ISCCC-QOT-0434-B/3 信息系统安全运维服务资质认证自评估表
信息系统安全运维服务资质认证自评估表
组织名称 评估时间 自评估结论 序号 要点 条款 需提供证明材料 不符符合 合 证明材料清单 申报级别 评估部门/人员 1. 服务技术要求 2. 建立信息系统安全运维服务流程。 制定信息系统安全运维服务规范并按照规范实施。 调研客户信息系统安全现状,采集客户安全服务需求与目标,明确客户对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求。 信息系统安全运维服务流程,流程图中应包括每个阶段对应的职责、输入输出等。 信息系统安全运维服务规范并按照规范实施。 针对客户的调研报告,其中包括对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求调研结果。 信息系统安全运维预算,其中包括运维服务内容、每项服务的工作量、每项服务的人力资源项目经费等。 与客户沟通形成的记录,内容应有对运维服务项目达成共识的体现。 3. 准备阶段-需求调进行信息系统运维预算,定义运维服4. 研与分析 务。 5. 与客户进行沟通,达成共识并形成记录 。 中国信息安全认证中心 制 第 1 页 共 10 页
ISCCC-QOT-0434-B/3 信息系统安全运维服务资质认证自评估表
自评估结论 序号 要点 条款 需提供证明材料 不符符合 合 证明材料清单 6. 仅二级/一级要求:分析客户对信息系统安全服务的需求和类型。 对客户进行调查的记录,内容中应有信息系统安全服务的需求和类型,如应用安全:应用系统安全测试、安全监控、安全事件应急等。 7. 仅二级/一级要求:收集与分析信息系所运维信息系统的可用性指标,如整体指统的可用性指标。 标或单系统指标等。 仅二级/一级要求:分析以往服务的数运维服务报告,其中应对以往安全服务的据,提取出来未来可自动化的服务。总结与安全事件的解决效率进行分析,提(监审时适用) 出未来可自动化的服务。 仅一级要求:内部团队之间的安全运服务级别协议中,安全运维第三方之间的营级别协议应和与安全运维第三方之服务级别设计与内部团队之间的安全运间的服务级别设计保持一致。 营级别协议应一致。 仅一级要求:安全组织中要设定安全安全组织架构图,其中应有安全领导小领导小组。 组。 与客户签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。 明确安全运维的方式,方式包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。 项目合同及保密协议,合同内容应至少包含服务范围、目标、时间、内容、金额、质量和输出等。 项目合同/协议中应有明确的安全运维模式。 8. 9. 10. 11. 准备阶段—签订服务协议 12. 中国信息安全认证中心 制 第 2 页 共 10 页
ISCCC-QOT-0434-B/3 信息系统安全运维服务资质认证自评估表
自评估结论 序号 要点 条款 需提供证明材料 不符符合 合 证明材料清单 与客户签订的服务级别协议,协议中应承仅二级/一级要求:签订服务级别协13. 诺信息系统核心指标,如:可用性、安全议。 事件解决率等。 根据系统安全运维需求,编制安全运维服务方案,明确安全运维服务时间、服务内容、服务方式、服务期限、服14. 项目服务方案,内容应包括条款要求。 务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管理等方面要求。 安全设备、业务系统的健康检查服务记录,应与安全运维服务使用者约定的服务、检查频次方案设计提供安全设备、业务系统的健康检查方式(现场检查,远程检查)15. 服务,并约定服务方式、检查频次和和检查内容一致,健康检查服务重点关注阶段 检查内容。 安全设备、业务系统的可靠性(设备或者系统在一定条件、一定时间下完成一定任务稳定运行的概率)、可用性。 16. 专业人员负责安全管理的接口。 运维项目中由高层指定的、负责安全管理接口的运维管理人员信息。 17. 仅二级/一级要求:编制信息系统的可信息系统可用性计划;信息系统可用性事用性计划,监控可用性事件,报告可件记录;信息系统可用性执行报告、改进用性执行,指导可用性的改进。 报告。 中国信息安全认证中心 制 第 3 页 共 10 页
ISCCC-QOT-0434-B/3 信息系统安全运维服务资质认证自评估表
自评估结论 序号 要点 条款 需提供证明材料 不符符合 合 证明材料清单 18. 信息系统运维过程中的分析报告,主要分仅二级/一级要求:识别与分析信息系析项目应有:历史数据清单的分析报告,统运维过程中的历史数据,提出系统内容包含运维完成情况、重大事件、重大运维的保障策略和解决方案。(监审(失败)变更等;基于以往运维数据分析时适用 结果提出的新的运维策略及解决方案。 19. 仅二级/一级要求:编制信息系统的安信息系统安全基线。 全基线。 配置库信息,其中应纳入信息系统安全涉仅二级要求:建立信息系统安全的配及的配置项,如安全设备的配置项有安全置库。 策略、管理员账户、IP等。 20. 21. 22. 23. 24. 仅一级要求:建立信息系统应急事件信息系统的应急响应计划和恢复计划。 响应机制和恢复保障。 仅一级要求:编制安全运维项目作业安全运维作业指导书,例如:配置核查操指导书。 作手册、常见安全事件处理指南等。 仅一级要求:建立应急响应和灾难恢发布且通过审批的业务连续性计划。 复机制,形成业务连续性计划。 仅一级要求:基于漏洞发现与分析进漏洞管理的方案、流程。 行信息系统漏洞的管理工作。 中国信息安全认证中心 制 第 4 页 共 10 页
ISCCC-QOT-0434-B/3 信息系统安全运维服务资质认证自评估表
自评估结论 序号 要点 条款 需提供证明材料 不符符合 合 证明材料清单 25. 实施初始服务:完成资产识别。 资产识别表,为IT资产的标识、分级、保护和软件配置建立基础资料档案;有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。 对组织信息系统的安全配置、流量信息等安全信息进行定期记录。 26. 采集信息系统重要资产的安全配置、流量信息等安全信息。 对安全设备进行日常维护及监控,并记录硬件故障。 27. 运维服务实施 28. 29. 30. 安全设备的日常维护记录,包括状态检查、更新、升级、故障检测及排除、对安全设备出现的硬件故障进行统计的记录。 进行安全事件审计,应有对网络及安全设收集与分析网络及安全设备、服务器、备、服务器、数据库、中间件、应用系统数据库、中间件、应用系统的日志。 日志的保存记录与审计分析报告。 实施日常巡检服务:对用户的安全设备、网络设备、服务器提供业务操作日常巡检记录,主要针对条款要求内容。 巡检、状态巡检、安全策略配置巡检服务。 实施日常安全运维服务:完成安全设备、网络设备、服务器、应用系统安日常安全运维服务记录,主要针对条款要全事件监控;病毒监测、查杀及网络求内容。 防病毒维护;漏洞扫描、安全加固、补丁安装;并有相关记录。 中国信息安全认证中心 制 第 5 页 共 10 页
安全运维类
