信息系統(tǒng)安全運維服務(wù)資質(zhì)認證自評估表

1、.信息系統(tǒng)安全運維服務(wù)資質(zhì)認證自評估表組織名稱申報級別評估時間評估部門 / 人員自評估結(jié)論序要點條款需提供證明材料不證明材料清單號符符合合準備階段 采集客戶對信息系統(tǒng)運維服務(wù)時間的需運維前的客戶需求調(diào)查報告，可結(jié)合結(jié)1.求。需求調(diào)研與合業(yè)務(wù)部門 ， 公司高層的戰(zhàn)略規(guī)劃， 內(nèi). 專業(yè)資料 .分析進行信息系統(tǒng)運維預算，定義運維服2.務(wù)。與客戶進行溝通，達成共識并形成記3.錄 。容必須有服務(wù)時間要求。運維前的信息系統(tǒng)運維預算表,內(nèi)容應(yīng)包括工作量、人力資源項目經(jīng)費、項目節(jié)點等 。運維前與客戶溝通的記錄，應(yīng)有溝通結(jié)果雙方達成共識的體現(xiàn)。信息系統(tǒng)運維過程中的歷史數(shù)據(jù)清單；僅二級要求 ：識別與分析信息系統(tǒng)運

2、維過程中的歷史數(shù)據(jù) ，提出系統(tǒng)運維的保障策略和解決方案 。4.僅二級要求：分析客戶對信息系統(tǒng)安全服務(wù)的需求和類型。歷史數(shù)據(jù)清單的分析報告，內(nèi)容包含指標完成情況、 違例操作 、 重大事件 、 重大（失敗）變更等。根據(jù)報告的分析制定的運維策略，及實施方案 ；客戶需求調(diào)查報告，包含信息系統(tǒng)安全服務(wù)的需求和類型；. 專業(yè)資料 .僅二級要求 ：收集與分析信息系統(tǒng)的信息系統(tǒng)的可用性指標清單，如整體指5.標或單系統(tǒng)指標等 ；可用性指標 ，明確可用性指標的類型。以往提供服務(wù)的解決方案，對生產(chǎn)的影僅二級要求 ：分析以往服務(wù)的數(shù)據(jù)，響的分析報告 ；6.根 據(jù)以 往安 全事件 的解決 效率 進行 分提取出來未來可自

3、動化的服務(wù)。析，適宜時 提出來 未來可 自動化的 服務(wù)。僅一級要求 ：內(nèi)部團隊之間的安全運服務(wù)級別設(shè)計 、安全運營級別協(xié)議， 兩7.營級別協(xié)議應(yīng)和與安全運維第三方之間者應(yīng)保持一致 。的的服務(wù)級別設(shè)計保持一致。僅一級要求 ：安全組織中要設(shè)定安全安全組織架構(gòu)圖及相關(guān)運維人員清單，領(lǐng)導小組 ；在采用外包模式的情況下，其中應(yīng)有安全領(lǐng)導小組 ；8.執(zhí)行組還應(yīng)包含安全運維服務(wù)供應(yīng)商參外包模式的執(zhí)行組中應(yīng)有第三方參與運與運維的人員 。維的人員 。僅一級要求 ： 采用基于 PDCA 的管理模信息系統(tǒng)安全運維服務(wù)有策劃，實施，9.型，從策劃 ，實施 ，監(jiān)視與評審和持續(xù)監(jiān)視與評審和持續(xù)改進流程。. 專業(yè)資料 .1

4、0.11.12.準備階段 運維服務(wù)設(shè)計改進進行體系化的信息系統(tǒng)安全運維服務(wù)。僅一級要求：建立安全運維可視化視圖。 基于信息系統(tǒng)安全的生命周期，建立信息系統(tǒng)安全運維的整體策略?；诳蛻?、業(yè)務(wù)的價值體現(xiàn)，形成安全運維的整體視圖 。制定安全運維服務(wù)目錄 ，目錄內(nèi)容包括但不限于 ：初始服務(wù) 、安全設(shè)備運維 、日常巡檢服務(wù) 、健康檢查 、安全事件審計。信息系統(tǒng)相關(guān)的IT資產(chǎn)進行識別。安全運維項目施工手冊和作業(yè)指導書；新建系統(tǒng)，建設(shè)實施過程應(yīng)重點關(guān)注信息系統(tǒng)的功能、性能和安全性等方面要求，應(yīng)保留與客戶的需求分析記錄；系統(tǒng)改造中考慮造前技術(shù)測試驗證及在實施失敗后的回退措施；測試驗證中對舊系統(tǒng)的兼容問題，包

5、括網(wǎng)絡(luò)兼容、系統(tǒng)兼容、應(yīng)用兼容等， 有驗證報告 。安全運維服務(wù)目錄，內(nèi)容包含條款要求。IT 資產(chǎn)識別清單 ，內(nèi)容有IT 資產(chǎn)識別的標識 、分級 、 保護和軟件配置建立基礎(chǔ)資料檔案 ；有設(shè)備和系統(tǒng)的種類、型號 、功能、物理位置 、端口對應(yīng)情況、 部署情況等資. 專業(yè)資料 .產(chǎn)詳細信息 。安全設(shè)備的日常維護，狀態(tài)檢查 ，定期13.對安全設(shè)備進行日常維護及監(jiān)控，并記查殺 ，故障處理 、保養(yǎng)、更新、升級 、錄硬件故障 。故障檢測及排除 ，并對安全設(shè)備出現(xiàn)的硬件故障進行統(tǒng)計的記錄。提供安全設(shè)備 、業(yè)務(wù)系統(tǒng)的健康檢查服有安全運維服務(wù)使用者約定的服務(wù)方式（ 現(xiàn)場檢查 ， 遠程檢查 ）、 檢查頻次和14.務(wù)，

6、并約定服務(wù)方式 、檢查頻次和檢查檢查的文件記錄 。內(nèi)容 。安全設(shè)備 、業(yè)務(wù)系統(tǒng)的健康檢查服務(wù)，15.采集系統(tǒng)配置 、流量信息 、系統(tǒng)狀態(tài)等應(yīng)與安全運維服務(wù)使用者約定的服務(wù)方安全信息 。式 （現(xiàn)場檢查 ，遠程檢查 ）、 檢查頻次和檢查的文件的記錄。收集與分析網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器 、有對網(wǎng)絡(luò)及安全設(shè)備日志，服務(wù)器、操16.作系統(tǒng)等日志 ，網(wǎng)絡(luò)應(yīng)用日志的記錄與操作系統(tǒng) 、網(wǎng)絡(luò)應(yīng)用的日志 。分析報告 。信息安全事件的統(tǒng)計表，分析報告 ；17.僅二級要求 ：對信息安全事件進行統(tǒng)信息系統(tǒng)的可用性事件、計劃、報告；計與分析 。安全運維角色清單。. 專業(yè)資料 .僅二級要求：編寫安全運維服務(wù)目錄，目錄內(nèi)容包括

7、但不限于：運維監(jiān)控18.與分析 、終端安全監(jiān)控 、等級保護合規(guī)性運維 。安全運維服務(wù)目錄，內(nèi)容應(yīng)包含有條款的要求 。信息系統(tǒng)問題管理程序，已審批并發(fā)僅二級要求：建立信息系統(tǒng)安全運維19.的問題管理程序。僅二級要求：建立知識管理程序及初20.步形成知識庫。僅二級要求：編制信息系統(tǒng)的可用性21.計劃 ，監(jiān)控可用性事件 ，報告可用性執(zhí)行，指導可用性的改進 。僅二級要求：形成信息安全管理的組22.織架構(gòu) ，組織結(jié)構(gòu)的構(gòu)成要素與安全運維活動角色相對應(yīng)。布。知識管理程序，已審批并發(fā)布 。信息系統(tǒng)的可用性事件、計劃、報告。信息安全管理的組織架構(gòu)表，安全運維角色清單 ，應(yīng)與組織的構(gòu)成要素對應(yīng)。. 專業(yè)資料 .

8、僅一級要求：編制安全運維項目作業(yè)23.指導書 。僅一級要求：建設(shè)實施過程中應(yīng)關(guān)注信息系統(tǒng)的功能、性能和安全性方面要24.求。 改造過程中應(yīng)制定測試計劃及回退措施 。安全運維項目中各模塊作業(yè)指導書。有改造過程中的信息系統(tǒng)的測試計劃；有信息系統(tǒng)的基線、回退的措施文件。僅一級要求：編寫安全運維服務(wù)目安全運維服務(wù)目錄，內(nèi)容有條款要求的25.錄，目錄內(nèi)容包括但不限于：安全通告及漏洞分析 、應(yīng)急響應(yīng)服務(wù) 。服務(wù) 。完整的配置數(shù)據(jù)庫，能初步收集資產(chǎn)與26.收集與建立配置管理數(shù)據(jù)庫，確保配置配置項 ，并確保配置項目的機密性、 完項目的機密性 、完整性 、可用性 。整性、可用性。準備階段 完整的配置數(shù)據(jù)庫，能初

9、步收集資產(chǎn)與運維服務(wù)導27.入專業(yè)人員負責安全管理的接口。配置項 ，并確保配置項目的機密性、 完整性、可用性。安全運維服務(wù)目錄 。28.建立服務(wù)目錄 。. 專業(yè)資料 .建立事件響應(yīng)和解決的機制,有基本的安全事件處理與應(yīng)急響應(yīng)流程，安全事29.安全運維報告模式 。件處理與上報流程 。僅二級要求 ：采用流程化管理方法，滲透測試的計劃和記錄；基于安全事件處理流程 、安全培訓服務(wù)建立安全事件處理流程， 安全培訓服務(wù)30.流程 ，滲透測試的流程 。流程 、滲透測試流程進行標準化的信息系統(tǒng)安全運維工作 。僅一級要求 ：基于滲透測試流程管理運維過程中的滲透測試的計劃和記錄。31.進行標準化的信息系統(tǒng)安全運維

10、工作。僅一級要求 ：編制信息安全產(chǎn)品和工信息安全產(chǎn)品和工具定制開發(fā)計劃， 內(nèi)32.具定制開發(fā)計劃 。容可以應(yīng)客戶要求或組織自身的能力。33.準備階段 服務(wù)協(xié)議的特殊要求34.明確安全事件處理與應(yīng)急響應(yīng)流程，流建立安全事件處理流程，應(yīng)急響應(yīng)流程包括但不限于：安全事件的分類 、安程，內(nèi)容應(yīng)包括條款要求；全事件上報流程、安全事件處理流程 、安全事件的事后處理。明確安全運維的方式，方式包括但不限服務(wù)級別協(xié)議協(xié)議，其中內(nèi)容包括運維于：駐場值守方式 ，定期巡檢方式 ，遠程值守方式 。的方式 。. 專業(yè)資料 .僅二級要求：簽訂服務(wù)級別協(xié)議,建立35.信息系統(tǒng)應(yīng)急事件響應(yīng)機制和恢復保障。36.僅二級要求 ：建

11、立問題管理程序。僅二級要求：建立信息系統(tǒng)安全的配37.置庫及關(guān)聯(lián)關(guān)系信息。僅一級要求 ：建立信息系統(tǒng)安全運維38.服務(wù)級別管理程序， 簽訂服務(wù)級別協(xié)議。僅一級要求：建立信息系統(tǒng)應(yīng)急事件39.響應(yīng)機制和恢復保障。僅一級要求：對客戶滿意度進行趨勢40.分析 。服務(wù)級別協(xié)議，內(nèi)容包括承諾信息系統(tǒng)核心指標 ；應(yīng)急響應(yīng)計劃、系統(tǒng)恢復計劃 。信息系統(tǒng)的問題管理程序，已審批并發(fā)布。配置庫 ，系統(tǒng)安全配置項之間有關(guān)聯(lián)信息。有已通過審核并發(fā)布的信息系統(tǒng)安全運維服務(wù)級別管理程序；查看客戶有服務(wù)級別協(xié)議。應(yīng)急響應(yīng)計劃、系統(tǒng)恢復計劃的演練記錄；客戶滿意度調(diào)查報告與趨勢分析報告；. 專業(yè)資料 .僅一級要求：建立應(yīng)急響應(yīng)

12、和災難恢41.復機制 ，形成業(yè)務(wù)連續(xù)性計劃。實施初始服務(wù)：完成資產(chǎn)識別 ，定期配42.置項的更新和維護 ， 實施相關(guān)運維流程。實施安全設(shè)備運維服務(wù) ：完成日常維護，狀態(tài)檢查 ，定期查殺 ，故障處理 、發(fā)布且通過審批的業(yè)務(wù)連續(xù)性計劃。資產(chǎn)識別表， 對配置項的更新和維護記錄，實施相關(guān)運維流程的記錄。日常維護，巡檢、狀態(tài)檢查，定期查43.保養(yǎng) 、更新 、升級 、故障檢測及排除 ，殺，故障處理 、保養(yǎng)、更新、升級、故并對安全設(shè)備出現(xiàn)的硬件故障進行統(tǒng)計記錄 。服務(wù)實施階段實施日常巡檢服務(wù)： 完成安全設(shè)備監(jiān)44.控 ；病毒監(jiān)測 、查殺及網(wǎng)絡(luò)防病毒維護，并有相關(guān)記錄 。實施健康檢查服務(wù)：完成安全設(shè)備、業(yè)45

13、.務(wù)系統(tǒng)的健康檢查服務(wù)。障檢測及排除的記錄；信息安全事件審計報告， 如網(wǎng)絡(luò)及安全設(shè)備日志、服務(wù)器 、操作系統(tǒng) 、網(wǎng)絡(luò)應(yīng)用的日志 ；安全設(shè)備、業(yè)務(wù)系統(tǒng)的健康檢查服務(wù)，主要工作針對于設(shè)備的可用性、持續(xù). 專業(yè)資料 .實施安全事件審計服務(wù)：完成網(wǎng)絡(luò)及安46.全設(shè)備日志 、服務(wù)器 、操作系統(tǒng) 、網(wǎng)絡(luò)應(yīng)用的日志 、并且進行記錄 。性，并提供相應(yīng)服務(wù)記錄。實施安全事件審計服務(wù)， 內(nèi)容包含條款中的要求 。建立服務(wù)臺 ；組建運維服務(wù)臺職能，培養(yǎng)服務(wù)臺人員47.提供服務(wù)臺人員的培訓記錄。的專業(yè)能力 。建立事件管理程序和信息安全服務(wù)請求48.管理程序 。事件管理程序，已審批并發(fā)布 ；服務(wù)請求管理程序，已審批并發(fā)布

14、。運維監(jiān)控分析報告，內(nèi)容以數(shù)據(jù)來分析僅二級要求：實施運維監(jiān)控與分析并49.各個指標的趨勢。形成記錄 。僅二級要求：進行等級保護合規(guī)性運針對信息系統(tǒng)安全建立保護等級；50.維。. 專業(yè)資料 .僅二級要求：實施安全通告及漏洞分析服務(wù) ：完成業(yè)界動態(tài)的通告、收集國51.家安全政策及法律法規(guī) 、漏洞通告 、病毒通告 、廠商安全通告及其他安全通告。對信息系統(tǒng)分級的標準；通告與漏洞分析記錄，內(nèi)容為業(yè)界動態(tài)的通告、收集國家安全政策及法律法規(guī) 、漏洞通告 、病毒通告 、廠商安全通告及其他安全通告，并生成分析報告。通告與漏洞分析記錄；僅二級要求：實施應(yīng)急響應(yīng)服務(wù)：完成應(yīng)急響應(yīng)預案制定，對應(yīng)急事件及時52.響應(yīng)

15、，并對應(yīng)急進行演練，形成相關(guān)記錄應(yīng)急響應(yīng)服預案，應(yīng)急演練的記錄；變更管理程序，已審批并發(fā)布 ；運維過程中的變更記錄單。僅一級要求：建立運維變更管理程針 對運 維有 審批并 發(fā)布的 變更 管理 程53.序，對運維實施過程中方案 、資源變更進行有效控制 ，完整記錄變更過程 。序 ；運維過程中的變更應(yīng)有響應(yīng)的變更. 專業(yè)資料 .戶滿意度 、投訴建議 、 KPI等；安全運維實現(xiàn)情況監(jiān)視測量清單的要求 。.僅一級要求 ：制定運維應(yīng)急處置方案和恢復策略 ，對運維過程中的應(yīng)急事件及時進行響應(yīng) 。記錄 。有已審批并發(fā)布的應(yīng)急處置方案和恢復策略 ；運維過程中的響應(yīng)時間是否達到方案要求。應(yīng)定期收集與分析安全運維報

16、告的數(shù)運維數(shù)據(jù)收集記錄，內(nèi)容應(yīng)包含條款中據(jù)，包括但不限于 ：異常報告及時率 、異常漏報率 、維護作業(yè)計劃的及時完成54.率 、故障隱患發(fā)現(xiàn)率、異常主動發(fā)現(xiàn)率、問題解決率 、漏洞掃描覆蓋率、加固設(shè)備覆蓋率、安全補丁安裝及時率、監(jiān)視評審階安全事件次數(shù)。段，如客對運維實現(xiàn)情況進行監(jiān)視測量，未能實55.現(xiàn)的目標應(yīng)采取糾正預防措施。糾正預防措施記錄單。56.建立與分析客戶滿意度調(diào)查?？蛻魸M意度調(diào)查報告，內(nèi)容應(yīng)包括對滿. 專業(yè)資料 .僅二級要求：按照計劃的時間間隔執(zhí)行內(nèi)部審核， 應(yīng)至少滿足： 既定標準57.的要求 、滿足安全運維服務(wù)需求和客戶所提出的 SMS 要求 、 有效被實施和維護。意度分析 。內(nèi)部審

17、核的響應(yīng)文件與記錄；管理評審的響應(yīng)文件與記錄，內(nèi)容應(yīng)包含服務(wù)和流程的執(zhí)行情況和符合性；僅二級要求：定期回顧安全運維服當前和預測資源水平；務(wù)，確保其持續(xù)適用和有效 。 管理評審糾正措施的進展情況；的輸入至少包括 ：客戶反饋 、服務(wù)和流可能影響安全運維服務(wù)的變更；58.程的執(zhí)行情況和符合性、當前和預測資改進的機會 ， 如指標為滿足、運維中存源水平 、糾正措施的進展情況 、可能影響安全運維服務(wù)的變更、改進的機會 。在的問題 、服務(wù)提升點等 。僅一級要求 ：形成體系化的審核機制內(nèi)部審核機制形成體系， 表現(xiàn)形式如 ：59.及企業(yè)文化 。僅一級要求：體系化的服務(wù)監(jiān)視管體系文件 、 PDCA 流程、第三方認

18、證等 ；60.理，形成審核機制 。建立服務(wù)監(jiān)視管理流程僅一級要求 ：定期評審客戶對安全運客戶滿意度調(diào)查表，包括：定期評審 、61.維服務(wù)的滿意度。主動回訪等 。. 專業(yè)資料 .應(yīng)在運維過程和監(jiān)視過程中識別改進項安全運維持續(xù)改進計劃；62.目，制定持續(xù)改進計劃 ，計劃應(yīng)包括對改進機會的評估標準 。查看改進計劃的評估標準。包括 ：識別過程 、記錄過程 、是否有批63.應(yīng)有文件化的程序用以識別、記錄、批準過程、評估、測量和適 合的報告機準、評估、測量和報告改進措施 。制。安全運維運 維持續(xù)改應(yīng)采取預防措施 ，以消除潛在的不符合安全運維預防措施文件， 及其有效性驗64.項的原因 ，以防止其發(fā)生 。證的記錄 。進改進機會分析報告 ，及