信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證自表

1、信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證自評(píng)估表組織名稱申報(bào)級(jí)別評(píng)估時(shí)間評(píng)估部門/人員序號(hào)要點(diǎn)條款需提供證明材料自評(píng)估結(jié)論證明材料清單符合不符合服務(wù)技術(shù)要求建立信息安全應(yīng)急處理服務(wù)流程。按照相關(guān)標(biāo)準(zhǔn)建立的信息安全應(yīng)急處理服務(wù)流程，流程圖中應(yīng)包括每個(gè)階段對(duì)應(yīng)的職責(zé)、輸入輸出等。制定信息安全應(yīng)急處理服務(wù)規(guī)范并按照規(guī)范實(shí)施。已制定的信息安全應(yīng)急處理服務(wù)規(guī)范。準(zhǔn)備階段明確客戶的應(yīng)急需求。應(yīng)急服務(wù)內(nèi)容，已完成項(xiàng)目中對(duì)客戶應(yīng)急需求進(jìn)行調(diào)研分析的證明材料。了解客戶應(yīng)急預(yù)案的內(nèi)容。需對(duì)客戶自身已建立的應(yīng)急預(yù)案的內(nèi)容進(jìn)行了解與熟悉（客戶應(yīng)急預(yù)案的內(nèi)容）。配備有處理網(wǎng)絡(luò)或信息安全事件的工具包，包括常用的系統(tǒng)命令、工具軟件等。

2、工具包及工具列表僅二級(jí)/一級(jí)要求：網(wǎng)絡(luò)與信息安全事件工具包中應(yīng)配備專業(yè)技術(shù)檢測(cè)設(shè)備。工具包應(yīng)定期更新。工具包更新記錄。配備應(yīng)急處理服務(wù)人員。服務(wù)人員列表、專業(yè)資質(zhì)證書(shū)。對(duì)在應(yīng)急處理服務(wù)過(guò)程中可能會(huì)米取的操作、處理等行為，獲得用戶的書(shū)面授權(quán)。用戶出具的書(shū)面授權(quán)書(shū)。僅二級(jí)/一級(jí)要求：在客戶應(yīng)急需求基礎(chǔ)上制定應(yīng)急服務(wù)方案。應(yīng)急服務(wù)方案（模板和實(shí)際服務(wù)項(xiàng)目方案），應(yīng)急服務(wù)方案中應(yīng)涵蓋客戶自身建立的應(yīng)急預(yù)案內(nèi)容。協(xié)助客戶建立的應(yīng)急預(yù)案。僅二級(jí)/一級(jí)要求：應(yīng)急服務(wù)方案應(yīng)涉及客戶應(yīng)急預(yù)案的啟動(dòng)與執(zhí)行。僅二級(jí)/一級(jí)要求：若客戶未建立應(yīng)急預(yù)案，可協(xié)助客戶建立。僅二級(jí)/一級(jí)要求：對(duì)工具包實(shí)行制度化管理。工具包管理

3、制度及執(zhí)行記錄。二級(jí)/二級(jí)/一級(jí)分別要求：可提供本地2小時(shí)/本地1小時(shí)、外地8小時(shí)/本地7X24小時(shí)、外地4小時(shí)應(yīng)急響應(yīng)服務(wù)能力。查驗(yàn)服務(wù)承諾書(shū)、服務(wù)合同條款或服務(wù)級(jí)別協(xié)議（結(jié)合項(xiàng)目案例）。僅一級(jí)要求：與客戶之間建立安全保密的信息傳輸渠道。與客戶傳輸信息時(shí)米用可信及保密傳輸渠道的證明材料。僅一級(jí)要求：具有自主開(kāi)發(fā)專業(yè)檢測(cè)工具的能力。該級(jí)別服務(wù)提供商需具備自主開(kāi)發(fā)專業(yè)安全檢測(cè)工具的能力，如有自主知識(shí)產(chǎn)權(quán)的工具產(chǎn)品（自主知識(shí)產(chǎn)權(quán)書(shū)、商用產(chǎn)品檢測(cè)證書(shū)、安全產(chǎn)品認(rèn)證證書(shū)等）。檢測(cè)階段確定檢測(cè)對(duì)象及范圍。確定檢測(cè)對(duì)象及范圍的過(guò)程記錄。對(duì)發(fā)生異常的系統(tǒng)進(jìn)行信息的收集與分析，判斷是否真正發(fā)生了安全事件。收集

4、信息的過(guò)程及判斷依據(jù)（過(guò)程記錄）。與客戶共冋確定應(yīng)急處理方案。提供應(yīng)急處理方案（模板及實(shí)際項(xiàng)目的應(yīng)急處理方案）。應(yīng)急處理方案應(yīng)明確檢測(cè)范圍與檢測(cè)行為規(guī)范，其檢測(cè)范圍應(yīng)僅限于客戶已授權(quán)的與安全事件相關(guān)的數(shù)據(jù)，對(duì)客戶的機(jī)密性數(shù)據(jù)信息未經(jīng)授權(quán)不得訪冋。應(yīng)急處理方案的內(nèi)容中應(yīng)明確規(guī)定檢測(cè)范圍及檢測(cè)行為規(guī)范（模板及實(shí)際項(xiàng)目的應(yīng)急處理方案）。與客戶充分溝通，并預(yù)測(cè)應(yīng)急處理方案可能造成的影響。應(yīng)急處理方案涉及的風(fēng)險(xiǎn)闡述（風(fēng)險(xiǎn)識(shí)別與風(fēng)險(xiǎn)控制措施）。檢測(cè)工作應(yīng)在客戶的監(jiān)督與配合下完成。應(yīng)急處理工作流程或其他文檔中約定的工作配合/監(jiān)督機(jī)制，相關(guān)過(guò)程記錄。僅二級(jí)/一級(jí)要求：建立有針對(duì)常規(guī)應(yīng)用系統(tǒng)、安全設(shè)備、常見(jiàn)網(wǎng)絡(luò)

5、與信息安全事件的檢測(cè)技術(shù)規(guī)范。提供相應(yīng)的檢測(cè)技術(shù)規(guī)范列表及各規(guī)范內(nèi)容（范本或應(yīng)用本），如針對(duì)windows、Aix、Unix、Linux、oracle、Firewalls、Router等。僅二級(jí)/一級(jí)要求：協(xié)助客戶確定安全事件等級(jí)。信息收集的過(guò)程及確定安全事件等級(jí)的證明材料。僅二級(jí)/一級(jí)要求：應(yīng)急處理方案應(yīng)包含對(duì)安全事件的抑制、根除和恢復(fù)的詳細(xì)處理步驟。應(yīng)急方案應(yīng)涵蓋該內(nèi)容。僅二級(jí)/一級(jí)要求：應(yīng)急處理方案應(yīng)包含實(shí)施方案失敗的應(yīng)變和回退措施。應(yīng)急方案應(yīng)涵蓋該內(nèi)容。僅一級(jí)要求：建立有元善的檢測(cè)技術(shù)規(guī)范及具有對(duì)高技術(shù)入侵的檢測(cè)技術(shù)能力。相關(guān)技術(shù)檢測(cè)規(guī)范，技術(shù)人員檢測(cè)高技術(shù)入侵的能力展示。僅一級(jí)要求：

6、具有挖掘系統(tǒng)設(shè)備及業(yè)務(wù)系統(tǒng)安全漏洞的能力。提供相關(guān)漏洞的證明，包括漏洞平臺(tái)的發(fā)布、漏洞庫(kù)編號(hào)等。僅一級(jí)要求：對(duì)確認(rèn)的安全事件啟動(dòng)安全事件管理程序。提供安全事件管理程序及事件啟動(dòng)條件（安全事件管理程序文件）。僅一級(jí)要求：應(yīng)急處理方案中應(yīng)對(duì)可能造成的影響進(jìn)行分析，包括社會(huì)影響。應(yīng)急處理方案中對(duì)社會(huì)影響進(jìn)仃分析的證明材料。抑制階段與客戶充分溝通，使其了解所面臨的首要問(wèn)題及抑制處理的目的。溝通的內(nèi)容及結(jié)果。在米取抑制措施之前，應(yīng)告知客戶可能存在的風(fēng)險(xiǎn)。應(yīng)急處理抑制階段涉及的風(fēng)險(xiǎn)闡述及告知記錄。嚴(yán)格執(zhí)行抑制處理方案中規(guī)定的內(nèi)容，如有必要更改，須獲得客戶的授權(quán)。應(yīng)急抑制處理方案的變更管理（變更管理涉及的文

7、檔）。抑制措施應(yīng)能夠限制受攻擊的范圍，抑制潛在的或進(jìn)一步的攻擊和破壞行為。抑制措施的內(nèi)容。僅一級(jí)要求：應(yīng)使用可信的工具進(jìn)行安全事件的抑制處理，不得使用受害系統(tǒng)已有的不可信文件。抑制過(guò)程中用到的可信工具列表、工具簡(jiǎn)介。根除階段協(xié)助客戶檢查所有受影響的系統(tǒng)，提出根除的方案建議，并協(xié)助客戶進(jìn)行具體實(shí)施。根除建議（方案）的內(nèi)容。應(yīng)明確告知客戶所米取的根除措施可能帶來(lái)的風(fēng)險(xiǎn)。應(yīng)急處理根除階段涉及的風(fēng)險(xiǎn)闡述及告知記錄。找出導(dǎo)致網(wǎng)絡(luò)或信息安全事件發(fā)生的原因，并予以徹底消除。安全事件得到根除的證明材料。僅一級(jí)要求：應(yīng)使用可信的工具進(jìn)行安全事件的根除處理，不得使用受害系統(tǒng)已有的不可信文件。根除過(guò)程中用到的可信工

8、具列表、工具簡(jiǎn)介?；謴?fù)階段告知客戶網(wǎng)絡(luò)或信息安全事件的恢復(fù)方法及可能存在的風(fēng)險(xiǎn)。應(yīng)急處理恢復(fù)階段涉及的風(fēng)險(xiǎn)闡述及告知記錄。（如需重建系統(tǒng)時(shí)適用該條款）對(duì)于不能徹底恢復(fù)配置和徹底清除系統(tǒng)上的惡意文件，或不能肯定系統(tǒng)經(jīng)過(guò)根除處理后是否可恢復(fù)正常時(shí)，應(yīng)選擇重建系統(tǒng)。重建系統(tǒng)的相關(guān)過(guò)程記錄。（如需重建系統(tǒng)時(shí)適用該條款）應(yīng)協(xié)助客戶按照系統(tǒng)的初始化安全策略恢復(fù)系統(tǒng)。重建系統(tǒng)過(guò)程中按照初始化安全策略恢復(fù)系統(tǒng)的相關(guān)過(guò)程記錄。（如需重建系統(tǒng)時(shí)適用該條款）應(yīng)協(xié)助客戶驗(yàn)證恢復(fù)后的系統(tǒng)是否運(yùn)行正常，并確認(rèn)與原有系統(tǒng)配置保持一致。重建系統(tǒng)過(guò)程中關(guān)于確認(rèn)系統(tǒng)配置與原有系統(tǒng)配置是否一致的相關(guān)過(guò)程記錄。（如需重建系統(tǒng)時(shí)適用該

9、條款）在幫助用戶重建系統(tǒng)前需進(jìn)行全面的數(shù)據(jù)備份，備份的數(shù)據(jù)要確保是沒(méi)有被攻擊者改變過(guò)的數(shù)據(jù)。重建系統(tǒng)過(guò)程中關(guān)于數(shù)據(jù)備份的相關(guān)過(guò)程記錄。（不需重建系統(tǒng)時(shí)適用該條款）應(yīng)建立重建系統(tǒng)的應(yīng)急工作流程及規(guī)范，并開(kāi)展重建系統(tǒng)的應(yīng)急演練工作。重建系統(tǒng)的應(yīng)急工作流程及規(guī)范，重建系統(tǒng)的應(yīng)急演練記錄。僅二級(jí)/一級(jí)要求：與客戶共冋制定系統(tǒng)恢復(fù)方案，根據(jù)頭際情況協(xié)助客戶選擇合理的恢復(fù)方法。形成的系統(tǒng)恢復(fù)方案及內(nèi)容。僅二級(jí)/一級(jí)要求：（如需重建系統(tǒng)時(shí)適用該條款）幫助客戶為重建后的系統(tǒng)建立系統(tǒng)快照。重建系統(tǒng)過(guò)程中關(guān)于建立系統(tǒng)快照的相關(guān)過(guò)程記錄。僅一級(jí)要求：（如需重建系統(tǒng)時(shí)適用該條款）幫助客戶對(duì)重建后的系統(tǒng)進(jìn)行全面的安全加

10、固。重建系統(tǒng)過(guò)程中對(duì)系統(tǒng)進(jìn)行安全加固的相關(guān)過(guò)程記錄?？偨Y(jié)階段應(yīng)保存完整的網(wǎng)絡(luò)或信息安全事件處理已完成項(xiàng)目的網(wǎng)絡(luò)安全事件處理過(guò)記錄，并對(duì)事件處理過(guò)程進(jìn)行總結(jié)和分析。程記錄、總結(jié)與分析文檔。僅二級(jí)/一級(jí)要求：網(wǎng)絡(luò)與信息安全事件處理記錄應(yīng)具備可追溯性。提供網(wǎng)絡(luò)或信息安全事件處理報(bào)告。已完成項(xiàng)目的網(wǎng)絡(luò)安全事件處理報(bào)告（報(bào)告模板及實(shí)際報(bào)告）。僅二級(jí)/一級(jí)要求：提供詳實(shí)的網(wǎng)絡(luò)與信息安全事件處理報(bào)告，完整展現(xiàn)應(yīng)急處理服務(wù)的整個(gè)過(guò)程。提供網(wǎng)絡(luò)或信息安全方面的建議和意見(jiàn)，必要時(shí)指導(dǎo)和協(xié)助客戶實(shí)施。已完成項(xiàng)目中向客戶提供的網(wǎng)絡(luò)安全建議。僅一級(jí)要求：對(duì)網(wǎng)絡(luò)與信息安全事件進(jìn)行總結(jié)和分析后，針對(duì)典型案例存入事件知識(shí)庫(kù)。知識(shí)庫(kù)的案例表。僅一級(jí)要求：提供關(guān)閉安全事件的管理程序。安全事件的關(guān)閉程序（安全事件關(guān)閉涉及的文檔）。僅一級(jí)要求：告知客戶所發(fā)生事件可能涉及到的法律訴訟方面的法律要求或影響。應(yīng)