信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證自表

1、信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證自評估表組織名稱申報級別評估時間評估部門/人員序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合1.服務(wù)技術(shù)要求建立信息安全應(yīng)急處理服務(wù)流程。按照相關(guān)標(biāo)準(zhǔn)建立的信息安全應(yīng)急處理服務(wù)流程， 流程圖中應(yīng)包括每個階段對應(yīng)的職責(zé)、輸入輸出等。2.制定信息安全應(yīng)急處理服務(wù)規(guī)范并按照規(guī)范實施。已制定的信息安全應(yīng)急處理服務(wù)規(guī)范。3.準(zhǔn)備階段明確客戶的應(yīng)急需求。應(yīng)急服務(wù)內(nèi)容，已完成項目中對客戶應(yīng)急需求進(jìn)行調(diào)研分析的證明材料。4.了解客戶應(yīng)急預(yù)案的內(nèi)容。需對客戶自身已建立的應(yīng)急預(yù)案的內(nèi)容進(jìn)行了解與熟悉（客戶應(yīng)急預(yù)案的內(nèi)容）。5.向客戶提供應(yīng)急處理服務(wù)流程。應(yīng)為客戶提供本企業(yè)應(yīng)

2、急處理服務(wù)流程，使其了解應(yīng)急處理服務(wù)的相關(guān)環(huán)節(jié) （應(yīng)急處理服務(wù)流程圖及各階段序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合工作說明）。6.僅三級要求：可提供本地2小時應(yīng)急響應(yīng)服務(wù)能力。該級別服務(wù)提供商需具備本地2小時應(yīng)急響應(yīng)時間的能力（服務(wù)承諾書）。7.配備有處理網(wǎng)絡(luò)或信息安全事件的工具包，包括常用的系統(tǒng)命令、工具軟件等。工具包及工具列表。8.工具包應(yīng)定期更新。工具包更新記錄。9.配備應(yīng)急處理服務(wù)人員。服務(wù)人員列表、專業(yè)資質(zhì)證書。10.對在應(yīng)急處理服務(wù)過程中可能會米取的操作、處理等行為，獲得用戶的書面授權(quán)。用戶出具的書面授權(quán)書。11.僅二級/一級要求：在客戶應(yīng)急需求基礎(chǔ)上制定應(yīng)急服

3、務(wù)方案。應(yīng)急服務(wù)方案（模板和實際服務(wù)項目力不）012.僅二級/一級要求：應(yīng)急服務(wù)方案應(yīng)涉及客戶應(yīng)急預(yù)案的啟動與執(zhí)行。應(yīng)急服務(wù)方案中應(yīng)涵蓋客戶自身建立的應(yīng)急預(yù)案內(nèi)容。13.僅二級/一級要求：若客戶未建立應(yīng)急預(yù)案，可協(xié)助客戶建立。協(xié)助客戶建立的應(yīng)急預(yù)案。14.僅二級要求：可提供本地1小時、外地8小時應(yīng)急響應(yīng)服務(wù)能力。該級別服務(wù)提供者應(yīng)具備本地1小時、外地8小時提供應(yīng)急處理服務(wù)的能力（服務(wù)承諾書、合同條款等）。序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合15.僅二級/一級要求：網(wǎng)絡(luò)與信息安全事件工具包中應(yīng)配備專業(yè)技術(shù)檢測設(shè)備。工具包及工具列表。16.僅二級/一級要求：對工具包實行制度化

4、管理。工具包管理制度及執(zhí)行記錄。17.僅一級要求：建立有體系化的應(yīng)急處理服務(wù)流程。應(yīng)急服務(wù)流程應(yīng)納入公司的相關(guān)體系管理范圍（相關(guān)體系文件及實施記錄）。18.僅一級要求：可提供本地7X24小時、外地4小時應(yīng)急響應(yīng)服務(wù)能力。該級別服務(wù)提供者應(yīng)具備本地7X24小時、 外地4小時提供應(yīng)急處理服務(wù)的能力（簽訂的服務(wù)級別協(xié)議）。19.僅一級要求：與客戶之間建立安全保密的信息傳輸渠道。與客戶傳輸信息時米用可信及保密傳輸渠道的證明材料。20.僅一級要求：具有自主開發(fā)專業(yè)檢測工具的能力。該級別服務(wù)提供商需具備自主開發(fā)專業(yè)安全檢測工具的能力， 如有自主知識產(chǎn)權(quán)的工具產(chǎn)品（自主知識產(chǎn)權(quán)書、商用產(chǎn)品檢測證書、安全產(chǎn)品

5、認(rèn)證證書等）。21.檢測階段確定檢測對象及范圍。確定檢測對象及范圍的過程記錄。22.對發(fā)生異常的系統(tǒng)進(jìn)行信息的收集與分析，判斷是否真止發(fā)生了安全事件。收集信息的過程及判斷依據(jù)（過程記錄）。23.與客戶共同確定應(yīng)急處理方案。提供應(yīng)急處理方案（模板及實際項目序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合的應(yīng)急處理方案）。24.應(yīng)急處理方案應(yīng)明確檢測范圍與檢測行為規(guī)范，其檢測范圍應(yīng)僅限于客戶已授權(quán)的與安全事件相關(guān)的數(shù)據(jù)，對客戶的機(jī)密性數(shù)據(jù)信息未經(jīng)授權(quán)不得訪問。應(yīng)急處理方案的內(nèi)容中應(yīng)明確規(guī)定檢測范圍及檢測行為規(guī)范 （模板及實際項目的應(yīng)急處理方案）。25.與客戶充分溝通，并預(yù)測應(yīng)急處理方案可

6、能造成的影響。應(yīng)急處理方案涉及的風(fēng)險闡述 （風(fēng)險識別與風(fēng)險控制措施）。26.檢測工作應(yīng)在客戶的監(jiān)督與配合下完成。應(yīng)急處理工作流程或其他文檔中約定的工作配合/監(jiān)督機(jī)制，相關(guān)過程記錄。27.僅二級/一級要求：建立有針對常規(guī)應(yīng)用系統(tǒng)、安全設(shè)備、常見網(wǎng)絡(luò)與信息安全事件的檢測技術(shù)規(guī)范。提供相應(yīng)的檢測技術(shù)規(guī)范列表及各規(guī)范內(nèi)容（范本或應(yīng)用本），如針對windows、Aix、Unix、Linux、oracle、Firewalls、Router等。28.僅二級/一級要求：協(xié)助客戶確定安全事件等級。信息收集的過程及確定安全事件等級的證明材料。29.僅一級/一級要求：應(yīng)急處理方某應(yīng)包含對安全事件的抑制、根除和恢復(fù)的

7、詳細(xì)處理步驟。應(yīng)急方案應(yīng)涵蓋該內(nèi)容。30.僅一級/一級要求：應(yīng)急處理方某應(yīng)包含實施方案失敗的應(yīng)變和回退措施。應(yīng)急方案應(yīng)涵蓋該內(nèi)容。序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合31.僅一級要求：建立有完善的檢測技術(shù)規(guī)范及具有對高技術(shù)入侵的檢測技術(shù)能力。相關(guān)技術(shù)檢測規(guī)范， 技術(shù)人員檢測高技術(shù)入侵的能力展示。32.僅一級要求：具有挖掘系統(tǒng)設(shè)備及業(yè)務(wù)系統(tǒng)安全漏洞的能力。提供相關(guān)漏洞的證明，包括漏洞平臺的發(fā)布、漏洞庫編號等。33.僅一級要求：對確認(rèn)的安全事件啟動安全事件管理程序。提供安全事件管理程序及事件啟動條件 （安全事件管理程序文件）。34.僅一級要求：應(yīng)急處理方案中應(yīng)對可能造成的影響

8、進(jìn)行分析，包括社會影響。應(yīng)急處理方案中對社會影響進(jìn)行分析的證明材料。35.抑制階段與客戶充分溝通，使其了解所面臨的首要問題及抑制處理的目的。溝通的內(nèi)容及結(jié)果。36.在米取抑制措施之前，應(yīng)告知客戶可能存在的風(fēng)險。應(yīng)急處理抑制階段涉及的風(fēng)險闡述及告知記錄。37.嚴(yán)格執(zhí)行抑制處理方案中規(guī)定的內(nèi)容，如有必要更改，須獲得客戶的授權(quán)。應(yīng)急抑制處理方案的變更管理 （變更管理涉及的文檔）。38.抑制措施應(yīng)能夠限制受攻擊的范圍，抑制潛在的或少步的攻擊和破壞行為。抑制措施的內(nèi)容。39.僅一級要求：應(yīng)使用可信的工具進(jìn)行安全事件的抑制處理，不得使用受害系統(tǒng)已有的不可信文件。抑制過程中用到的可信工具列表、工具簡介。40

9、.根除階段協(xié)助客戶檢查所有受影響的系統(tǒng)，提出根除建議（方案）的內(nèi)容。序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合根除的方案建議，并協(xié)助客戶進(jìn)行具體實施。41.應(yīng)明確告知客戶所米取的根除措施可能帶來的風(fēng)險。應(yīng)急處理根除階段涉及的風(fēng)險闡述及告知記錄。42.找出導(dǎo)致網(wǎng)絡(luò)或信息安全事件發(fā)生的原因，并予以徹底消除。安全事件得到根除的證明材料。43.僅一級要求：應(yīng)使用可信的工具進(jìn)行安全事件的根除處理，不得使用受害系統(tǒng)已有的不可信文件。根除過程中用到的可信工具列表、工具簡介。44.恢復(fù)階段告知客戶網(wǎng)絡(luò)或信息安全事件的恢復(fù)方法及可能存在的風(fēng)險。應(yīng)急處理恢復(fù)階段涉及的風(fēng)險闡述及告知記錄。45.（如

10、需重建系統(tǒng)時適用該條款）對于不能徹底恢復(fù)配置和徹底清除系統(tǒng)上的惡意文件，或不能肯定系統(tǒng)經(jīng)過根除處理后是否可恢復(fù)正常時，應(yīng)選擇重建系統(tǒng)。重建系統(tǒng)的相關(guān)過程記錄。46.（如需重建系統(tǒng)時適用該條款）應(yīng)協(xié)助客戶按照系統(tǒng)的初始化安全策略恢復(fù)系統(tǒng)。重建系統(tǒng)過程中按照初始化安全策略恢復(fù)系統(tǒng)的相關(guān)過程記錄。47.（如需重建系統(tǒng)時適用該條款）應(yīng)協(xié)助客戶驗證恢復(fù)后的系統(tǒng)是否運(yùn)行正常，并確認(rèn)與原有系統(tǒng)配置保持一致。重建系統(tǒng)過程中關(guān)于確認(rèn)系統(tǒng)配置與原有系統(tǒng)配置是否一致的相關(guān)過程記錄。序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合48.（如需重建系統(tǒng)時適用該條款）在幫助用戶重建系統(tǒng)前需進(jìn)行全面的數(shù)據(jù)備份，備

11、份的數(shù)據(jù)要確保是沒有被攻擊者改變過的數(shù)據(jù)。重建系統(tǒng)過程中關(guān)于數(shù)據(jù)備份的相關(guān)過程記錄。49.（不需重建系統(tǒng)時適用該條款）應(yīng)建立重建系統(tǒng)的應(yīng)急工作流程及規(guī)范，并開展重建系統(tǒng)的應(yīng)急演練工作。重建系統(tǒng)的應(yīng)急工作流程及規(guī)范，重建系統(tǒng)的應(yīng)急演練記錄。50.僅二級/一級要求：與客戶共同制定系統(tǒng)恢復(fù)方案，根據(jù)實際情況協(xié)助客戶選擇合理的恢復(fù)方法。形成的系統(tǒng)恢復(fù)方案及內(nèi)容。51.僅二級/一級要求：（如需重建系統(tǒng)時適用該條款）幫助客戶為重建后的系統(tǒng)建立系統(tǒng)快照。重建系統(tǒng)過程中關(guān)于建立系統(tǒng)快照的相關(guān)過程記錄。52.僅一級要求：（如需重建系統(tǒng)時適用該條款）幫助客戶對重建后的系統(tǒng)進(jìn)行全面的安全加固。重建系統(tǒng)過程中對系統(tǒng)進(jìn)

12、行安全加固的相關(guān)過程記錄。53.總結(jié)階段應(yīng)保存完整的網(wǎng)絡(luò)或信息安全事件處理記錄，并對事件處理過程進(jìn)行總結(jié)和分析。網(wǎng)絡(luò)安全事件處理過程的記錄、 總結(jié)與分析文檔。54.提供網(wǎng)絡(luò)或信息安全事件處理報告。已完成項目的網(wǎng)絡(luò)安全事件處理報告 （報告模板及實際報告）。序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合55.提供網(wǎng)絡(luò)或信息安全方面的建議和意見，必要時指導(dǎo)和協(xié)助客戶實施。已完成項目中向客戶提供的網(wǎng)絡(luò)安全建議。56.僅二級/一級要求：網(wǎng)絡(luò)與信息安全事件處理記錄應(yīng)具備可追溯性。已完成項目的網(wǎng)絡(luò)安全事件處理過程記錄、總結(jié)與分析文檔。57.僅二級/一級要求：提供詳實的網(wǎng)絡(luò)與信息安全事件處理報告，完整展現(xiàn)應(yīng)急處理服務(wù)的整個過程。已完成項目的網(wǎng)絡(luò)安全事件處理報告 （報告模板及實際報告）。58.僅一級要求：對網(wǎng)絡(luò)與信息安全事件進(jìn)行總結(jié)和分析后，針對典型案例存入事件知識庫。知識庫的案例表。59.僅一級要求：提供關(guān)閉安全事件的管理程序。 安全事件的關(guān)閉程序 （安全事件關(guān)閉涉及的文檔）。60.僅一級要求：告知客戶所發(fā)生事件可能涉及到的法律訴訟方面的法律要求或影響。應(yīng)急處理中涉及到司法相