信息安全服務資質(zhì)認證自表公共管理

1、信息安全服務資質(zhì)認證自評估表-公共管理填表說明：1、申請三級信息安全服務資質(zhì)認證時，僅需填寫該自評估表，及表中第24、25項對應服務類別的內(nèi)容。2、申請一二級服務資質(zhì)認證時，該自評估表與申報具體的服務類別自評估一并使用，單個文檔不作為自評估支撐材料。申報多個服務類別且級別不同時，按照申請的最高級別服務資質(zhì)認證的管理要求填寫。組織名稱服務類別/級別評估時間評估部門/人員序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合1.法律地位要求僅適用于初次認證：在中華人民共和國境內(nèi)注冊的獨立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關系明確。監(jiān)督審核：如有變化則重新提供。營業(yè)執(zhí)照/事業(yè)單位登記證，核對注冊號、法

2、定代表人、注冊資本、公司類型、經(jīng)營范圍、成立日期、營業(yè)期限等。（提供企業(yè)在國家企業(yè)信用信息公示系統(tǒng)）2.法律地位要求遵循國家相關法律法規(guī)、標準要求，無違法違規(guī)記錄，資信狀況良好。提供企業(yè)在國家企業(yè)信用信息公示系統(tǒng)（）上的企業(yè)信用信息。需要截圖3.財務資信要求僅適用于初次認證：近3年經(jīng)營狀況良好，財務數(shù)據(jù)真實可信，應提供在中華人民共和國境內(nèi)登記注冊的會計師事務所出具的近3年財務審計報告。監(jiān)督審核：應提供在中華人民共和國境內(nèi)登記注冊的會計師事務所出具的近1年財務審計報告。財務審計報告或（僅限于三級）加蓋本單位財務章的財務報表（近3年）。4.辦公場所要求擁有長期固定辦公場所和相適應的辦公條件，能夠滿

3、足機構(gòu)設置及其業(yè)務需要。監(jiān)督審核：有變化則提供，無變化則不提供。房屋產(chǎn)權(quán)證或租房屋賃合同；產(chǎn)權(quán)人/出租人、地址、面積、租期。5.人員能力要求三級/二級/一級分別要求：組織負責人擁有2/3/4年以上信息技術領域管理經(jīng)歷。組織負責人簡歷及資質(zhì)證書，包括姓名、年齡、職務、職稱、學歷、工作經(jīng)歷、資質(zhì)證書。XX市社保部門出具的公司員工社保繳費證明，單據(jù)號：XXXX，出具時間XX年XX月XX日。三級/二級/一級的負責人社保證明至少（3個月）。需提供人社部門網(wǎng)站查詢信息的相關截圖。6.三級/二級/一級分別要求：技術負責人具備信息安全服務（與申報類別一致）管理能力，經(jīng)考核合格（與申報類別一致）或通過專業(yè)認證，

4、考核要求見附錄G。提供技術負責人的信息安全服務管理能力證明，包括能力考核結(jié)果（與申報類別一致）或?qū)I(yè)認證證書。三級/二級/一級的技術負責人社保證明至少（3個月）。需提供人社部門網(wǎng)站查詢信息的相關截圖。7.三級/二級/一級分別要求：項目負責人、項目工程師具備信息安全服務（與申報類別一致）技術能力，經(jīng)考核合格或通過專業(yè)認證，考核要求見附錄G。三級/二級/一級分別不少于（2/6/10人）提供項目負責人、項目工程師的技術能力證明，包括能力考核結(jié)果或?qū)I(yè)認證證書。三級/二級/一級的服務人社保證明至少（3個月）。需提供人社部門網(wǎng)站查詢信息的相關截圖。8.業(yè)績要求僅適用初次審核:三級/二級/一級分別要求：從

5、事信息安全服務（與申報類別一致）至少4個月/3年或取得三級資質(zhì)1年以上/ 5年或取得二級資質(zhì)1年以上。提供首個信息安全服務（與申報類別一致）項目合同原件，核對項目名稱、合同簽訂時間、項目驗收時間等。（可在相應招投標網(wǎng)站上查詢）。監(jiān)督審核不適用。9.僅適用初次審核:二級/一級分別要求：近3年內(nèi)簽訂并完成至少6/10個信息安全服務（與申報類別一致）項目，一二級現(xiàn)場隨機抽查1個項目。監(jiān)督審核：三級/二級/一級監(jiān)督非現(xiàn)場審核：近1年內(nèi)簽訂并完成至少1個信息安全服務（與申報類別一致）項目。三級/二級/一級監(jiān)督現(xiàn)場審核：近1年內(nèi)簽訂并完成至少1個/3個/5個信息安全服務（與申報類別一致）項目。提供信息安全

6、服務項目（與申報類別一致）合同及驗收報告原件，核對項目清單，確認項目名稱、合同金額、簽訂時間、驗收時間、項目數(shù)量、服務內(nèi)容與申報一致。（可在相應招投標網(wǎng)站上查詢）。10.服務管理要求建立并運行人員管理程序，明確能力考核指標并制定業(yè)務和技能培訓計劃，定期對相關人員開展培訓和考核。人員管理與培訓制度、培訓與考核記錄，驗證公司人員管理情況（服務人員管理、評價制度及落實，包括崗位職責、人員技術能力、專業(yè)方向、定期考核情況等）。近三年員工培訓計劃、培訓與考核記錄，包括信息安全意識培訓、技術與管理培訓等。11.建立文檔控制程序，明確文檔管理職責，任命管理人員，并按照制度執(zhí)行。文檔控制程序（文檔管理程序）建

7、立及實施情況，提供與申報類型一致的安全服務項目過程文檔，核實是否存在遺失或信息泄露等問題。12.建立項目管理制度，明確項目管理職責，任命管理人員，并按照制度執(zhí)行風險管理。項目管理制度建立及實施情況，制度中包括項目管理貫穿項目從立項到結(jié)項的整個過程，包括項目風險管理等。提供項目風險管理記錄。13.建立并運行保密管理制度，明確崗位保密責任。能夠定期對相關人員進行保密教育，并簽訂保密協(xié)議。保密管理制度建立及落實情況，包括保密范圍、保密方式、保密時效、保密責任主體、罰則。提供保密教育培訓記錄，提供組織與管理層、技術負責人及項目實施人員簽訂的保密協(xié)議。14.建立供應商管理制度，確保其供應商滿足服務安全要

8、求（僅適用于安全集成、安全運維、災難備份與恢復方向，如存在服務外包時，需要重點對服務外包項目過程及質(zhì)量的管理情況進行描述）。提供供應商名錄、供應商管理制度的實施情況，包括供應商選擇、考核與管理等（僅適用于安全集成、安全運維、災難備份與恢復方向，如存在服務外包時，需要重點對服務外包項目過程及質(zhì)量的管理情況進行描述）。15.建立合同管理制度，制定統(tǒng)一合同模板，按照合同約定實施信息安全服務項目。按照客戶要求，對于接觸到的客戶敏感信息和知識產(chǎn)權(quán)信息予以保護，并確保服務方人員了解客戶的相關要求。提供合同管理制度、合同統(tǒng)一模板。提供服務項目（與申報類別一致）合同/協(xié)議中對敏感信息和知識產(chǎn)權(quán)信息保護要求的相

9、關條款。16.二級/一級要求：了解客戶及所處的行業(yè)對信息安全服務的特定要求，確定信息安全服務范圍。提供針對具體項目的調(diào)研內(nèi)容，包括對客戶所處行業(yè)情況和相關要求的描述。17.二級要求：參照國際或國內(nèi)標準，建立業(yè)務范圍覆蓋信息安全服務的質(zhì)量管理體系，并有效運行半年以上。結(jié)合質(zhì)量管理體系文件，查閱體系運行記錄，驗證體系運行情況，至少包括質(zhì)量管理體系手冊、文件控制程序、記錄控制程序、糾正與預防控制程序、內(nèi)審與管評控制程序、安全服務工作控制程序；內(nèi)審、管評、外審報告（有則提供）；驗證質(zhì)量管理體系范圍覆蓋與申報類別一致的信息安全服務。18.一級要求：參照國際或國內(nèi)標準，建立業(yè)務范圍覆蓋信息安全服務的質(zhì)量管

10、理體系，并有效運行一年以上。結(jié)合質(zhì)量管理體系文件，查閱體系運行記錄，驗證體系運行情況，至少包括質(zhì)量管理體系手冊、文件控制程序、記錄控制程序、糾正與預防控制程序、內(nèi)審與管評控制程序、安全服務工作控制程序；內(nèi)審、管評、外審報告（有則提供）；驗證質(zhì)量管理體系范圍覆蓋與申報類別一致的信息安全服務。19.二級要求：參照國際或國內(nèi)標準，建立業(yè)務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系，并有效運行半年以上。結(jié)合信息安全管理體系文件，查閱體系運行記錄，驗證體系運行情況，至少包括范圍方針文件、文件控制程序、記錄控制程序、糾正與預防控制程序、內(nèi)審與管評控制程序、內(nèi)審、管評、外審報告（有則提供）

11、 風險管理程序、適用性聲明及相應的控制措施文件（適用于27001）或服務等級管理程序、事件管理程序、問題管理程序、變更和發(fā)布管理程序、配置管理程序（適用于20000）；業(yè)務范圍覆蓋與申報類別一致的信息安全服務。20.一級要求：參照國際或國內(nèi)標準，建立業(yè)務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系，并有效運行一年以上。結(jié)合信息安全管理體系文件，查閱體系運行記錄，驗證體系運行情況，至少包括范圍方針文件、文件控制程序、記錄控制程序、糾正與預防控制程序、內(nèi)審與管評控制程序、內(nèi)審、管評、外審報告、風險管理程序、適用性聲明及相應的控制措施文件（適用于27001）或服務等級管理程序、事件管

12、理程序、問題管理程序、變更和發(fā)布管理程序、配置管理程序（適用于20000）；業(yè)務范圍覆蓋與申報類別一致的信息安全服務。21.一級要求：建立信息安全服務目錄（與類別相對應），簽訂服務級別協(xié)議。信息安全服務目錄（與類別相對應）、服務級別協(xié)議。22.技術工具要求二級/一級要求：具備獨立的測試環(huán)境及必要的軟、硬件設備，用于技術培訓和模擬測試。信息安全服務的測試環(huán)境，提供設備清單、建設時間、規(guī)模、主要承擔工作等。23.二級/一級要求：具備承擔信息安全服務（與申報類別一致）項目所需的安全工具，并對工具進行管理和版本控制。信息安全服務的軟、硬件工具清單，工具管理程序和要求；針對在安全服務項目中應用自主開發(fā)工

13、具和產(chǎn)品進行現(xiàn)場演示，提供產(chǎn)品銷售許可證或軟件著作權(quán)證書。24.服務技術僅適用于三級初次建立信息安全服務（與申報類別一致）流程。按照相關標準建立申報的服務類別流程（申報多類需要制定相對應的服務流程）。流程圖中應包括每個階段對應的職責、輸入輸出等。僅適用于三級初次制定信息安全服務（與申報類別一致）規(guī)范并按照規(guī)范實施。制定與申報的信息安全服務類別規(guī)范并按照規(guī)范實施（申報多類需要制定相對應的服務規(guī)范）。25.服務過程文檔模板僅適用于三級初次制定信息系統(tǒng)安全集成服務過程的文檔模板安全集成：（1） 集成準備階段：至少包括需求調(diào)研報告、技術方案、實施方案(技術方案內(nèi)容應至少包含項目背景、設計依據(jù)、總體設計

14、架構(gòu)、信息安全設計等方面內(nèi)容，實施方案應至少包含項目組織架構(gòu)及人員安排、進度安排、實施內(nèi)容、項目風險管理、項目溝通管理、項目質(zhì)量管理等方面內(nèi)容)；（2） 建設實施階段：至少包括日報/周報；（3） 安全保障階段：至少包括測試方案、驗收申請、驗收報告；僅適用于三級初次制定信息系統(tǒng)風險評估服務過程的文檔模板風險評估：（1） 準備階段：至少包括信息系統(tǒng)基本情況調(diào)研表、風險評估方案（方案中應至少包含被評估對象描述、評估依據(jù)、評估范圍、評估內(nèi)容、項目組成員、評估計劃安排、評估工具、評估過程、評估方法、風險評價原則、風險評估模型、風險分析與計算方法等方面內(nèi)容）；（2） 風險識別階段：至少包括管理脆弱性檢查表

15、、技術脆弱性檢查表（包含主機、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、中間件、應用系統(tǒng)等）、威脅調(diào)查表；（3） 風險分析階段：風險評估報告（至少包括評估過程、評估方法、評估結(jié)果、處置建議等內(nèi)容）；僅適用于三級初次制定信息安全應急處理服務過程的文檔模板應急處理：（1） 準備階段：至少包含工具包、服務承諾書；（2） 檢測階段：至少包含授權(quán)書、應急處理方案；（3） 抑制階段：至少包含抑制方案；（4） 根除階段：至少包含根除方案；（5） 恢復階段：至少包含恢復方案、重建系統(tǒng)規(guī)范、數(shù)據(jù)備份規(guī)范、安全配置核查表（可以包含windows類操作系統(tǒng)安全配置核查表、linux類操作系統(tǒng)安全配置核查表、數(shù)據(jù)庫安全配置核查表、

16、中間件安全配置核查表）；（6） 總結(jié)階段：至少包含總結(jié)報告；備注：應急處理方案中可以總體涵蓋檢測、抑制、根除、恢復方面的內(nèi)容。僅適用于三級初次制定信息系統(tǒng)安全運維服務過程的文檔模板安全運維：（1） 準備階段：至少包含需求調(diào)研報告；（2） 方案設計階段：至少包含安全運維服務方案；（3） 運維服務實施階段：至少包含安全信息（包含安全配置、流量信息、安全策略等）巡檢記錄表、狀態(tài)巡檢記錄表、健康性檢查記錄表、病毒查殺記錄表、安全加固規(guī)范等；（4） 運維服務報告階段：至少包含運維服務月報/季報、年度服務總結(jié)報告、驗收報告；僅適用于三級初次制定信息系統(tǒng)軟件安全開發(fā)服務過程的文檔模板軟件安全開發(fā)：（1） 準

17、備階段：至少包含開發(fā)計劃、配置管理計劃、變更記錄單；（2） 需求階段：至少包含需求分析報告；（3） 設計階段：至少包含概要設計說明書、詳細設計說明書；（4） 編碼階段：至少包含編碼規(guī)范；（5） 測試階段：至少包含測試方案、測試用例、測試報告；（6） 驗收階段：至少包含驗收申請、驗收報告；（7） 維保階段：至少包含故障記錄、升級記錄；僅適用于三級初次制定信息系統(tǒng)災難恢復與備份服務過程的文檔模板災難恢復與備份（B類）：（1） 方案設計要求：至少包含需求分析報告、技術方案、實施方案；（2） 系統(tǒng)建設與管理要求：至少包含項目周/日報；（3） 預案制定與演練要求：至少包含災難恢復預案、桌面演練記錄、桌面

18、演練總結(jié)報告；26.申請二級資質(zhì)條件可根據(jù)條件直接申請，或獲得三級資質(zhì)（與申報類別一致）一年以上，且服務管理程序文件需建立并運行半年以上。信息安全服務（與申報類別一致）三級資質(zhì)證書。服務管理程序文件及運行時間。27.申請一級資質(zhì)條件需獲得信息安全服務（與申報類別一致）二級資質(zhì)1年以上，且服務管理程序文件需建立并運行一年以上。信息安全服務（與申報類別一致）二級資質(zhì)證書。服務管理程序文件及運行時間。28.以下內(nèi)容適用于年度監(jiān)督29.業(yè)績情況業(yè)績情況近一年業(yè)務發(fā)展情況，簽訂、完成的項目數(shù)量及情況，項目經(jīng)驗及教訓等30.組織變更情況組織變更情況組織變更情況，包括法人、資本注冊、股東變更、組織負責人、服務負責