信息安全服務(wù)資質(zhì)公共管理填寫指南

1、信息安全服務(wù)資質(zhì)認(rèn)證自評估表-公共管理填寫指南填寫要求：1 .當(dāng)條款對應(yīng)的需提供證明材料為營業(yè)證照、財務(wù)審計(jì)報告、房屋產(chǎn)權(quán)證明、租賃合同、人員簡歷、業(yè)績等內(nèi)容時，在“證明材料清單欄目”中直接按照本文檔中的格式，填寫關(guān)鍵內(nèi)容即可。2 .當(dāng)條款對應(yīng)的需提供證明材料為制度或項(xiàng)目文檔時，在“證明材料清單欄目”填寫文檔的完整名稱。例如XX 公司培訓(xùn)管理制度、 XX 公司項(xiàng)目管理制度、 XX 公司測評工具管理制度等，并概括地介紹制度或項(xiàng)目文檔各章節(jié)的主要內(nèi)容。3 .當(dāng)條款對應(yīng)的需提供證明材料為記錄文檔時，在 “證明材料清單欄目”填寫記錄的完整名稱。例如 2016 年 XX 公司培訓(xùn)計(jì)劃、 XX項(xiàng)目人員培訓(xùn)

2、記錄、 XX 公司供應(yīng)商名錄等，并概括地介紹記錄文檔的主要內(nèi)容。4 .當(dāng)條款對應(yīng)的需提供證明材料為某制度或文檔的某章節(jié)內(nèi)容時，在“證明材料清單欄目”填寫文檔的完整名稱及對應(yīng)的章節(jié)編號。例如 XX 項(xiàng)目調(diào)研報告第X 章 安全服務(wù)需求分析、 XX 項(xiàng)目合同第X 條 保密要求等，并對相關(guān)內(nèi)容進(jìn)行總結(jié)概括。5 .所有出現(xiàn)在“證明材料清單”欄目中的文檔，都需提供相應(yīng)的電子版文檔或紙質(zhì)文檔的掃描件作為證明材料，并按照條款的序號建立文件夾整理歸檔，建立文件夾的格式為“序號 -條款的考核內(nèi)容”，例如“1-營業(yè)執(zhí)照”、 “ 2-審計(jì)報告”、 “ 5-技術(shù)負(fù)責(zé)人簡歷”、 “ 9-人員管理及培訓(xùn)”等。以下給出了一份

3、填寫樣例，供填報組織進(jìn)行參考。填報組織應(yīng)按照填寫樣例的細(xì)粒度，進(jìn)行相關(guān)信息的填報。組織名稱XX公司（全稱）服務(wù)類別/級別所申請或維持的資質(zhì)類別 /級別，例如“風(fēng)險評估/二級”評估時間XX年X月X日-X月X日評估部門/人員XX 部/XX序 號要點(diǎn)條款需提供證明材料自評估 結(jié)論證明材料清單符 合不 符 合1.法律地位 要求三級初次非現(xiàn)場必填僅適用于初次認(rèn)證：在中華人民共和國境內(nèi)注冊的獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。監(jiān)督審核：如有變化則重新提供。營業(yè)執(zhí)照/事業(yè)單位登記證，核對注冊 號、法定代表人、注冊資本、公司類 型、經(jīng)營范圍、成立日期、營業(yè)期限 等。（提供企業(yè)在國家企業(yè)信用信息公 示系統(tǒng)

4、 ）提供營業(yè)執(zhí)照/事業(yè)單位登記證原件。注冊號：法定代表人：注冊資本：公司類型：成立日期：營業(yè)期限：經(jīng)營范圍：注：監(jiān)督檢查如有變化應(yīng)注明變化內(nèi)容2.三級初次非現(xiàn)場必填遵循國家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求，無 違法違規(guī)記錄，資信狀況良好。提供企業(yè)在國家企業(yè)信用信息公示系統(tǒng)（ ）上的企業(yè)信用信息。提供企業(yè)信用查詢相關(guān)的截圖證據(jù)。3.財務(wù)資信 要求三級初次非現(xiàn)場必填僅適用于初次認(rèn)證：近3年經(jīng)營狀況良好，財務(wù)數(shù)據(jù)真實(shí)可 信，應(yīng)提供在中華人民共和國境內(nèi)登記財務(wù)審計(jì)報告或（僅限于三級）加蓋本單位財務(wù)章的財務(wù)報表 （近3年）。XX年：由XX會計(jì)師事務(wù)所出具，凈利潤為XX兀；XX年：由XX會計(jì)師事務(wù)所出具，凈利潤為X

5、X兀；XX年：由XX會計(jì)師事務(wù)所出具，凈利潤為XX兀；注：如出現(xiàn)虧損，要說明虧損原因及以后的盈利能力。序 號要點(diǎn)條款需提供證明材料自評估 結(jié)論證明材料清單符 合不 符 合注冊的會計(jì)師事務(wù)所出具的近3年財務(wù)審U報告。監(jiān)督審核：應(yīng)提供在中華人民共和國境內(nèi)登記注冊的會計(jì)師事務(wù)所出具的近 1年財務(wù)審 計(jì)報告。4.辦公場所 要求三級初次非現(xiàn)場必填擁后長期固定辦公場所和相適應(yīng)的辦 公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需 要。監(jiān)督審核：有變化則提供，無變化則不提供。房屋產(chǎn)權(quán)證或租房屋賃合同；產(chǎn)權(quán)人/出租人、地址、面積、租期。提供房屋產(chǎn)權(quán)證或租房屋賃合同原件。產(chǎn)權(quán)人/出租人：地址：面積：租期：至XX年XX月XX日

6、5.人員能力 要求三級初次非現(xiàn)場必填三級/二級/ 一級分別要求：組織負(fù)責(zé)人擁有2/3/4年以上信息技術(shù)領(lǐng)域管理經(jīng) 歷。組織負(fù)責(zé)人簡歷及資質(zhì)證書，包括姓 名、年齡、職務(wù)、職稱、學(xué)歷、工作 經(jīng)歷、資質(zhì)證書。XX：社保部門出具的公司員工社保 繳費(fèi)證明，單據(jù)號：XXXX出具時間 XW xxM XX0。三級/二級/一級的負(fù)責(zé)人社保證明 至少（3個月）。需提供人社部門網(wǎng)站查詢信息的相關(guān)截圖。提供組織負(fù)責(zé)人簡歷及資質(zhì)證書。組織負(fù)責(zé)人XX , XX歲，職務(wù)，職稱，XX年XX月畢 業(yè)于XX大學(xué)XX專業(yè)，學(xué)歷，XX年信息技術(shù)領(lǐng)域管理 經(jīng)歷。畢業(yè)證書號：職稱證書號：序 號要點(diǎn)條款需提供證明材料自評估 結(jié)論證明材料清

7、單符 合不 符 合6.三級初次非現(xiàn)場必填三級/二級/一級分別要求： 技術(shù)負(fù)責(zé)人具備信息安全服務(wù)（與申報類別一致） 管理能力，經(jīng)考核合格（與申報類別一 致）或通過專業(yè)認(rèn)證，考核要求見附錄G。提供技術(shù)負(fù)責(zé)人的信息安全服務(wù)管 理能力證明，包括能力考核結(jié)果（與 申報類別一致）或?qū)I(yè)認(rèn)證證書。三 級/二級/一級的技術(shù)負(fù)責(zé)人社保證 明至少（3個月）。需提供人社部門網(wǎng)站查詢信息的相 關(guān)截圖。技術(shù)負(fù)責(zé)人XX,考核或?qū)I(yè)認(rèn)證證書號：7.三級初次非現(xiàn)場必填三級/二級/一級分別要求：項(xiàng)目負(fù)責(zé)人、項(xiàng)目工程師具備信息安全服務(wù)（與 申報類別一致）技術(shù)能力，經(jīng)考核合格 或通過專業(yè)認(rèn)證，考核要求見附錄Go三級/二級/一級分別

8、不少于（2/6/10人）提供項(xiàng)目負(fù)責(zé)人、 項(xiàng)目工程師的技術(shù) 能力證明，包括能力考核結(jié)果或?qū)I(yè) 認(rèn)證證書。三級/二級/一級的服務(wù)人社保證明至少（3個月）。需提供人社部門網(wǎng)站查詢信息的相 關(guān)截圖。項(xiàng)目工程師XX ,考核或?qū)I(yè)認(rèn)證證書號：8.業(yè)績要求僅適用初次審核：三級/二級/一級分別要求：從事信息安全服務(wù)（與申報類別一致） 至少4個月/3 年或取得三級資質(zhì)1年以上/5年或取得 二級資質(zhì)1年以上。提供首個信息安全服務(wù) （與申報類別 一致）項(xiàng)目合同原件，核對項(xiàng)目名稱、 合同簽訂時間、項(xiàng)目驗(yàn)收時間等。（可在相應(yīng)招投標(biāo)網(wǎng)站上查詢）。監(jiān)督審核不適用。首個信息安全服務(wù)（與申報類別一致）項(xiàng)目合同信息，示例如下（

9、如同時申請多個方向的資質(zhì)，需分別填寫）：安全集成項(xiàng)目名稱：項(xiàng)目金額：合同簽訂時間：項(xiàng)目驗(yàn)收時間：風(fēng)險評估項(xiàng)目名稱：項(xiàng)目金額：序 號要點(diǎn)條款需提供證明材料自評估 結(jié)論證明材料清單符 合不 符 合合同簽訂時間： 項(xiàng)目驗(yàn)收時間：9.三級/二級/一級分別要求： 近3年內(nèi)簽訂 并完成至少1/6/10個信息安全服務(wù)（與 申報類別一致）項(xiàng)目。三級現(xiàn)場抽查1個項(xiàng)目，一二級現(xiàn)場抽查 2個項(xiàng)目。三級/二級/一級監(jiān)督審核： 近1年內(nèi)簽訂 并完成至少1個/2個/2個信息安全服務(wù) （與申報類別一致）項(xiàng)目。提供信息安全服務(wù)項(xiàng)目（與申報類別 一致）合同及驗(yàn)收報告原件，核對項(xiàng) 目清單，確認(rèn)項(xiàng)目名稱、合同金額、 簽訂時間、驗(yàn)收

10、時間、項(xiàng)目數(shù)量、服 務(wù)內(nèi)容與申報一致。（可在相應(yīng)招投標(biāo)網(wǎng)站上查詢）。如無項(xiàng)目案例，申請方須承諾（提供加蓋組織公章并由法人簽字確認(rèn)的承諾書）在狀證后6個月內(nèi)完成該方向的服務(wù)項(xiàng)目并填寫對應(yīng)方向的自評 估表提交ISCCC及審核組長。按申報類別分別填寫，示例如下（填寫的項(xiàng)目數(shù)量需滿足所申請或維持資質(zhì)級別的最低要求）：安全集成1 .項(xiàng)目名稱：合同金額：簽訂時間：驗(yàn)收時間：2 .項(xiàng)目名稱：合同金額：簽訂時間：驗(yàn)收時間：風(fēng)險評估3 、項(xiàng)目名稱：合同金額：簽訂時間：序 號要點(diǎn)條款需提供證明材料自評估 結(jié)論證明材料清單符 合不 符 合驗(yàn)收時間：2.項(xiàng)目名稱： 合同金額： 簽訂時間： 驗(yàn)收時間：10.服務(wù)管理 要

11、求三級初次非現(xiàn)場必填建立并運(yùn)行人員管理程序，明確能力考 核指標(biāo)并制定業(yè)務(wù)和技能培訓(xùn)計(jì)劃，定 期對相關(guān)人員開展培訓(xùn)和考核。人員管理與培訓(xùn)制度、培訓(xùn)與考核記 錄，驗(yàn)證公司人員管理情況（制度及 落實(shí)，包括崗位職責(zé)、人員能力、專 業(yè)方向、考核情況等）。近三年員工 培訓(xùn)計(jì)劃、培訓(xùn)與考核記錄，包括信 息安全意識培訓(xùn)、技術(shù)與管理培訓(xùn) 等。提供XX公司人力資源控制程序、培訓(xùn)制度、近三 年員工培訓(xùn)計(jì)劃、培訓(xùn)與考核記錄，包括信息安全意識 培訓(xùn)、技術(shù)與管理培訓(xùn)等。（注：根據(jù)公司具體情況，可 提供信息安全意識培訓(xùn)、技術(shù)與管理培訓(xùn)課件，考核記 錄，培訓(xùn)簽到表等）11.建立文檔控制程序，明確文檔管理職 責(zé)，任命管理人員，

12、并按照制度執(zhí)行。文檔控制程序建立及實(shí)施情況，提供與申報類型一致的安全服務(wù)項(xiàng)目過 程文檔，核實(shí)是否存在遺失或信息泄 露等問題。提供XX公司文檔控制程序（按實(shí)際名稱填寫），公司 對項(xiàng)目文檔的管理方式為：12.三級初次非現(xiàn)場必填建立項(xiàng)目管理制度，明確項(xiàng)目管理職 責(zé)，任命管理人員，并按照制度執(zhí)行風(fēng) 險管理。項(xiàng)目管理制度建立及實(shí)施情況，制度中包括項(xiàng)目管理貫穿項(xiàng)目從立項(xiàng)到 結(jié)項(xiàng)的整個過程，包括項(xiàng)目風(fēng)險管理 等。提供項(xiàng)目風(fēng)險管理記錄。提供XX公司項(xiàng)目管理制度制度中包括項(xiàng)目管理貫穿項(xiàng)目從立項(xiàng)到結(jié)項(xiàng)的XX、XX、XX、XX、XX 過程。項(xiàng)目風(fēng)險管理章節(jié)及主要內(nèi)容：13.三級初次非現(xiàn)場必填建立并運(yùn)行保密管理制度，

13、明確崗位保 密責(zé)任。能夠定期對相關(guān)人員進(jìn)行保密 教育，并簽訂保密協(xié)議。保密管理制度建立及落實(shí)情況，包括保密范圍、保密方式、保密時效、保 密責(zé)任主體、罰則。提供保密教育培 訓(xùn)記錄，提供組織與管理層、技術(shù)負(fù)提供XX保密管理制度公司保密教育培訓(xùn)執(zhí)行情況：提供保密教育培訓(xùn)課件、培訓(xùn)簽到表、考試記錄、會議紀(jì)要等提供組織負(fù)責(zé)人 XX、技術(shù)負(fù)責(zé)人XX、項(xiàng)目實(shí)施人員XX序 號要點(diǎn)條款需提供證明材料自評估 結(jié)論證明材料清單符 合不 符 合責(zé)人及項(xiàng)目實(shí)施人員簽訂的保密協(xié) 議。等XX人簽訂的保密協(xié)議14.建立供應(yīng)商管理制度，確保其供應(yīng)商滿 足服務(wù)安全要求 （僅適用于安全集成、 安全運(yùn)維、災(zāi)難備份與恢復(fù)方向，如存 在

14、服務(wù)外包時，需要重點(diǎn)對服務(wù)外包項(xiàng) 目過程及質(zhì)量的管理情況進(jìn)行描述）。提供供應(yīng)商名錄、供應(yīng)商管理制度的 實(shí)施情況，包括供應(yīng)商選擇、考核與 管理等（僅適用于安全集成、安全運(yùn) 維、災(zāi)難備份與恢復(fù)方向，如存在服 務(wù)外包時，需要重點(diǎn)對服務(wù)外包項(xiàng)目 過程及質(zhì)量的管理情況進(jìn)行描述）。提供XX供應(yīng)商管理制度、供應(yīng)商名錄及供應(yīng)商考核 管理記錄注：新申報需提供前三個年度，監(jiān)督審核提供上一年度 的相關(guān)記錄15.三級初次非現(xiàn)場必填建立合同管理制度，制定統(tǒng)一合同模 板，按照合同約定實(shí)施信息安全服務(wù)項(xiàng) 目。按照客戶要求，對于接觸到的客戶 敏感信息和知識產(chǎn)權(quán)信息予以保護(hù)，并 確保服務(wù)方人員了解客戶的相關(guān)要求。提供合同管理制

15、度、合同統(tǒng)一模板。 提供服務(wù)項(xiàng)目（與申報類別一致）合 同/協(xié)議中對敏感信息和知識產(chǎn)權(quán)信 息保護(hù)要求的相關(guān)條款。提供XX合同管理制度、統(tǒng)一合同模板：提供典型項(xiàng)目（與申報類一致）合同，其中對于敏感信息和知識產(chǎn)權(quán)信息保護(hù)要求的相關(guān)條款為：注：此處按申報類別分別填寫，一二級每個方向填寫2個項(xiàng)目的相關(guān)情況16.二級/一級要求：了解客戶及所處的行業(yè) 對信息安全服務(wù)的特定要求，確定信息 安全服務(wù)范圍。提供針對具體項(xiàng)目的調(diào)研內(nèi)容，包括對客戶所處行業(yè)情況和相關(guān)要求的 描述。提供典型項(xiàng)目（與申報類一致）合同，服務(wù)范圍：提供典型項(xiàng)目（與申報類一致）調(diào)研報告，對客戶所處行業(yè)情況和相關(guān)要求的描述內(nèi)容為：注：此處按申報類

16、別分別填寫，一二級每個方向填寫2個項(xiàng)目的相關(guān)情況17.一級要求：參照國際或國內(nèi)標(biāo)準(zhǔn)， 建立 業(yè)務(wù)范圍覆蓋信息安全服務(wù)的質(zhì)量管 理體系，并有效運(yùn)行半年以上。結(jié)合質(zhì)量管理體系文件，查閱體系運(yùn) 行記錄，驗(yàn)證體系運(yùn)行情況，至少包 括質(zhì)量管理體系手冊、文件控制程 序、記錄控制程序、糾正與預(yù)防控制提供質(zhì)量管理體系文件，包括質(zhì)量管理體系手冊、文件 控制程序、記錄控制程序、糾正與預(yù)防控制程序、內(nèi)審 與管評控制程序、安全服務(wù)工作控制程序等 提供體系運(yùn)行記錄：內(nèi)審、管評報告序 號要點(diǎn)條款需提供證明材料自評估 結(jié)論證明材料清單符 合不 符 合程序、內(nèi)審與管評控制程序、安全服 務(wù)工作控制程序；內(nèi)審、管評、外審 報告（

17、有則提供）；驗(yàn)證質(zhì)量管理體 系范圍覆蓋與申報類別一致的信息 安全服務(wù)。業(yè)務(wù)覆蓋范圍：或提供質(zhì)量管理體系認(rèn)證證書原件：證書編號：發(fā)證機(jī)構(gòu)：頒證日期：功效期：業(yè)務(wù)范圍覆蓋：18.一級要求：參照國際或國內(nèi)標(biāo)準(zhǔn)， 建立 業(yè)務(wù)范圍覆蓋信息安全服務(wù)的質(zhì)量管 理體系，并有效運(yùn)石一年以上。結(jié)合質(zhì)量管理體系文件，查閱體系運(yùn) 行記錄，驗(yàn)證體系運(yùn)行情況，至少包 括質(zhì)量管理體系手冊、文件控制程 序、記錄控制程序、糾正與預(yù)防控制 程序、內(nèi)審與管評控制程序、安全服 務(wù)工作控制程序；內(nèi)審、管評、外審 報告（有則提供）；驗(yàn)證質(zhì)量管理體 系范圍覆蓋與申報類別一致的信息 安全服務(wù)。提供質(zhì)量管理體系文件，包括質(zhì)量管理體系手冊、文件

18、 控制程序、記錄控制程序、糾正與預(yù)防控制程序、內(nèi)審 與管評控制程序、安全服務(wù)工作控制程序等提供體系運(yùn)行記錄：內(nèi)審、管評報告業(yè)務(wù)覆蓋范圍：或提供質(zhì)量管理體系認(rèn)證證書原件：證書編號：發(fā)證機(jī)構(gòu)：頒證日期：功效期：業(yè)務(wù)范圍覆蓋：19.一級要求：參照國際或國內(nèi)標(biāo)準(zhǔn)， 建立 業(yè)務(wù)范圍覆蓋信息安全服務(wù)的信息安 全管理體系或信息技術(shù)服務(wù)管理體系， 并有效運(yùn)行半年以上。結(jié)合信息安全管理體系文件，查閱體 系運(yùn)行記錄，驗(yàn)證體系運(yùn)行情況，至 少包括范圍方針文件、文件控制程 序、記錄控制程序、糾正與預(yù)防控制 程序、內(nèi)審與管評控制程序、內(nèi)審、提供信息安全管理體系文件，包括范圍方針文件、文件 控制程序、記錄控制程序、糾正與

19、預(yù)防控制程序、內(nèi)審 與管評控制程序、風(fēng)險管理程序、適用性聲明及相應(yīng)的 控制措施文件（適用于27001）或服務(wù)等級管理程序、 事件管理程序、問題管理程序、變更和發(fā)布管理程序、序 號要點(diǎn)條款需提供證明材料自評估 結(jié)論證明材料清單符 合不 符 合管評、外審報告（有則提供）風(fēng)險管理程序、適用性聲明及相應(yīng)的控制 措施文件（適用于27001）或服務(wù)等 級管理程序、事件管理程序、問題管 理程序、變更和發(fā)布管理程序、配置 管理程序（適用于20000）;業(yè)務(wù)范 圍覆蓋與申報類別一致的信息安全 服務(wù)。配置管理程序（適用于20000）體系運(yùn)行記錄：內(nèi)審、管評報告業(yè)務(wù)覆蓋范圍：或提供信息安全管理體系或信息技術(shù)服務(wù)管理

20、體系認(rèn)證證書原件：證書編號：發(fā)證機(jī)構(gòu)：頒證日期：功效期：業(yè)務(wù)范圍覆蓋：20.一級要求：參照國際或國內(nèi)標(biāo)準(zhǔn)， 建立 業(yè)務(wù)范圍覆蓋信息安全服務(wù)的信息安 全管理體系或信息技術(shù)服務(wù)管理體系， 開有效運(yùn)石一年以上。結(jié)合信息安全管理體系文件，查閱體 系運(yùn)行記錄，驗(yàn)證體系運(yùn)行情況，至 少包括范圍方針文件、文件控制程 序、記錄控制程序、糾正與預(yù)防控制 程序、內(nèi)審與管評控制程序、內(nèi)審、 管評、外審報告、風(fēng)險管理程序、適 用性聲明及相應(yīng)的控制措施文件 （適 用于27001）或服務(wù)等級管理程序、 事件管理程序、問題管理程序、變更 和發(fā)布管理程序、配置管理程序（適 附于20000）;業(yè)務(wù)范圍覆蓋與申報 類別一致的信息

21、安全服務(wù)。提供信息安全管理體系文件，包括范圍方針文件、文件 控制程序、記錄控制程序、糾正與預(yù)防控制程序、內(nèi)審 與管評控制程序、風(fēng)險管理程序、適用性聲明及相應(yīng)的 控制措施文件（適用于27001）或服務(wù)等級管理程序、 事件管理程序、問題管理程序、變更和發(fā)布管理程序、 配置管理程序（適用于20000）體系運(yùn)行記錄：內(nèi)審、管評報告業(yè)務(wù)覆蓋范圍：或提供信息安全管理體系或信息技術(shù)服務(wù)管理體系認(rèn)證 證書原件：證書編號：發(fā)證機(jī)構(gòu)：頒證日期：序 號要點(diǎn)條款需提供證明材料自評估 結(jié)論證明材料清單符 合不 符 合后效期：業(yè)務(wù)范圍覆蓋：21.一級要求：建立信息安全服務(wù)目錄 （與 類別相對應(yīng)），簽訂服務(wù)級別協(xié)議。信息安

22、全服務(wù)目錄（與類別相對應(yīng)）、 服務(wù)級別協(xié)議。提供公司的信息安全服務(wù)目錄及服務(wù)級別協(xié)議：（在服務(wù)目錄中需明確展示服務(wù)內(nèi)容、服務(wù)形式、服務(wù) 價格、服務(wù)交付成果和服務(wù)級別等的列表）（在服務(wù)級別協(xié)議中需對服務(wù)交付成果明確約定、可測 量和文檔化的一系列服務(wù)指標(biāo)）22.技術(shù)工具 要求二級/一級要求：具備獨(dú)立的測試環(huán)境及 必要的軟、硬件設(shè)備，用于技木培訓(xùn)和 模擬測試。信息安全服務(wù)的測試環(huán)境，提供設(shè)備 清單、建設(shè)時間、規(guī)模、主要承擔(dān)工 作等。設(shè)備清單：測試環(huán)境建設(shè)時間：規(guī)模：主要承擔(dān)工作：23.二級/一級要求：具備承擔(dān)信息安全服務(wù) （與申報類別一致）項(xiàng)目所需的安全工 具，并對工具進(jìn)行管理和版本控制。信息安全服

23、務(wù)的軟、硬件工具清單， 工具管理程序和要求；針對在安全服 務(wù)項(xiàng)目中應(yīng)用自主開發(fā)工具和產(chǎn)品 進(jìn)行現(xiàn)場演示，提供產(chǎn)品銷售許可證 或軟件著作權(quán)證書。提供安全工具清單：工具管理程序：工具管理和版本更新記錄：自主開發(fā)工具和產(chǎn)品名稱（如有）：產(chǎn)品銷售許可證或軟件著作權(quán)證書號（如有）：自主開發(fā)工具和產(chǎn)品簡介（如有）：24.服務(wù)技術(shù)僅適用于三級初次非現(xiàn)場建立信息安全服務(wù)（與申報類別一致） 流程。按照相關(guān)標(biāo)準(zhǔn)建立申報的服務(wù)類別 流程（申報多類需要制定相對應(yīng)的服 務(wù)流程）。流程圖中應(yīng)包括每個階段 對應(yīng)的職責(zé)、輸入輸出等。提供信息安全 XXXX服務(wù)流程（包含XX階段、XX 階段、XX階段、XX階段），對每個階段的目

24、標(biāo)、角色、 內(nèi)容、輸出進(jìn)行了說明。1.XX階段：目標(biāo)：序 號要點(diǎn)條款需提供證明材料自評估 結(jié)論證明材料清單符 合不 符 合工作內(nèi)容： 輸出：僅適用于三級初次非現(xiàn)場制定信息安全服務(wù)(與申報類別一致) 規(guī)范并按照規(guī)范實(shí)施。制定與申報的信息安全服務(wù)類別規(guī) 范并按照規(guī)范實(shí)施(申報多類需要制 定相對應(yīng)的服務(wù)規(guī)范)。提供XX公司XXX服務(wù)規(guī)范，包含XX、XX、XX、 XX等章節(jié)內(nèi)容。25.服務(wù)過程 文檔模板僅適用于三級初次非現(xiàn)場制定信息系統(tǒng)安全集成服務(wù)過程的文 檔模板安全集成：(1) 集成準(zhǔn)備階段：至少包括需求調(diào)研報告、技術(shù)方家、頭施方菜(技 術(shù)方案內(nèi)容應(yīng)至少包含項(xiàng)目背景、 設(shè) 計(jì)依據(jù)、總體設(shè)計(jì)架構(gòu)、信息

25、安全設(shè) 計(jì)等方圓內(nèi)谷， 頭施力某應(yīng)至少包含 項(xiàng)目組織架構(gòu)及人員安排、進(jìn)度安 排、實(shí)施內(nèi)容、項(xiàng)目風(fēng)險管理、項(xiàng)目 溝通管理、項(xiàng)目質(zhì)量管理等方面內(nèi) 容)；(2) 建設(shè)實(shí)施階段：至少包括日報/周報；(3) 安全保障階段：至少包括測試方案、驗(yàn)收申請、驗(yàn)收報告；提供XX、XX、XX、XX、XX、XX等模板文件。僅適用于三級初次非現(xiàn)場制定信息系統(tǒng)風(fēng)險評估服務(wù)過程的文檔模板風(fēng)險評估：(1)準(zhǔn)備階段：至少包括信息系統(tǒng)基本情況調(diào)研表、風(fēng)險評估方案(方案中應(yīng)至少包含被評估對象描提供XX、XX、XX、XX、XX、XX等模板文件。序 號要點(diǎn)條款需提供證明材料自評估 結(jié)論證明材料清單符 合不 符 合述、評估依據(jù)、評估范圍

26、、評估內(nèi)容、 項(xiàng)目組成員、評估計(jì)劃安排、評估工 具、評估過程、評估方法、風(fēng)險評價 原則、風(fēng)險評估模型、風(fēng)險分析與計(jì) 算方法等方面內(nèi)容)；(2) 風(fēng)險識別階段：至少包括管理脆弱性檢查表、技術(shù)脆弱性檢查表(包含主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安 全設(shè)備、中間件、應(yīng)用系統(tǒng)等)、威 脅調(diào)查表；(3) 風(fēng)險分析階段：風(fēng)險評估報告(至少包括評估過程、評估方法、 評估結(jié)果、處置建議等內(nèi)容)；僅適用于三級初次非現(xiàn)場制定信息安全應(yīng)急處理服務(wù)過程的文 檔模板應(yīng)急處理：(1) 準(zhǔn)備階段：至少包含工具包、服務(wù)承諾書；(2) 檢測階段：至少包含授權(quán)書、應(yīng)急處理方案；(3) 抑制階段：至少包含抑制方案；(4) 根除階段：至少包含

27、根除方案；(5) 恢復(fù)階段：至少包含恢復(fù)方案、重建系統(tǒng)規(guī)范、數(shù)據(jù)備份規(guī)范、 安全配置核查表(可以包含windows提供XX、XX、XX、XX、XX、XX等模板文件。序 號要點(diǎn)條款需提供證明材料自評估 結(jié)論證明材料清單符 合不 符 合類操作系統(tǒng)女全配置核查表、 linux 類操作系統(tǒng)安全配置核查表、數(shù)據(jù)庫 安全配置核查表、中間件安全配置核 查表)；(6)總結(jié)階段：至少包含總結(jié)報告；備注：應(yīng)急處理方案中可以總體涵 蓋檢測、抑制、根除、恢復(fù)方面的 內(nèi)容。僅適用于三級初次非現(xiàn)場制定信息系統(tǒng)安全運(yùn)維服務(wù)過程的文檔模板安全運(yùn)維：(1) 準(zhǔn)備階段：至少包含需求調(diào)研報告；(2) 方案設(shè)計(jì)階段：至少包含安全運(yùn)維

28、服務(wù)方案；(3) 運(yùn)維服務(wù)實(shí)施階段： 至少包含安全信息(包含安全配置、流量信 息、安全策略等)巡檢記錄表、狀態(tài) 巡檢記水表、健康f生檢查匯水表、病 毒查殺記錄表、安全加固規(guī)范等；(4) 運(yùn)維服務(wù)報告階段： 至少包含運(yùn)維服務(wù)月報/季報、年度服務(wù)總 結(jié)報告、驗(yàn)收報告；提供XX、XX、XX、XX、XX、XX等模板文件。僅適用于三級初次非現(xiàn)場制定信息系統(tǒng)軟件安全開發(fā)服務(wù)過程 的文檔模板軟件安全開發(fā)：(1)準(zhǔn)備階段：至少包含開發(fā)計(jì)戈IJ、配置管埋計(jì)劃、變更記錄單；提供XX、XX、XX、XX、XX、XX等模板文件。序 號要點(diǎn)條款需提供證明材料自評估 結(jié)論證明材料清單符 合不 符 合(2) 需求階段：至少包含需求分析報告；(3) 設(shè)計(jì)階段：至少包含概要設(shè)計(jì)說明書、詳細(xì)設(shè)計(jì)說明書；(4) 編碼階段：至少包含編碼規(guī)范；(5) 測試階段：至少包含測試方案、測試用例、測試報告；(6) 驗(yàn)收階段：至少包含驗(yàn)收申請、驗(yàn)收報告；(7) 維保階段：至少包含故障記錄、升級記錄；僅適用于三級初次非現(xiàn)場制定信息系統(tǒng)災(zāi)難恢復(fù)與備份服務(wù)過程的文檔模板災(zāi)難恢復(fù)與備份(B類)：(1) 方某設(shè)計(jì)要求：至少包含需求分析報告、技術(shù)方案、實(shí)施方案；(2) 系統(tǒng)建設(shè)