信息系統(tǒng)安全系統(tǒng)運維服務(wù)資質(zhì)認證自評價與衡量表

1、實用標(biāo)準文案信息系統(tǒng)平安運維效勞資質(zhì)認證自評估表組織名稱申報級別評估時間評估部門/人員序 號要點條款需提供證實材料自評估 結(jié)論證實材料清單符 合不 符 合1.準備階段一 需求調(diào)研與 分析采集客戶對信息系統(tǒng)運維效勞時間的需 求.運維前的客戶需求調(diào)查報告,可結(jié)合結(jié)合業(yè)務(wù)部門,公司局層的戰(zhàn)略規(guī)劃,內(nèi)容必 須有效勞時間要求.2.進行信息系統(tǒng)運維預(yù)算,定義運維效勞.運維前的信息系統(tǒng)運維預(yù)算表,內(nèi)容應(yīng)包 括工作量、人力資源工程經(jīng)費、工程節(jié)點 等.3.與客戶進行溝通,達成共識并形成記 錄.運維前與客戶溝通的記錄,應(yīng)有溝通結(jié)果 雙方達成共識的表達.4.僅二級要求：識別與分析信息系統(tǒng)運維 過程中的歷史數(shù)據(jù),提出

2、系統(tǒng)運維的保 障策略和解決方案.信息系統(tǒng)運維過程中的歷史數(shù)據(jù)清單； 歷史數(shù)據(jù)清單的分析報告,內(nèi)容包含指標(biāo)完成情況、違例操作、重大事件、重大失 敗艾更等.根據(jù)報告的分析制定的運維策略,及實施文檔實用標(biāo)準文案力殺；僅二級要求：分析客戶對信息系統(tǒng)平安 效勞的需求和類型.客戶需求調(diào)查報告,包含信息系統(tǒng)平安服 務(wù)的需求和類型；5.僅二級要求：收集與分析信息系統(tǒng)的可 用性指標(biāo),明確可用性指標(biāo)的類型.信息系統(tǒng)的可用性指標(biāo)清單,如整體指標(biāo) 或單系統(tǒng)指標(biāo)等；6.僅二級要求：分析以往效勞的數(shù)據(jù),提 取出米未米口自動化的效勞.以往提供效勞的解決方案, 對生產(chǎn)的影響的分析報告；根據(jù)以往平安事件的解決效率進行分析, 適

3、宜時提出來未來可自動化的效勞.7.僅一級要求：內(nèi)部團隊之間的平安運營 級別協(xié)議應(yīng)和與平安運維第三方之間的 的效勞級別設(shè)計保持一致.效勞級別設(shè)計、平安運營級別協(xié)議,兩者 應(yīng)保持一致.8.僅一級要求：平安組織中要設(shè)定平安領(lǐng) 導(dǎo)小組；在采用外包模式的情況下,執(zhí) 行組還應(yīng)包含平安運維效勞供給商參與 運維的人員.平安組織架構(gòu)圖及相關(guān)運維人員清單,其中應(yīng)有平安領(lǐng)導(dǎo)小組；外包模式的執(zhí)行組中應(yīng)有第三方參與運維的人員.9.僅一級要求：米用基于PDCA的治理模 型,從籌劃,實施,監(jiān)視與評審和持續(xù) 改良進行體系化的信息系統(tǒng)平安運維服務(wù).信息系統(tǒng)平安運維效勞有籌劃,實施,監(jiān) 視與評審和持續(xù)改良流程.文檔實用標(biāo)準文案1

4、0.僅一級要求：建立平安運維可視化視 圖.基于信息系統(tǒng)平安的生命周期,建 立信息系統(tǒng)平安運維的整體策略.基于 客戶、業(yè)務(wù)的價值表達,形成平安運維 的整體視圖.平安運維工程施工手冊和作業(yè)指導(dǎo)書；新建系統(tǒng),建設(shè)實施過程應(yīng)重點關(guān)注信息 系統(tǒng)的功能、性能和平安性等方面要求, 應(yīng)保存與客戶的需求分析記錄；系統(tǒng)改造中考慮造前技術(shù)測試驗證及在實施失敗后的回退舉措；測試驗證中對舊系統(tǒng)的兼容問題,包括網(wǎng)絡(luò)兼容、系統(tǒng)兼容、應(yīng)用兼容等,有驗證 報告.11.準備階段一 運維效勞設(shè)計制定平安運維效勞目錄,目錄內(nèi)容包括 但不限于：初始效勞、平安設(shè)備運維、 日常巡檢效勞、健康檢查、平安事件審 計.平安運維效勞目錄,內(nèi)容包含

5、條款要求.12.信息系統(tǒng)相關(guān)的IT資產(chǎn)進行識別.IT資產(chǎn)識別清單,內(nèi)容有 IT資產(chǎn)識別的 標(biāo)識、分級、保護和軟件配置建立根底資 料檔案；有設(shè)備和系統(tǒng)的種類、型號、功能、物理 位置、端口對應(yīng)情況、部署情況等資產(chǎn)詳 細信息.13.對平安設(shè)備進行日常維護及監(jiān)控,并記 錄硬件故障.平安設(shè)備的日常維護,狀態(tài)檢查,定期查 殺,故障處理、保養(yǎng)、更新、升級、故障 檢測及排除,并對平安設(shè)備出現(xiàn)的硬件故 障進行統(tǒng)計的記錄.14.提供平安設(shè)備、業(yè)務(wù)系統(tǒng)的健康檢查服 務(wù),并約定效勞方式、檢查頻次和檢查 內(nèi)容.有平安運維效勞使用者約定的效勞方式 現(xiàn)場檢查,遠程檢查、檢查頻次和檢查的文件記錄.15.采集系統(tǒng)配置、流量信息

6、、系統(tǒng)狀態(tài)等 平安信息.平安設(shè)備、業(yè)務(wù)系統(tǒng)的健康檢查效勞,應(yīng)與平安運維效勞使用者約定的效勞方式現(xiàn)場檢查,遠程檢查、檢查頻次和檢 查的文件的記錄.文檔實用標(biāo)準文案16.收集與分析網(wǎng)絡(luò)及平安設(shè)備、效勞器、 操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用的日志.有對網(wǎng)絡(luò)及平安設(shè)備日志,效勞器、操作 系統(tǒng)等日志,網(wǎng)絡(luò)應(yīng)用日志的記錄與分析 報告.17.僅二級要求：對信息平安事件進行統(tǒng)計 與分析.信息平安事件的統(tǒng)計表,分析報告； 信息系統(tǒng)的可用性事件、方案、報告； 平安運維角色清單.18.僅二級要求：編寫平安運維效勞目錄, 目錄內(nèi)容包括但不限于：運維監(jiān)控與分 析、終端平安監(jiān)控、等級保護合規(guī)性運 維.平安運維效勞目錄, 內(nèi)容應(yīng)包含有條

7、款的 要求.19.僅二級要求：建立信息系統(tǒng)平安運維的 問題治理程序.信息系統(tǒng)問題治理程序,已審批并發(fā)布.20.僅二級要求：建立知識治理程序及初步 形成知識庫.知識治理程序,已審批并發(fā)布.21.僅二級要求：編制信息系統(tǒng)的可用,住計 戈IJ,監(jiān)控引用性事件,報告引用性執(zhí)行, 指導(dǎo)可用性的改良.信息系統(tǒng)的可用性事件、方案、報告.22.僅二級要求：形成信息平安治理的組織 架構(gòu),組織結(jié)構(gòu)的構(gòu)成要素與平安運維 活動角色相對應(yīng).信息平安治理的組織架構(gòu)表,平安運維角色清單,應(yīng)與組織的構(gòu)成要素對應(yīng).23.僅一級要求：編制平安運維工程作業(yè)指 導(dǎo)書.平安運維工程中各模塊作業(yè)指導(dǎo)書.文檔實用標(biāo)準文案24.僅一級要求：

8、建設(shè)實施過程中應(yīng)關(guān)注信 息系統(tǒng)的功能、性能和平安性方面要求. 改造過程中應(yīng)制定測試方案及回退措施.有改造過程中的信息系統(tǒng)的測試方案； 有信息系統(tǒng)的基線、回退的舉措文件.25.僅一級要求：編寫平安運維效勞目錄, 目錄內(nèi)容包括但不限于：平安通告及漏 洞分析、應(yīng)急響應(yīng)效勞.平安運維效勞目錄, 內(nèi)容有條款要求的服 務(wù).26.準備階段一 運維效勞導(dǎo) 入收集與建立配置治理數(shù)據(jù)庫,保證配置 工程的機密性、完整性、可用性.完整的配置數(shù)據(jù)庫,能初步收集資產(chǎn)與配 置項,并保證配置工程的機密性、 完整性、 可用性.27.專業(yè)人員負責(zé)平安治理的接口.完整的配置數(shù)據(jù)庫,能初步收集資產(chǎn)與配 置項,并保證配置工程的機密性、

9、 完整性、 可用性.28.建立效勞目錄.平安運維效勞目錄.29.建立事件響應(yīng)和解決的機制,足根本的平安運維報告模式.平安事件處理與應(yīng)急響應(yīng)流程,平安事件處理與上報流程.30.僅二級要求：采用流程化治理方法,基 于平安事件處理流程、平安培訓(xùn)效勞流 程、滲透測試流程進行標(biāo)準化的信息系 統(tǒng)平安運維工作.滲透測試的方案和記錄；建立平安事件處理流程,平安培訓(xùn)效勞流 程,滲透測試的流程.31.僅一級要求：基于滲透測試流程治理進 行標(biāo)準化的信息系統(tǒng)平安運維工作.運維過程中的滲透測試的方案和記錄.32.僅一級要求：編制信息平安產(chǎn)品和工具 定制開發(fā)方案.信息平安產(chǎn)品和工具定制開發(fā)方案,內(nèi)容可以應(yīng)客戶要求或組織自

10、身的水平.文檔實用標(biāo)準文案33.準備階段一 效勞協(xié)議的 特殊要求明確平安事件處理與應(yīng)急響應(yīng)流程,流 程包括但不限于：平安事件的分類、安 全事件上報流程、平安事件處理流程、 平安事件的事后處理.建立平安事件處理流程,應(yīng)急響應(yīng)流程, 內(nèi)容應(yīng)包括條款要求；34.明確平安運維的方式,方式包括但不限 于：駐場值守方式,定期巡檢方式,遠 程值守方式.效勞級別協(xié)議協(xié)議, 其中內(nèi)容包括運維的 力式.35.僅二級要求：簽訂效勞級別協(xié)議,建立 信息系統(tǒng)應(yīng)急事件響應(yīng)機制和恢復(fù)保障.效勞級別協(xié)議,內(nèi)容包括承諾信息系統(tǒng)核心指標(biāo)；應(yīng)急響應(yīng)方案、系統(tǒng)恢復(fù)方案.36.僅二級要求：建立問題治理程序.信息系統(tǒng)的問題治理程序,已審

11、批并發(fā) 布.37.僅二級要求：建立息系統(tǒng)平安的配置 庫及關(guān)聯(lián)關(guān)系信息.配置庫,系統(tǒng)平安配置項之間有關(guān)聯(lián)信 息.38.僅一級要求：建立信息系統(tǒng)平安運維服 務(wù)級別治理程序,簽訂效勞級別協(xié)議.有已通過審核并發(fā)布的信息系統(tǒng)平安運 維效勞級別治理程序； 查看客戶有效勞級別協(xié)議.39.僅一級要求：建立信息系統(tǒng)應(yīng)急事件響 應(yīng)機制和恢復(fù)保證.應(yīng)急響應(yīng)方案、系統(tǒng)恢復(fù)方案的演練記 錄；40.僅一級要求：對客戶滿意度進行趨勢分 析.客戶滿意度調(diào)查報告與趨勢分析報告；41.僅一級要求：建立應(yīng)急響應(yīng)和災(zāi)難恢復(fù) 機制,形成業(yè)務(wù)連續(xù),性方案.發(fā)布且通過審批的業(yè)務(wù)連續(xù),住方案.42.效勞實施階 段實施初始效勞：完成資產(chǎn)識別,

12、定期配 置項的更新加維護,實施相關(guān)運維流程.資產(chǎn)識別表,對配置項的更新和維護記 錄,實施相關(guān)運維流程的記錄.文檔實用標(biāo)準文案43.實施平安設(shè)備運維效勞：完成日常維護,狀態(tài)檢查,定期查殺,故障處理、保養(yǎng)、 更新、升級、故障檢測及排除,并對安 全設(shè)備出現(xiàn)的硬件故障進行統(tǒng)計記錄.日常維護,巡檢、狀態(tài)檢查,定期查殺, 故障處理、保養(yǎng)、更新、升級、故障檢測 及排除的記錄；44.實施日常巡檢效勞：完成平安設(shè)備監(jiān)控； 病毒監(jiān)測、查殺及網(wǎng)絡(luò)防病毒維護,并 有相關(guān)記錄.信息平安事件審計報告,如網(wǎng)絡(luò)及平安設(shè)備日志、效勞器、操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用的 日志；45.實施健康檢查效勞：完成平安設(shè)備、業(yè) 務(wù)系統(tǒng)的健康檢查效勞.

13、平安設(shè)備、業(yè)務(wù)系統(tǒng)的健康檢查效勞,主 要,作針對于設(shè)備的可用性、持續(xù)性,并 提供相應(yīng)效勞記錄.46.實施平安事件審計效勞：完成網(wǎng)絡(luò)及安 全設(shè)備日志、效勞器、操作系統(tǒng)、網(wǎng)絡(luò) 應(yīng)用的日志、并且進行記錄.實施平安事件審計效勞,內(nèi)容包含條款中 的要求.47.組建運維效勞臺職能,培養(yǎng)效勞臺人員 的專業(yè)水平.建立效勞臺；提供效勞臺人員的培訓(xùn)記錄.48.建立事件治理程序和信息平安效勞請求 治理程序.事件治理程序,已審批并發(fā)布； 效勞請求治理程序,已審批并發(fā)布.49.僅二級要求：實施運維監(jiān)控與分析并形 成記錄.運維監(jiān)控分析報告,內(nèi)容以數(shù)據(jù)來分析各 個指標(biāo)的趨勢.50.僅二級要求：進行等級保護合規(guī)性運 維.針對

14、信息系統(tǒng)平安建立保護等級； 對信息系統(tǒng)分級的標(biāo)準；文檔實用標(biāo)準文案51.僅二級要求：實施平安通告及漏洞分析 效勞：完成業(yè)界動態(tài)的通告、收集國家 平安政策及法律法規(guī)、漏洞通告、病毒 通告、廠商平安通告及其他平安通告.通告與漏洞分析記錄,內(nèi)容為業(yè)界動態(tài)的 通告、收集國家平安政策及法律法規(guī)、漏 洞通告、病毒通告、廠商平安通告及其他 平安通告,并生成分析報告.52.僅二級要求：實施應(yīng)急響應(yīng)效勞：完成 應(yīng)急響應(yīng)預(yù)案制定,對應(yīng)急事件及時響 應(yīng),并對應(yīng)急進行演練,形成相關(guān)記錄通告與漏洞分析記錄；應(yīng)急響應(yīng)服預(yù)案,應(yīng)急演練的記錄； 變更治理程序,已審批并發(fā)布； 運維過程中的變更記錄單.53.僅一級要求：建立運維

15、變更治理程序, 對運維實施過程中方案、資源變更進行 有效限制,完整記錄變更過程.針對運維有審批并發(fā)布的變更治理程序； 運維過程中的變更應(yīng)用晌應(yīng)的變更記錄.僅一級要求：制定運維應(yīng)急處置方案和 恢復(fù)策略,對運維過程中的應(yīng)急事件及 時進行響應(yīng).有已審批并發(fā)布的應(yīng)急處置方案和恢復(fù) 策略；運維過程中的響應(yīng)時間是否到達方案要 求.54.監(jiān)視評審階 段應(yīng)定期收集與分析平安運維報告的數(shù) 據(jù),包括但不限于：異常報告及時率、 異常漏報率、維護作業(yè)方案的及時完成 率、故障隱患發(fā)現(xiàn)率、異常主動發(fā)現(xiàn)率、 問題解決率、漏洞掃描覆蓋率、加固設(shè) 備覆蓋率、平安補丁安裝及時率、平安 事件次數(shù).運維數(shù)據(jù)收集記錄, 內(nèi)容應(yīng)包含條款

16、中的 要求.55.對運維實現(xiàn)情況進行監(jiān)視測量,未能實 現(xiàn)的目標(biāo)應(yīng)采取糾止預(yù)防舉措.平安運維實現(xiàn)情況監(jiān)視測量清單,如客戶滿意度、投訴建議、KPI等；糾止預(yù)防舉措記錄單.56.建立與分析客戶滿意度調(diào)查.客戶滿意度調(diào)查報告, 內(nèi)容應(yīng)包括對滿意 度分析.文檔實用標(biāo)準文案57.僅二級要求：根據(jù)方案的時間間隔執(zhí)行 內(nèi)部審核,應(yīng)至少滿足： 既定標(biāo)準的要 求、滿足平安運維效勞需求和客戶所提 出的SM要求、有效被實施和維護.內(nèi)部審核的響應(yīng)文件與記錄；治理評審的響應(yīng)義件與記錄,內(nèi)容應(yīng)包含效勞和流程的執(zhí)行情況和符合性；58.僅二級要求：定期回憶平安運維效勞, 保證其持續(xù)適用和有效.治理評審的輸 入至少包括：客戶反應(yīng)

17、、效勞和流程的 執(zhí)行情況和符合性、當(dāng)前和預(yù)測資源水 平、糾正舉措的進展情況、可能影響安 全運維效勞的艾更、改良的時機.當(dāng)前和預(yù)測資源水平；糾正舉措的進展情況；可能影響平安運維效勞的變更；改良的時機,如指標(biāo)為滿足、運維中存在 的問題、效勞提升點等.59.僅一級要求：形成體系化的審核機制及 企業(yè)文化.內(nèi)部審核機制形成體系,表現(xiàn)形式如：體 系文件、PDC戰(zhàn)程、第三方認證等； 建立效勞監(jiān)視治理流程60.僅一級要求：體系化的效勞監(jiān)視治理, 形成審核機制.61.僅一級要求：定期評審客戶對平安運維 效勞的滿意度.客戶滿意度調(diào)查表,包括：定期評審、主 動回訪等.62.平安運維運 一維持續(xù)改 進應(yīng)在運維過程和監(jiān)

18、視過程中識別改良項 目,制定持續(xù)改良方案,方案應(yīng)包括對 改良時機的評估標(biāo)準.平安運維持續(xù)改良方案；查看改良方案的評估標(biāo)準.包括：識別過程、記錄過程、是否有批準 過程、評估、測量和適合的報告機制.63.應(yīng)有文件化的程序用以識別、記錄、批 準、評估、測量和報告改良舉措.64.應(yīng)采取預(yù)防舉措,以消除潛在的不符合 項的原因,以預(yù)防其發(fā)生.平安運維預(yù)防舉措文件,及其有效性驗證 的記錄.65.僅二級要求：改良時機應(yīng)劃分優(yōu)先級, 籌劃被批準的改良時機.改良時機分析報告,及其批準證據(jù)；優(yōu)先級排序的方式不限,但應(yīng)有合理性.文檔實用標(biāo)準文案66.僅二級要求：改良活動應(yīng)進行治理,至 少包括： 設(shè)定改良目標(biāo)、保證批準的改 進活動被實施、報告被實施的改良方案.改良活動的方案、實施、有效性測量記錄； 內(nèi)容包括設(shè)定改良目標(biāo)、 保證批準的改良 活動被實施、報告被實施的改良方案.67.僅一級要求：持續(xù)效勞改良,形成持續(xù) 效勞改良文化和意識.有效勞改良的意識以培訓(xùn), 宣貫的方式傳 到達員工,有相應(yīng)的記錄.68.僅一級要求：基于運維效勞的缺陷,提 出改良策略和方案.對運維的重大事件、失敗變更、效