CCRC-QOT-0432-B/6 信息安全服务资质认证自评估表-公共管理
序号 要点 (三级要求)建立与运行供应商管理程序,确保其供应商满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复、、工业控制系统安全)。 (一、二级要求)建立并运行供应商管理程序,明确供应或外包过程中的风险,对供应商或承包方的服务基本资格、服务过程控制、服务质量、服务交付等进行识别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向、工业控制系统安全)。 建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。 一/二级要求:参照国际或国内标准,建立业务范围覆盖信息安全服务的质量管理体系,提供供应商名录、供应商管理制度的实施情况,包括供应商选择、考核与管理等(仅适用于安全集成、安全运维、灾难备份与恢复方向、工业控制系统安全) 提供供应商管理程序,明确供应或外包过程中的风险,对供应商或承包方的服务基本资格、服务过程控制、服务质量、服务交付等进行识别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向、工业控制系统安全) 条款 需提供证明材料 自评估结论 不符符合 合 证明材料清单 17. 18. 19. 提供合同管理程序、合同统一模板。提供服务项目(与申报类别一致)合同/协议中对敏感信息和知识产权信息保护要求的相关条款。 结合质量管理体系文件,查阅体系运行记录,验证体系运行情况,至少包括质量管理体系手册、文件控制程序、记录 20. 中国网络安全审查技术与认证中心 制 第 6 页 共 15 页
CCRC-QOT-0432-B/6 信息安全服务资质认证自评估表-公共管理
序号 要点 并有效运行半/一年以上。 控制程序、纠正与预防控制程序、内审与管评控制程序、安全服务工作控制程序;内审、管评、外审报告(有则提供);验证质量管理体系范围覆盖与申报类别一致的信息安全服务。 结合信息安全管理体系文件,查阅体系运行记录,验证体系运行情况,至少包括范围方针文件、事件管理、问题管理、介质管理、业务连续性管理、数据安全管理、内审与管评控制程序、内审、管评、外审报告(有则提供) [风险管理程序、适用性声明及相应的控制措施文件](适用于27001)(适用于20000);业务范围覆盖与申报类别一致的信息安全服务。 信息安全服务目录(与类别相对应)、服务级别协议。 信息安全服务的测试环境,提供设备清单、建设时间、规模、主要承担工作等。 信息安全服务的软、硬件工具清单,工具管理程序和要求;针对在安全服务项目中应用自主开发工具和产品进行现场演示,提供产品销售许可证或软件著条款 需提供证明材料 自评估结论 不符符合 合 证明材料清单 21. 一/二级要求:参照国际或国内标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系,并有效运行半/一年以上。 22. 23. 24. 一级要求:建立信息安全服务目录(与类别相对应),签订服务级别协议。 二级/一级要求:具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。 技术工具二级/一级要求:具备承担信息要求 安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版本控制。 中国网络安全审查技术与认证中心 制 第 7 页 共 15 页
CCRC-QOT-0432-B/6 信息安全服务资质认证自评估表-公共管理
序号 要点 作权证书。 条款 需提供证明材料 自评估结论 不符符合 合 证明材料清单 25. 服务技术 26. 仅适用于三级初次 制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。 仅适用于三级初次 制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。 按照相关标准建立申报的服务类别流程(申报多类需要制定相对应的服务流程)。流程图中应包括每个阶段对应的职责、输入输出等。 制定与申报的信息安全服务类别规范并按照规范实施(申报多类需要制定相对应的服务规范)。 安全集成: (1) 集成准备阶段:至少包括需求调研报告、技术方案、实施方案(技术方案内容应至少包含项目背景、设计依据、总体设计架构、信息安全设计等方面内容,实施方案应至少包含项目组织架构及人员安排、进度安排、实施内容、项目风险管理、项目沟通管理、项目质量管理等方面内容); (2) 建设实施阶段:至少包括日报/周报; (3) 安全保障阶段:至少包括测试方案、验收申请、验收报告; 风险评估: 如工控安全请注明行业。 如工控安全请注明行业。 27. 服务过程文档模板 仅适用于三级初次 制定信息系统安全集成服务过程的文档模板 28. 仅适用于三级初次 中国网络安全审查技术与认证中心 制 第 8 页 共 15 页
CCRC-QOT-0432-B/6 信息安全服务资质认证自评估表-公共管理
序号 要点 制定信息系统风险评估服务过程的文档模板 (1) 准备阶段:至少包括信息系统基本情况调研表、风险评估方案(方案中应至少包含被评估对象描述、评估依据、评估范围、评估内容、项目组成员、评估计划安排、评估工具、评估过程、评估方法、风险评价原则、风险评估模型、风险分析与计算方法等方面内容); (2) 风险识别阶段:至少包括管理脆弱性检查表、技术脆弱性检查表(包含主机、数据库、网络设备、安全设备、中间件、应用系统等)、威胁调查表; (3) 风险分析阶段:风险评估报告(至少包括评估过程、评估方法、评估结果、处置建议等内容); 应急处理: (1) 准备阶段:至少包含工具包、服务承诺书; (2) 检测阶段:至少包含授权书、应急处理方案; 仅适用于三级初次 制定信息安全应急处理服务过(3) 抑制阶段:至少包含抑制方案; 程的文档模板 (4) 根除阶段:至少包含根除方案; (5) 恢复阶段:至少包含恢复方案、重建系统规范、数据备份规范、安条款 需提供证明材料 自评估结论 不符符合 合 证明材料清单 29. 中国网络安全审查技术与认证中心 制 第 9 页 共 15 页
CCRC-QOT-0432-B/6 信息安全服务资质认证自评估表-公共管理
序号 要点 全配置核查表(可以包含windows类操作系统安全配置核查表、linux类操作系统安全配置核查表、数据库安全配置核查表、中间件安全配置核查表); (6) 总结阶段:至少包含总结报告; 备注:应急处理方案中可以总体涵盖检测、抑制、根除、恢复方面的内容。 安全运维: (1) 准备阶段:至少包含需求调研报告; (2) 方案设计阶段:至少包含安全运维服务方案; (3) 运维服务实施阶段:至少包含安全信息(包含安全配置、流量信息、安全策略等)巡检记录表、状态巡检记录表、健康性检查记录表、病毒查杀记录表、安全加固规范等; (4) 运维服务报告阶段:至少包含运维服务月报/季报、年度服务总结报告、验收报告; 软件安全开发: (1) 准备阶段:至少包含开发计划、配置管理计划、变更记录单; (2) 需求阶段:至少包含需求分析条款 需提供证明材料 自评估结论 不符符合 合 证明材料清单 仅适用于三级初次 制定信息系统安全运维服务过程的文档模板 仅适用于三级初次 制定信息系统软件安全开发服务过程的文档模板 中国网络安全审查技术与认证中心 制 第 10 页 共 15 页