，完整記錄測試過程相關(guān)信息。項(xiàng)目安全保障階段控制程序文件，包括明確工作內(nèi)容、過程、方法、文檔模板，內(nèi)容應(yīng)覆蓋審核條款的要求。提供測試方案、計(jì)劃、記錄。28.對于新建系統(tǒng)重點(diǎn)測試系統(tǒng)的功能、性

8、能和安全性等；對于系統(tǒng)改造或升級項(xiàng)目，還需進(jìn)行兼容性測試。29.僅二級/一級要求：系統(tǒng)測試完成后，制定系統(tǒng)測試報(bào)告，并提交客戶。項(xiàng)目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。提供測試報(bào)告、初驗(yàn)申請與報(bào)告。30.僅二級/一級要求：結(jié)合項(xiàng)目需要提出初驗(yàn)申請，組織客戶及相關(guān)方對項(xiàng)目進(jìn)行初驗(yàn)，并提交初驗(yàn)報(bào)告。31.僅一級要求：基于建設(shè)系統(tǒng)的安全要求，制定系統(tǒng)安全性測試方案，模擬攻擊場景，對系統(tǒng)安全性進(jìn)行測試。項(xiàng)目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。提供系統(tǒng)安全性測試方案、測試記錄。32.安全保障-系統(tǒng)試運(yùn)行為測試系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，系統(tǒng)初驗(yàn)后需進(jìn)行試運(yùn)行，并記錄系統(tǒng)運(yùn)行

9、狀況。項(xiàng)目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。提供系統(tǒng)試運(yùn)行記錄、設(shè)備調(diào)整維護(hù)記錄。33.基于系統(tǒng)運(yùn)行相關(guān)記錄，及時(shí)對系統(tǒng)設(shè)備進(jìn)行調(diào)整和維護(hù)。34.僅二級/一級要求：系統(tǒng)試運(yùn)行周期至少一個(gè)月。項(xiàng)目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。提供系統(tǒng)試運(yùn)行方案、系統(tǒng)試運(yùn)行記錄、系統(tǒng)試運(yùn)行報(bào)告。35.僅二級/一級要求：試運(yùn)行結(jié)束后，項(xiàng)目組制定系統(tǒng)試運(yùn)行報(bào)告，并提交客戶。項(xiàng)目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。提供系統(tǒng)試運(yùn)行報(bào)告。36.僅一級要求：制定系統(tǒng)試運(yùn)行計(jì)劃，建立應(yīng)急響應(yīng)服務(wù)保障團(tuán)隊(duì)，及時(shí)應(yīng)對突發(fā)事件。項(xiàng)目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的

10、要求。提供應(yīng)急預(yù)案、系統(tǒng)運(yùn)行策略和安全指南、配置管理方案、系統(tǒng)試運(yùn)行報(bào)告。37.僅一級要求：綜合分析系統(tǒng)運(yùn)行狀態(tài)，建立系統(tǒng)運(yùn)行策略和安全指南，并對相關(guān)產(chǎn)品和設(shè)備設(shè)施進(jìn)行配置管理。38.僅一級要求：提供三個(gè)月以上的試運(yùn)行記錄和報(bào)告。39.安全保障-驗(yàn)收根據(jù)合同約定，向客戶提交完整的項(xiàng)目資料及交付物，并提出終驗(yàn)申請。項(xiàng)目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。提供項(xiàng)目終驗(yàn)申請、項(xiàng)目終驗(yàn)報(bào)告。40.根據(jù)合同約定，配合組織項(xiàng)目驗(yàn)收，出具項(xiàng)目驗(yàn)收報(bào)告41.安全保障-運(yùn)行維護(hù)根據(jù)合同約定，向客戶提供維保服務(wù)，并形成維保記錄。項(xiàng)目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。提供系統(tǒng)維護(hù)記錄。42.僅二級/一級要求：建立客戶滿意度調(diào)查機(jī)制，并對調(diào)查結(jié)果進(jìn)行分析。項(xiàng)目建設(shè)實(shí)施階段控制程序文件，覆蓋審核條款的要求。提供滿意度調(diào)查記錄。43.僅一級要求：建立維保流程，制定維保方案，并按方案實(shí)施維保。項(xiàng)目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。提供系統(tǒng)維護(hù)方