信息安全服務(wù)資質(zhì)認證自表公共管理

1、信息安全服務(wù)資質(zhì)認證自評估表-公共管理填表說明：1、申請三級信息安全服務(wù)資質(zhì)認證時，僅需填寫該自評估表，及表中第24、25項對應(yīng)服務(wù)類別的內(nèi)容。2、申請一二級服務(wù)資質(zhì)認證時，該自評估表與申報具體的服務(wù)類別自評估一并使用，單個文檔不作為自評估支撐材料。申報多個服務(wù)類別且級別不同時，按照申請的最高級別服務(wù)資質(zhì)認證的管理要求填寫。組織名稱服務(wù)類別/級別評估時間評估部門/人員序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合1.法律地位要求僅適用于初次認證：在中華人民共和國境內(nèi)注冊的獨立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。監(jiān)督審核：如有變化則重新提供。營業(yè)執(zhí)照/事業(yè)單位登記證，核對注冊號、法

2、定代表人、注冊資本、公司類型、經(jīng)營范圍、成立日期、營業(yè)期限等。（提供企業(yè)在國家企業(yè)信用信息公示系統(tǒng)）2.法律地位要求遵循國家相關(guān)法律法規(guī)、標準要求，無違法違規(guī)記錄，資信狀況良好。提供企業(yè)在國家企業(yè)信用信息公示系統(tǒng)（）上的企業(yè)信用信息。需要截圖3.財務(wù)資信要求僅適用于初次認證：近3年經(jīng)營狀況良好，財務(wù)數(shù)據(jù)真實可信，應(yīng)提供在中華人民共和國境內(nèi)登記注冊的會計師事務(wù)所出具的近3年財務(wù)審計報告。監(jiān)督審核：應(yīng)提供在中華人民共和國境內(nèi)登記注冊的會計師事務(wù)所出具的近1年財務(wù)審計報告。財務(wù)審計報告或（僅限于三級）加蓋本單位財務(wù)章的財務(wù)報表（近3年）。4.辦公場所要求擁有長期固定辦公場所和相適應(yīng)的辦公條件，能夠滿

3、足機構(gòu)設(shè)置及其業(yè)務(wù)需要。監(jiān)督審核：有變化則提供，無變化則不提供。房屋產(chǎn)權(quán)證或租房屋賃合同；產(chǎn)權(quán)人/出租人、地址、面積、租期。5.人員能力要求三級/二級/一級分別要求：組織負責人擁有2/3/4年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。組織負責人簡歷及資質(zhì)證書，包括姓名、年齡、職務(wù)、職稱、學歷、工作經(jīng)歷、資質(zhì)證書。XX市社保部門出具的公司員工社保繳費證明，單據(jù)號：XXXX，出具時間XX年XX月XX日。三級/二級/一級的負責人社保證明至少（3個月）。需提供人社部門網(wǎng)站查詢信息的相關(guān)截圖。6.三級/二級/一級分別要求：技術(shù)負責人具備信息安全服務(wù)（與申報類別一致）管理能力，經(jīng)考核合格（與申報類別一致）或通過專業(yè)認證，

4、考核要求見附錄G。提供技術(shù)負責人的信息安全服務(wù)管理能力證明，包括能力考核結(jié)果（與申報類別一致）或?qū)I(yè)認證證書。三級/二級/一級的技術(shù)負責人社保證明至少（3個月）。需提供人社部門網(wǎng)站查詢信息的相關(guān)截圖。7.三級/二級/一級分別要求：項目負責人、項目工程師具備信息安全服務(wù)（與申報類別一致）技術(shù)能力，經(jīng)考核合格或通過專業(yè)認證，考核要求見附錄G。三級/二級/一級分別不少于（2/6/10人）提供項目負責人、項目工程師的技術(shù)能力證明，包括能力考核結(jié)果或?qū)I(yè)認證證書。三級/二級/一級的服務(wù)人社保證明至少（3個月）。需提供人社部門網(wǎng)站查詢信息的相關(guān)截圖。8.業(yè)績要求僅適用初次審核:三級/二級/一級分別要求：從

5、事信息安全服務(wù)（與申報類別一致）至少4個月/3年或取得三級資質(zhì)1年以上/ 5年或取得二級資質(zhì)1年以上。提供首個信息安全服務(wù)（與申報類別一致）項目合同原件，核對項目名稱、合同簽訂時間、項目驗收時間等。（可在相應(yīng)招投標網(wǎng)站上查詢）。監(jiān)督審核不適用。9.僅適用初次審核:二級/一級分別要求：近3年內(nèi)簽訂并完成至少6/10個信息安全服務(wù)（與申報類別一致）項目，一二級現(xiàn)場隨機抽查1個項目。監(jiān)督審核：三級/二級/一級監(jiān)督非現(xiàn)場審核：近1年內(nèi)簽訂并完成至少1個信息安全服務(wù)（與申報類別一致）項目。三級/二級/一級監(jiān)督現(xiàn)場審核：近1年內(nèi)簽訂并完成至少1個/3個/5個信息安全服務(wù)（與申報類別一致）項目。提供信息安全

6、服務(wù)項目（與申報類別一致）合同及驗收報告原件，核對項目清單，確認項目名稱、合同金額、簽訂時間、驗收時間、項目數(shù)量、服務(wù)內(nèi)容與申報一致。（可在相應(yīng)招投標網(wǎng)站上查詢）。10.服務(wù)管理要求建立并運行人員管理程序，明確能力考核指標并制定業(yè)務(wù)和技能培訓計劃，定期對相關(guān)人員開展培訓和考核。人員管理與培訓制度、培訓與考核記錄，驗證公司人員管理情況（服務(wù)人員管理、評價制度及落實，包括崗位職責、人員技術(shù)能力、專業(yè)方向、定期考核情況等）。近三年員工培訓計劃、培訓與考核記錄，包括信息安全意識培訓、技術(shù)與管理培訓等。11.建立文檔控制程序，明確文檔管理職責，任命管理人員，并按照制度執(zhí)行。文檔控制程序（文檔管理程序）建

7、立及實施情況，提供與申報類型一致的安全服務(wù)項目過程文檔，核實是否存在遺失或信息泄露等問題。12.建立項目管理制度，明確項目管理職責，任命管理人員，并按照制度執(zhí)行風險管理。項目管理制度建立及實施情況，制度中包括項目管理貫穿項目從立項到結(jié)項的整個過程，包括項目風險管理等。提供項目風險管理記錄。13.建立并運行保密管理制度，明確崗位保密責任。能夠定期對相關(guān)人員進行保密教育，并簽訂保密協(xié)議。保密管理制度建立及落實情況，包括保密范圍、保密方式、保密時效、保密責任主體、罰則。提供保密教育培訓記錄，提供組織與管理層、技術(shù)負責人及項目實施人員簽訂的保密協(xié)議。14.建立供應(yīng)商管理制度，確保其供應(yīng)商滿足服務(wù)安全要

8、求（僅適用于安全集成、安全運維、災(zāi)難備份與恢復方向，如存在服務(wù)外包時，需要重點對服務(wù)外包項目過程及質(zhì)量的管理情況進行描述）。提供供應(yīng)商名錄、供應(yīng)商管理制度的實施情況，包括供應(yīng)商選擇、考核與管理等（僅適用于安全集成、安全運維、災(zāi)難備份與恢復方向，如存在服務(wù)外包時，需要重點對服務(wù)外包項目過程及質(zhì)量的管理情況進行描述）。15.建立合同管理制度，制定統(tǒng)一合同模板，按照合同約定實施信息安全服務(wù)項目。按照客戶要求，對于接觸到的客戶敏感信息和知識產(chǎn)權(quán)信息予以保護，并確保服務(wù)方人員了解客戶的相關(guān)要求。提供合同管理制度、合同統(tǒng)一模板。提供服務(wù)項目（與申報類別一致）合同/協(xié)議中對敏感信息和知識產(chǎn)權(quán)信息保護要求的相

9、關(guān)條款。16.二級/一級要求：了解客戶及所處的行業(yè)對信息安全服務(wù)的特定要求，確定信息安全服務(wù)范圍。提供針對具體項目的調(diào)研內(nèi)容，包括對客戶所處行業(yè)情況和相關(guān)要求的描述。17.二級要求：參照國際或國內(nèi)標準，建立業(yè)務(wù)范圍覆蓋信息安全服務(wù)的質(zhì)量管理體系，并有效運行半年以上。結(jié)合質(zhì)量管理體系文件，查閱體系運行記錄，驗證體系運行情況，至少包括質(zhì)量管理體系手冊、文件控制程序、記錄控制程序、糾正與預防控制程序、內(nèi)審與管評控制程序、安全服務(wù)工作控制程序；內(nèi)審、管評、外審報告（有則提供）；驗證質(zhì)量管理體系范圍覆蓋與申報類別一致的信息安全服務(wù)。18.一級要求：參照國際或國內(nèi)標準，建立業(yè)務(wù)范圍覆蓋信息安全服務(wù)的質(zhì)量管

10、理體系，并有效運行一年以上。結(jié)合質(zhì)量管理體系文件，查閱體系運行記錄，驗證體系運行情況，至少包括質(zhì)量管理體系手冊、文件控制程序、記錄控制程序、糾正與預防控制程序、內(nèi)審與管評控制程序、安全服務(wù)工作控制程序；內(nèi)審、管評、外審報告（有則提供）；驗證質(zhì)量管理體系范圍覆蓋與申報類別一致的信息安全服務(wù)。19.二級要求：參照國際或國內(nèi)標準，建立業(yè)務(wù)范圍覆蓋信息安全服務(wù)的信息安全管理體系或信息技術(shù)服務(wù)管理體系，并有效運行半年以上。結(jié)合信息安全管理體系文件，查閱體系運行記錄，驗證體系運行情況，至少包括范圍方針文件、文件控制程序、記錄控制程序、糾正與預防控制程序、內(nèi)審與管評控制程序、內(nèi)審、管評、外審報告（有則提供）

11、 風險管理程序、適用性聲明及相應(yīng)的控制措施文件（適用于27001）或服務(wù)等級管理程序、事件管理程序、問題管理程序、變更和發(fā)布管理程序、配置管理程序（適用于20000）；業(yè)務(wù)范圍覆蓋與申報類別一致的信息安全服務(wù)。20.一級要求：參照國際或國內(nèi)標準，建立業(yè)務(wù)范圍覆蓋信息安全服務(wù)的信息安全管理體系或信息技術(shù)服務(wù)管理體系，并有效運行一年以上。結(jié)合信息安全管理體系文件，查閱體系運行記錄，驗證體系運行情況，至少包括范圍方針文件、文件控制程序、記錄控制程序、糾正與預防控制程序、內(nèi)審與管評控制程序、內(nèi)審、管評、外審報告、風險管理程序、適用性聲明及相應(yīng)的控制措施文件（適用于27001）或服務(wù)等級管理程序、事件管

12、理程序、問題管理程序、變更和發(fā)布管理程序、配置管理程序（適用于20000）；業(yè)務(wù)范圍覆蓋與申報類別一致的信息安全服務(wù)。21.一級要求：建立信息安全服務(wù)目錄（與類別相對應(yīng)），簽訂服務(wù)級別協(xié)議。信息安全服務(wù)目錄（與類別相對應(yīng)）、服務(wù)級別協(xié)議。22.技術(shù)工具要求二級/一級要求：具備獨立的測試環(huán)境及必要的軟、硬件設(shè)備，用于技術(shù)培訓和模擬測試。信息安全服務(wù)的測試環(huán)境，提供設(shè)備清單、建設(shè)時間、規(guī)模、主要承擔工作等。23.二級/一級要求：具備承擔信息安全服務(wù)（與申報類別一致）項目所需的安全工具，并對工具進行管理和版本控制。信息安全服務(wù)的軟、硬件工具清單，工具管理程序和要求；針對在安全服務(wù)項目中應(yīng)用自主開發(fā)工

13、具和產(chǎn)品進行現(xiàn)場演示，提供產(chǎn)品銷售許可證或軟件著作權(quán)證書。24.服務(wù)技術(shù)僅適用于三級初次建立信息安全服務(wù)（與申報類別一致）流程。按照相關(guān)標準建立申報的服務(wù)類別流程（申報多類需要制定相對應(yīng)的服務(wù)流程）。流程圖中應(yīng)包括每個階段對應(yīng)的職責、輸入輸出等。僅適用于三級初次制定信息安全服務(wù)（與申報類別一致）規(guī)范并按照規(guī)范實施。制定與申報的信息安全服務(wù)類別規(guī)范并按照規(guī)范實施（申報多類需要制定相對應(yīng)的服務(wù)規(guī)范）。25.服務(wù)過程文檔模板僅適用于三級初次制定信息系統(tǒng)安全集成服務(wù)過程的文檔模板安全集成：（1） 集成準備階段：至少包括需求調(diào)研報告、技術(shù)方案、實施方案(技術(shù)方案內(nèi)容應(yīng)至少包含項目背景、設(shè)計依據(jù)、總體設(shè)計

14、架構(gòu)、信息安全設(shè)計等方面內(nèi)容，實施方案應(yīng)至少包含項目組織架構(gòu)及人員安排、進度安排、實施內(nèi)容、項目風險管理、項目溝通管理、項目質(zhì)量管理等方面內(nèi)容)；（2） 建設(shè)實施階段：至少包括日報/周報；（3） 安全保障階段：至少包括測試方案、驗收申請、驗收報告；僅適用于三級初次制定信息系統(tǒng)風險評估服務(wù)過程的文檔模板風險評估：（1） 準備階段：至少包括信息系統(tǒng)基本情況調(diào)研表、風險評估方案（方案中應(yīng)至少包含被評估對象描述、評估依據(jù)、評估范圍、評估內(nèi)容、項目組成員、評估計劃安排、評估工具、評估過程、評估方法、風險評價原則、風險評估模型、風險分析與計算方法等方面內(nèi)容）；（2） 風險識別階段：至少包括管理脆弱性檢查表

15、、技術(shù)脆弱性檢查表（包含主機、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、中間件、應(yīng)用系統(tǒng)等）、威脅調(diào)查表；（3） 風險分析階段：風險評估報告（至少包括評估過程、評估方法、評估結(jié)果、處置建議等內(nèi)容）；僅適用于三級初次制定信息安全應(yīng)急處理服務(wù)過程的文檔模板應(yīng)急處理：（1） 準備階段：至少包含工具包、服務(wù)承諾書；（2） 檢測階段：至少包含授權(quán)書、應(yīng)急處理方案；（3） 抑制階段：至少包含抑制方案；（4） 根除階段：至少包含根除方案；（5） 恢復階段：至少包含恢復方案、重建系統(tǒng)規(guī)范、數(shù)據(jù)備份規(guī)范、安全配置核查表（可以包含windows類操作系統(tǒng)安全配置核查表、linux類操作系統(tǒng)安全配置核查表、數(shù)據(jù)庫安全配置核查表、

16、中間件安全配置核查表）；（6） 總結(jié)階段：至少包含總結(jié)報告；備注：應(yīng)急處理方案中可以總體涵蓋檢測、抑制、根除、恢復方面的內(nèi)容。僅適用于三級初次制定信息系統(tǒng)安全運維服務(wù)過程的文檔模板安全運維：（1） 準備階段：至少包含需求調(diào)研報告；（2） 方案設(shè)計階段：至少包含安全運維服務(wù)方案；（3） 運維服務(wù)實施階段：至少包含安全信息（包含安全配置、流量信息、安全策略等）巡檢記錄表、狀態(tài)巡檢記錄表、健康性檢查記錄表、病毒查殺記錄表、安全加固規(guī)范等；（4） 運維服務(wù)報告階段：至少包含運維服務(wù)月報/季報、年度服務(wù)總結(jié)報告、驗收報告；僅適用于三級初次制定信息系統(tǒng)軟件安全開發(fā)服務(wù)過程的文檔模板軟件安全開發(fā)：（1） 準

17、備階段：至少包含開發(fā)計劃、配置管理計劃、變更記錄單；（2） 需求階段：至少包含需求分析報告；（3） 設(shè)計階段：至少包含概要設(shè)計說明書、詳細設(shè)計說明書；（4） 編碼階段：至少包含編碼規(guī)范；（5） 測試階段：至少包含測試方案、測試用例、測試報告；（6） 驗收階段：至少包含驗收申請、驗收報告；（7） 維保階段：至少包含故障記錄、升級記錄；僅適用于三級初次制定信息系統(tǒng)災(zāi)難恢復與備份服務(wù)過程的文檔模板災(zāi)難恢復與備份（B類）：（1） 方案設(shè)計要求：至少包含需求分析報告、技術(shù)方案、實施方案；（2） 系統(tǒng)建設(shè)與管理要求：至少包含項目周/日報；（3） 預案制定與演練要求：至少包含災(zāi)難恢復預案、桌面演練記錄、桌面

18、演練總結(jié)報告；26.申請二級資質(zhì)條件可根據(jù)條件直接申請，或獲得三級資質(zhì)（與申報類別一致）一年以上，且服務(wù)管理程序文件需建立并運行半年以上。信息安全服務(wù)（與申報類別一致）三級資質(zhì)證書。服務(wù)管理程序文件及運行時間。27.申請一級資質(zhì)條件需獲得信息安全服務(wù)（與申報類別一致）二級資質(zhì)1年以上，且服務(wù)管理程序文件需建立并運行一年以上。信息安全服務(wù)（與申報類別一致）二級資質(zhì)證書。服務(wù)管理程序文件及運行時間。28.以下內(nèi)容適用于年度監(jiān)督29.業(yè)績情況業(yè)績情況近一年業(yè)務(wù)發(fā)展情況，簽訂、完成的項目數(shù)量及情況，項目經(jīng)驗及教訓等30.組織變更情況組織變更情況組織變更情況，包括法人、資本注冊、股東變更、組織負責人、服務(wù)負責