信息安全服務(wù)資質(zhì)公共管理填寫指南

1、.信息安全服務(wù)資質(zhì)認(rèn)證自評估表-公共管理填寫指南填寫要求：1.當(dāng)條款對應(yīng)的需提供證明材料為營業(yè)證照、財務(wù)審計報告、房屋產(chǎn)權(quán)證明、租賃合同、人員簡歷、業(yè)績等容時，在“證明材料清單欄目”中直接按照本文檔中的格式，填寫關(guān)鍵容即可。2.當(dāng)條款對應(yīng)的需提供證明材料為制度或項目文檔時，在“證明材料清單欄目”填寫文檔的完整名稱。例如XX 公司培訓(xùn)管理制度、XX 公司項目管理制度、XX 公司測評工具管理制度等，并概括地介紹制度或項目文檔各章節(jié)的主要容。3.當(dāng)條款對應(yīng)的需提供證明材料為記錄文檔時，在“證明材料清單欄目” 填寫記錄的完整名稱。 例如2016 年 XX 公司培訓(xùn)計劃、XX項目人員培訓(xùn)記錄、XX 公司

2、供應(yīng)商名錄等，并概括地介紹記錄文檔的主要容。4.當(dāng)條款對應(yīng)的需提供證明材料為某制度或文檔的某章節(jié)容時，在“證明材料清單欄目”填寫文檔的完整名稱及對應(yīng)的章節(jié)編號。例如XX 項目調(diào)研報告第X 章 安全服務(wù)需求分析、 XX 項目合同第 X 條 要求等，并對相關(guān)容進(jìn)行總結(jié)概括。5.所有出現(xiàn)在“證明材料清單”欄目中的文檔，都需提供相應(yīng)的電子版文檔或紙質(zhì)文檔的掃描件作為證明材料，并按照條款的序號建立文件夾整理歸檔，建立文件夾的格式為“序號-條款的考核容”，例如“ 1-營業(yè)執(zhí)照”、“2-審計報告”、“5-技術(shù)負(fù)責(zé)人簡歷”、“9-人員管理及培訓(xùn)”等。頁腳.以下給出了一份填寫樣例，供填報組織進(jìn)行參考。填報組織應(yīng)

3、按照填寫樣例的細(xì)粒度，進(jìn)行相關(guān)信息的填報。頁腳.組織名稱XX 公司（全稱）評估時間XX年X月 X日-X月 X日服務(wù)類別 / 級別所申請或維持的資質(zhì)類別/ 級別，例如“風(fēng)險評估/ 二級”評估部門 / 人員XX 部/XX序要點條款號三級初次非現(xiàn)場必填僅適用于初次認(rèn)證：在人民國境注冊的獨立法人組織，發(fā)展法律地位1.歷程清晰，產(chǎn)權(quán)關(guān)系明確。要求監(jiān)督審核：如有變化則重新提供。三級初次非現(xiàn)場必填遵循相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求，無違規(guī)2.記錄，資信狀況良好。需提供證明材料營業(yè)執(zhí)照 / 事業(yè)單位登記證，核對注冊號、法定代表人、注冊資本、公司類型、經(jīng)營圍、成立日期、營業(yè)期限等。（提供企業(yè)在企業(yè)信用信息公示系統(tǒng).gs

4、. ）提供企業(yè)在企業(yè)信用信息公示系統(tǒng)（ .. ）上的企業(yè)信用信息。自評估結(jié)論不證明材料清單符符合合提供營業(yè)執(zhí)照 / 事業(yè)單位登記證原件。注冊號：法定代表人：注冊資本：公司類型：成立日期：營業(yè)期限：經(jīng)營圍：注：監(jiān)督檢查如有變化應(yīng)注明變化容提供企業(yè)信用查詢相關(guān)的截圖證據(jù)。三級初次非現(xiàn)場必填財務(wù)資信3.僅適用于初次認(rèn)證：要求近 3 年經(jīng)營狀況良好，財務(wù)數(shù)據(jù)真實可財務(wù)審計報告或（ 僅限于三級 ）加蓋XX 年：由 XX 會計師事務(wù)所出具，凈利潤為XX 元；XX 年：由 XX 會計師事務(wù)所出具，凈利潤為XX 元；本單位財務(wù)章的財務(wù)報表（近 3 年）。XX 年：由 XX 會計師事

5、務(wù)所出具，凈利潤為XX 元；頁腳.自評估序結(jié)論條款需提供證明材料證明材料清單要點不號符符合合信，應(yīng)提供在人民國境登記注冊的會計注：如出現(xiàn)虧損，要說明虧損原因及以后的盈利能力。師事務(wù)所出具的近 3 年財務(wù)審計報告。監(jiān)督審核：應(yīng)提供在人民國境登記注冊的會計師事務(wù)所出具的近1年財務(wù)審計報告。三級初次非現(xiàn)場必填擁有長期固定辦公場所和相適應(yīng)的辦公條件，能夠滿足機構(gòu)設(shè)置及其業(yè)務(wù)需辦公場所4.要。要求監(jiān)督審核：有變化則提供，無變化則不提供。三級初次非現(xiàn)場必填三級 / 二級 / 一級分別要求：組織負(fù)責(zé)人人員能力5.擁有 2/3/4 年 以上信息技術(shù)領(lǐng)域管理經(jīng)要求歷。提供房屋產(chǎn)權(quán)證或租房屋賃合同原件。產(chǎn)權(quán)人 /

6、 出租人：地址：房屋產(chǎn)權(quán)證或租房屋賃合同；面積：產(chǎn)權(quán)人 / 出租人、地址、面積、租期。租期：至XX年 XX 月XX 日組織負(fù)責(zé)人簡歷及資質(zhì)證書，包括姓提供組織負(fù)責(zé)人簡歷及資質(zhì)證書。名、年齡、職務(wù)、職稱、學(xué)歷、工作組織負(fù)責(zé)人XX ，XX 歲，職務(wù)，職稱，XX 年 XX 月畢業(yè)經(jīng)歷、資質(zhì)證書。于 XX 大學(xué) XX 專業(yè)，學(xué)歷，XX 年信息技術(shù)領(lǐng)域管理經(jīng)XX 市社保部門出具的公司員工社保歷。繳費證明，單據(jù)號：XXXX ，出具時畢業(yè)證書號：間XX 年 XX月 XX 日。職稱證書號：三級 / 二級 / 一級的負(fù)責(zé)人社保證明至少（ 3 個月）。需提供人社部門查詢信息的相關(guān)截圖。頁腳.序要點條款需提供證明材

7、料號三級初次非現(xiàn)場必填提供技術(shù)負(fù)責(zé)人的信息安全服務(wù)管三級 / 二級 / 一級分別要求： 技術(shù)負(fù)責(zé)人理能力證明，包括能力考核結(jié)果（與具備信息安全服務(wù)（與申報類別一致）申報類別一致）或?qū)I(yè)認(rèn)證證書。三6.管理能力，經(jīng)考核合格（與申報類別一級/ 二級 / 一級的技術(shù)負(fù)責(zé)人社保證明致）或通過專業(yè)認(rèn)證，考核要求見附錄至少（ 3 個月）。G。需提供人社部門查詢信息的相關(guān)截圖。三級初次非現(xiàn)場必填三級 /二級 /一級分別要求： 項目負(fù)責(zé)提供項目負(fù)責(zé)人、 項目工程師的技術(shù)能力證明， 包括能力考核結(jié)果或?qū)I(yè)人、項目工程師具備信息安全服務(wù)（與認(rèn)證證書。申報類別一致）技術(shù)能力，經(jīng)考核合格三級 / 二級 / 一級的服務(wù)

8、人社保證明至7.G?；蛲ㄟ^專業(yè)認(rèn)證，考核要求見附錄少（ 3 個月）。三級 / 二級 / 一級分別 不少于（2/6/10需提供人社部門查詢信息的相關(guān)截人）圖。僅適用初次審核 :提供首個信息安全服務(wù) （與申報類別三級 / 二級 / 一級分別要求：從事信息安一致）項目合同原件， 核對項目名稱、8.業(yè)績要求全服務(wù)（與申報類別一致） 至少 4 個月 /3合同簽訂時間、項目驗收時間等。年或取得三級資質(zhì)1年以上 / 5 年或取得（可在相應(yīng)招投標(biāo)上查詢）。二級資質(zhì) 1年以上。自評估結(jié)論不證明材料清單符符合合技術(shù)負(fù)責(zé)人 XX ，考核或?qū)I(yè)認(rèn)證證書號：項目工程師XX ，考核或?qū)I(yè)認(rèn)證證書號：監(jiān)督審核不適用。首個信

9、息安全服務(wù)（與申報類別一致）項目合同信息，示例如下（如同時申請多個向的資質(zhì)，需分別填寫）：安全集成項目名稱：項目金額：合同簽訂時間：項目驗收時間：風(fēng)險評估頁腳.自評估序結(jié)論條款需提供證明材料證明材料清單要點不號符符合合項目名稱：項目金額：合同簽訂時間：項目驗收時間：三級 / 二級 / 一級分別要求： 近 3 年簽訂并提供信息安全服務(wù)項目（與申報類別完成至少 1/6/10 個信息安全服務(wù)（與申一致）合同及驗收報告原件，核對項報類別一致） 項目。三級現(xiàn)場抽查 1個項目清單，確認(rèn)項目名稱、合同金額、9.目，一二級現(xiàn)場抽查2 個項目。簽訂時間、驗收時間、項目數(shù)量、服三級 / 二級 / 一級監(jiān)督審核：

10、近 1年簽訂并務(wù)容與申報一致。完成至少 1個/2 個 /2 個信息安全服務(wù) （與（可在相應(yīng)招投標(biāo)上查詢）。申報類別一致）項目。如無項目案例，申請須承諾（提供加蓋組織公章并由法人簽字確認(rèn)的承諾書）在獲證后 6 個月完成該向的服務(wù)項目并填寫對應(yīng)向的自評估表提交ISCCC及審核組長。按申報類別分別填寫，示例如下（填寫的項目數(shù)量需滿足所申請或維持資質(zhì)級別的最低要求） ：安全集成1.項目名稱：合同金額：簽訂時間：驗收時間：2.項目名稱：合同金額：簽訂時間：驗收時間：風(fēng)險評估1、項目名稱：合同金額：頁腳.序要點條款需提供證明材料號三級初次非現(xiàn)場必填人員管理與培訓(xùn)制度、 培訓(xùn)與考核記錄，驗證公司人員管理情況

11、（制度及建立并運行人員管理程序，明確能力考落實，包括崗位職責(zé)、人員能力、專10.核指標(biāo)并制定業(yè)務(wù)和技能培訓(xùn)計劃，定業(yè)向、考核情況等）。近三年員工培期對相關(guān)人員開展培訓(xùn)和考核。訓(xùn)計劃、培訓(xùn)與考核記錄，包括信息安全意識培訓(xùn)、技術(shù)與管理培訓(xùn)等。文檔控制程序建立及實施情況，提供11.建立文檔控制程序，明確文檔管理職與申報類型一致的安全服務(wù)項目過責(zé)，任命管理人員，并按照制度執(zhí)行。程文檔， 核實是否存在遺失或信息泄服務(wù)管理要求露等問題。三級初次非現(xiàn)場必填項目管理制度建立及實施情況，制度建立項目管理制度，明確項目管理職中包括項目管理貫穿項目從立項到12.責(zé)，任命管理人員，并按照制度執(zhí)行風(fēng)結(jié)項的整個過程， 包

12、括項目風(fēng)險管理險管理。等。提供項目風(fēng)險管理記錄。三級初次非現(xiàn)場必填管理制度建立及落實情況，包括圍、13.建立并運行管理制度，明確崗位責(zé)任。式、時效、責(zé)任主體、罰則。提供教能夠定期對相關(guān)人員進(jìn)行教育，并簽訂育培訓(xùn)記錄，提供組織與管理層、技自評估結(jié)論不證明材料清單符符合合簽訂時間：驗收時間：2.項目名稱：合同金額：簽訂時間：驗收時間：提供 XX 公司人力資源控制程序 、培訓(xùn)制度、近三年員工培訓(xùn)計劃、培訓(xùn)與考核記錄，包括信息安全意識培訓(xùn)、技術(shù)與管理培訓(xùn)等。 （注：根據(jù)公司具體情況，可提供信息安全意識培訓(xùn)、技術(shù)與管理培訓(xùn)課件，考核記錄，培訓(xùn)簽到表等）提供 XX 公司文檔控制程序 （按實際名稱填寫） ，

13、公司對項目文檔的管理式為：提供 XX 公司項目管理制度制度中包括項目管理貫穿項目從立項到結(jié)項的 XX、 XX 、XX、 XX 、XX 過程。項目風(fēng)險管理章節(jié)及主要容：提供 XX 管理制度公司教育培訓(xùn)執(zhí)行情況：提供教育培訓(xùn)課件、培訓(xùn)簽到表、考試記錄、會議紀(jì)要等頁腳.序要點條款需提供證明材料號協(xié)議。術(shù)負(fù)責(zé)人及項目實施人員簽訂的協(xié)議。建立供應(yīng)商管理制度，確保其供應(yīng)商滿提供供應(yīng)商名錄、 供應(yīng)商管理制度的實施情況，包括供應(yīng)商選擇、考核與足服務(wù)安全要求 （僅適用于安全集成、管理等 （僅適用于安全集成、安全運14.安全運維、災(zāi)難備份與恢復(fù)向，如存在維、災(zāi)難備份與恢復(fù)向，如存在服務(wù)服務(wù)外包時，需要重點對服務(wù)外

14、包項目外包時， 需要重點對服務(wù)外包項目過過程及質(zhì)量的管理情況進(jìn)行描述）。程及質(zhì)量的管理情況進(jìn)行描述）。三級初次非現(xiàn)場必填建立合同管理制度，制定統(tǒng)一合同模提供合同管理制度、合同統(tǒng)一模板。板，按照合同約定實施信息安全服務(wù)項提供服務(wù)項目（與申報類別一致）合15.目。按照客戶要求，對于接觸到的客戶同 / 協(xié)議中對敏感信息和知識產(chǎn)權(quán)信敏感信息和知識產(chǎn)權(quán)信息予以保護，并息保護要求的相關(guān)條款。確保服務(wù)人員了解客戶的相關(guān)要求。二級 / 一級要求：了解客戶及所處的行業(yè)提供針對具體項目的調(diào)研容， 包括對16.對信息安全服務(wù)的特定要求，確定信息客戶所處行業(yè)情況和相關(guān)要求的描安全服務(wù)圍。述。二級要求： 參照國際或國標(biāo)

15、準(zhǔn)， 建立業(yè)結(jié)合質(zhì)量管理體系文件， 查閱體系運17.務(wù)圍覆蓋信息安全服務(wù)的質(zhì)量管理體行記錄，驗證體系運行情況，至少包系，并有效運行半年以上。括質(zhì)量管理體系手冊、文件控制程自評估結(jié)論不符符合合證明材料清單提供組織負(fù)責(zé)人 XX 、技術(shù)負(fù)責(zé)人 XX、項目實施人員 XX 等 XX 人簽訂的協(xié)議提供 XX 供應(yīng)商管理制度 、供應(yīng)商名錄及供應(yīng)商考核管理記錄注：新申報需提供前三個年度，監(jiān)督審核提供上一年度的相關(guān)記錄提供 XX 合同管理制度 、統(tǒng)一合同模板：提供典型項目（與申報類一致）合同，其中對于敏感信息和知識產(chǎn)權(quán)信息保護要求的相關(guān)條款為：注：此處按申報類別分別填寫，一二級每個向填寫 2 個項目的相關(guān)情況提

16、供典型項目（與申報類一致）合同，服務(wù)圍：提供典型項目（與申報類一致）調(diào)研報告，對客戶所處行業(yè)情況和相關(guān)要求的描述容為：注：此處按申報類別分別填寫，一二級每個向填寫 2 個項目的相關(guān)情況提供質(zhì)量管理體系文件，包括質(zhì)量管理體系手冊、文件控制程序、記錄控制程序、糾正與預(yù)防控制程序、審與管評控制程序、安全服務(wù)工作控制程序等頁腳序要點條款號一級要求： 參照國際或國標(biāo)準(zhǔn)，建立業(yè)18.務(wù)圍覆蓋信息安全服務(wù)的質(zhì)量管理體系，并有效運行一年以上。二級要求： 參照國際或國標(biāo)準(zhǔn)， 建立業(yè)19.務(wù)圍覆蓋信息安全服務(wù)的信息安全管理體系或信息技術(shù)服務(wù)管理體系，并有.需提供證明材料序、記錄控制程序、糾正與預(yù)防控制程序、審與管

17、評控制程序、安全服務(wù)工作控制程序；審、管評、外審報告（有則提供）；驗證質(zhì)量管理體系圍覆蓋與申報類別一致的信息安全服務(wù)。結(jié)合質(zhì)量管理體系文件， 查閱體系運行記錄，驗證體系運行情況，至少包括質(zhì)量管理體系手冊、文件控制程序、記錄控制程序、糾正與預(yù)防控制程序、審與管評控制程序、安全服務(wù)工作控制程序；審、管評、外審報告（有則提供）；驗證質(zhì)量管理體系圍覆蓋與申報類別一致的信息安全服務(wù)。結(jié)合信息安全管理體系文件， 查閱體系運行記錄，驗證體系運行情況，至少包括圍針文件、文件控制程序、記自評估結(jié)論不證明材料清單符符合合提供體系運行記錄：審、管評報告業(yè)務(wù)覆蓋圍：或提供質(zhì)量管理體系認(rèn)證證書原件：證書編號：發(fā)證機構(gòu)：

18、頒證日期：有效期：業(yè)務(wù)圍覆蓋：提供質(zhì)量管理體系文件，包括質(zhì)量管理體系手冊、文件控制程序、記錄控制程序、糾正與預(yù)防控制程序、審與管評控制程序、安全服務(wù)工作控制程序等提供體系運行記錄：審、管評報告業(yè)務(wù)覆蓋圍：或提供質(zhì)量管理體系認(rèn)證證書原件：證書編號：發(fā)證機構(gòu)：頒證日期：有效期：業(yè)務(wù)圍覆蓋：提供信息安全管理體系文件，包括圍針文件、文件控制程序、記錄控制程序、糾正與預(yù)防控制程序、審與管評控制程序、 風(fēng)險管理程序、適用性聲明及相應(yīng)的控制措頁腳.自評估序結(jié)論條款需提供證明材料要點不號符符合合效運行半年以上。錄控制程序、糾正與預(yù)防控制程序、審與管評控制程序、審、管評、外審報告（有則提供） 風(fēng)險管理程序、適用

19、性聲明及相應(yīng)的控制措施文件（適用于 27001 ）或 服務(wù)等級管理程序、事件管理程序、問題管理程序、變更和發(fā)布管理程序、 配置管理程序 （適用于 20000 ）；業(yè)務(wù)圍覆蓋與申報類別一致的信息安全服務(wù)。結(jié)合信息安全管理體系文件， 查閱體系運行記錄，驗證體系運行情況，至少包括圍針文件、文件控制程序、記一級要求： 參照國際或國標(biāo)準(zhǔn)， 建立業(yè)錄控制程序、糾正與預(yù)防控制程序、審與管評控制程序、審、管評、外審務(wù)圍覆蓋信息安全服務(wù)的信息安全管20.報告、 風(fēng)險管理程序、 適用性聲明及理體系或信息技術(shù)服務(wù)管理體系，并有相應(yīng)的控制措施文件（適用于效運行一年以上。27001 ）或 服務(wù)等級管理程序、事件管理程序

20、、問題管理程序、變更和發(fā)布管理程序、 配置管理程序（適用于20000 ）；業(yè)務(wù)圍覆蓋與申報類別一證明材料清單施文件 （適用于 27001 ）或 服務(wù)等級管理程序、事件管理程序、問題管理程序、變更和發(fā)布管理程序、配置管理程序 （適用于 20000 ）體系運行記錄：審、管評報告業(yè)務(wù)覆蓋圍：或提供信息安全管理體系或信息技術(shù)服務(wù)管理體系認(rèn)證證書原件：證書編號：發(fā)證機構(gòu)：頒證日期：有效期：業(yè)務(wù)圍覆蓋：提供信息安全管理體系文件，包括圍針文件、文件控制程序、記錄控制程序、糾正與預(yù)防控制程序、審與管評控制程序、 風(fēng)險管理程序、適用性聲明及相應(yīng)的控制措施文件 （適用于 27001 ）或 服務(wù)等級管理程序、事件管

21、理程序、問題管理程序、變更和發(fā)布管理程序、配置管理程序 （適用于 20000 ）體系運行記錄：審、管評報告業(yè)務(wù)覆蓋圍：或提供信息安全管理體系或信息技術(shù)服務(wù)管理體系認(rèn)證證書原件：頁腳.自評估序結(jié)論條款需提供證明材料要點不號符符合合致的信息安全服務(wù)。證明材料清單證書編號：發(fā)證機構(gòu)：頒證日期：有效期：業(yè)務(wù)圍覆蓋：提供公司的信息安全服務(wù)目錄及服務(wù)級別協(xié)議：一級要求： 建立信息安全服務(wù)目錄（與信息安全服務(wù)目錄 （與類別相對應(yīng)） 、21.類別相對應(yīng)），簽訂服務(wù)級別協(xié)議。服務(wù)級別協(xié)議。二級 / 一級要求：具備獨立的測試環(huán)境及信息安全服務(wù)的測試環(huán)境， 提供設(shè)備22.必要的軟、硬件設(shè)備，用于技術(shù)培訓(xùn)和清單、建設(shè)

22、時間、規(guī)模、主要承擔(dān)工模擬測試。作等。技術(shù)工具信息安全服務(wù)的軟、硬件工具清單，要求二級 / 一級要求：具備承擔(dān)信息安全服務(wù)工具管理程序和要求； 針對在安全服23.（與申報類別一致）項目所需的安全工務(wù)項目中應(yīng)用自主開發(fā)工具和產(chǎn)品具，并對工具進(jìn)行管理和版本控制。進(jìn)行現(xiàn)場演示， 提供產(chǎn)品銷售可證或軟件著作權(quán)證書。僅適用于三級初次非現(xiàn)場按照相關(guān)標(biāo)準(zhǔn)建立申報的服務(wù)類別24.服務(wù)技術(shù)建立信息安全服務(wù)（與申報類別一致）流程（申報多類需要制定相對應(yīng)的服流程。務(wù)流程） 。流程圖中應(yīng)包括每個階段（在服務(wù)目錄中需明確展示服務(wù)容、服務(wù)形式、服務(wù)價格、服務(wù)交付成果和服務(wù)級別等的列表）（在服務(wù)級別協(xié)議中需對服務(wù)交付成果明

23、確約定、可測量和文檔化的一系列服務(wù)指標(biāo)）設(shè)備清單：測試環(huán)境建設(shè)時間：規(guī)模：主要承擔(dān)工作：提供安全工具清單：工具管理程序：工具管理和版本更新記錄：自主開發(fā)工具和產(chǎn)品名稱（如有）：產(chǎn)品銷售可證或軟件著作權(quán)證書號（如有）：自主開發(fā)工具和產(chǎn)品簡介（如有）：提供信息安全 XXXX 服務(wù)流程（包含 XX 階段、 XX 階段、 XX 階段、 XX 階段），對每個階段的目標(biāo)、角色、容、輸出進(jìn)行了說明。頁腳序要點條款號僅適用于三級初次非現(xiàn)場制定信息安全服務(wù)（與申報類別一致）規(guī)并按照規(guī)實施。僅適用于三級初次非現(xiàn)場制定信息系統(tǒng)安全集成服務(wù)過程的文服務(wù)過程 檔模板25.文檔模板僅適用于三級初次非現(xiàn)場制定信息系統(tǒng)風(fēng)險評

24、估服務(wù)過程的文.需提供證明材料對應(yīng)的職責(zé)、輸入輸出等。制定與申報的信息安全服務(wù)類別規(guī)并按照規(guī)實施 （申報多類需要制定相對應(yīng)的服務(wù)規(guī)） 。安全集成：（ 1） 集成準(zhǔn)備階段： 至少包括需求調(diào)研報告、 技術(shù)案、 實施案 (技術(shù)案容應(yīng)至少包含項目背景、設(shè)計依據(jù)、總體設(shè)計架構(gòu)、信息安全設(shè)計等面容，實施案應(yīng)至少包含項目組織架構(gòu)及人員安排、進(jìn)度安排、實施容、項目風(fēng)險管理、項目溝通管理、項目質(zhì)量管理等面容 )；（ 2） 建設(shè)實施階段： 至少包括日報/報；（ 3） 安全保障階段： 至少包括測試案、驗收申請、驗收報告；風(fēng)險評估：（1）準(zhǔn)備階段： 至少包括信息系自評估結(jié)論不證明材料清單符符合合1.XX 階段：目標(biāo)：

25、工作容：輸出：提供 XX 公司 XXX 服務(wù)規(guī)，包含 XX 、 XX 、 XX、 XX 等章節(jié)容。提供 XX 、 XX、 XX 、 XX 、 XX 、 XX 等模板文件。提供 XX 、 XX、 XX 、 XX 、 XX 、 XX 等模板文件。頁腳.序要點條款需提供證明材料號檔模板統(tǒng)基本情況調(diào)研表、風(fēng)險評估案（案中應(yīng)至少包含被評估對象描述、評估依據(jù)、評估圍、評估容、 項目組成員、評估計劃安排、 評估工具、 評估過程、評估法、風(fēng)險評價原則、風(fēng)險評估模型、風(fēng)險分析與計算法等面容）；（2）風(fēng)險識別階段： 至少包括管理脆弱性檢查表、 技術(shù)脆弱性檢查表（包含主機、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、中間件、應(yīng)用系

26、統(tǒng)等）、威脅調(diào)查表；（3）風(fēng)險分析階段： 風(fēng)險評估報告（至少包括評估過程、評估法、評估結(jié)果、處置建議等容）；應(yīng)急處理：（ 1）準(zhǔn)備階段：至少包含工具包、服務(wù)承諾書；僅適用于三級初次非現(xiàn)場（2）檢測階段：至少包含授權(quán)制定信息安全應(yīng)急處理服務(wù)過程的文書、應(yīng)急處理案；檔模板（3）抑制階段：至少包含抑制案；（4）根除階段：至少包含根除案；（5）恢復(fù)階段：至少包含恢復(fù)自評估結(jié)論不證明材料清單符符合合提供 XX 、 XX、 XX 、 XX 、 XX 、 XX 等模板文件。頁腳.序要點條款需提供證明材料號案、重建系統(tǒng)規(guī)、數(shù)據(jù)備份規(guī)、安全配置核查表 （可以包含 windows 類操作系統(tǒng)安全配置核查表、lin

27、ux 類操作系統(tǒng)安全配置核查表、數(shù)據(jù)庫安全配置核查表、中間件安全配置核查表）；（6）總結(jié)階段： 至少包含總結(jié)報告；自評估結(jié)論不證明材料清單符符合合備注：應(yīng)急處理案中可以總體涵蓋檢測、抑制、根除、恢復(fù)面的容。安全運維：提供 XX 、 XX、 XX 、 XX 、 XX 、 XX 等模板文件。（1）準(zhǔn)備階段： 至少包含需求調(diào)研報告；（2）案設(shè)計階段： 至少包含安全僅適用于三級初次非現(xiàn)場運維服務(wù)案；（3）運維服務(wù)實施階段： 至少包制定信息系統(tǒng)安全運維服務(wù)過程的文含安全信息（包含安全配置、流量信檔模板息、安全策略等）巡檢記錄表、狀態(tài)巡檢記錄表、健康性檢查記錄表、病毒查殺記錄表、安全加固規(guī)等；（4）運維服

28、務(wù)報告階段： 至少包含運維服務(wù)月報/ 季報、年度服務(wù)總結(jié)報告、驗收報告；僅適用于三級初次非現(xiàn)場軟件安全開發(fā)：提供 XX 、 XX、 XX 、 XX 、 XX 、 XX 等模板文件。制定信息系統(tǒng)軟件安全開發(fā)服務(wù)過程（1）準(zhǔn)備階段： 至少包含開發(fā)計頁腳.序要點條款需提供證明材料號的文檔模板劃、配置管理計劃、變更記錄單；（2）需求階段： 至少包含需求分析報告；（3）設(shè)計階段： 至少包含概要設(shè)計說明書、詳細(xì)設(shè)計說明書；（4）編碼階段：至少包含編碼規(guī)；（5）測試階段：至少包含測試案、測試用例、測試報告；（6）驗收階段： 至少包含驗收申請、驗收報告；（7）維保階段： 至少包含故障記錄、升級記錄；災(zāi)難恢復(fù)與備份（ B類）：（1）案設(shè)計要求： 至少包含需求僅適用于三級初次非現(xiàn)場分析報告、技術(shù)案、實施案；制定信息系統(tǒng)災(zāi)難恢復(fù)與備份服務(wù)過（2）系統(tǒng)建設(shè)與管理要求：至少程的文檔模板包含項目/ 日報；（3）預(yù)案制定與演練要求：至少包含災(zāi)難恢復(fù)預(yù)案