信息安全服務(wù)資質(zhì)認(rèn)證自表公共管理

1、信息安全服務(wù)資質(zhì)認(rèn)證自評(píng)估表-公共管理填表說明：1、申請(qǐng)三級(jí)信息安全服務(wù)資質(zhì)認(rèn)證時(shí)，僅需填寫該自評(píng)估表，及表中第24、25項(xiàng)對(duì)應(yīng)服務(wù)類別的內(nèi)容。2、申請(qǐng)一二級(jí)服務(wù)資質(zhì)認(rèn)證時(shí)，該自評(píng)估表與申報(bào)具體的服務(wù)類別自評(píng)估一并使用，單個(gè)文檔不作為自評(píng)估支撐材料。申報(bào)多個(gè)服務(wù)類別且級(jí)別不同時(shí)，按照申請(qǐng)的最高級(jí)別服務(wù)資質(zhì)認(rèn)證的管理要求填寫。組織名稱服務(wù)類別/級(jí)別評(píng)估時(shí)間評(píng)估部門/人員序號(hào)要點(diǎn)條款需提供證明材料自評(píng)估結(jié)論證明材料清單符合不符合1.法律地位要求僅適用于初次認(rèn)證：在中華人民共和國(guó)境內(nèi)注冊(cè)的獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。監(jiān)督審核：如有變化則重新提供。營(yíng)業(yè)執(zhí)照/事業(yè)單位登記證，核對(duì)注冊(cè)號(hào)、法

2、定代表人、注冊(cè)資本、公司類型、經(jīng)營(yíng)范圍、成立日期、營(yíng)業(yè)期限等。（提供企業(yè)在國(guó)家企業(yè)信用信息公示系統(tǒng)）2.法律地位要求遵循國(guó)家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求，無違法違規(guī)記錄，資信狀況良好。提供企業(yè)在國(guó)家企業(yè)信用信息公示系統(tǒng)（）上的企業(yè)信用信息。需要截圖3.財(cái)務(wù)資信要求僅適用于初次認(rèn)證：近3年經(jīng)營(yíng)狀況良好，財(cái)務(wù)數(shù)據(jù)真實(shí)可信，應(yīng)提供在中華人民共和國(guó)境內(nèi)登記注冊(cè)的會(huì)計(jì)師事務(wù)所出具的近3年財(cái)務(wù)審計(jì)報(bào)告。監(jiān)督審核：應(yīng)提供在中華人民共和國(guó)境內(nèi)登記注冊(cè)的會(huì)計(jì)師事務(wù)所出具的近1年財(cái)務(wù)審計(jì)報(bào)告。財(cái)務(wù)審計(jì)報(bào)告或（僅限于三級(jí)）加蓋本單位財(cái)務(wù)章的財(cái)務(wù)報(bào)表（近3年）。4.辦公場(chǎng)所要求擁有長(zhǎng)期固定辦公場(chǎng)所和相適應(yīng)的辦公條件，能夠滿

3、足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。監(jiān)督審核：有變化則提供，無變化則不提供。房屋產(chǎn)權(quán)證或租房屋賃合同；產(chǎn)權(quán)人/出租人、地址、面積、租期。5.人員能力要求三級(jí)/二級(jí)/一級(jí)分別要求：組織負(fù)責(zé)人擁有2/3/4年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。組織負(fù)責(zé)人簡(jiǎn)歷及資質(zhì)證書，包括姓名、年齡、職務(wù)、職稱、學(xué)歷、工作經(jīng)歷、資質(zhì)證書。XX市社保部門出具的公司員工社保繳費(fèi)證明，單據(jù)號(hào)：XXXX，出具時(shí)間XX年XX月XX日。三級(jí)/二級(jí)/一級(jí)的負(fù)責(zé)人社保證明至少（3個(gè)月）。需提供人社部門網(wǎng)站查詢信息的相關(guān)截圖。6.三級(jí)/二級(jí)/一級(jí)分別要求：技術(shù)負(fù)責(zé)人具備信息安全服務(wù)（與申報(bào)類別一致）管理能力，經(jīng)考核合格（與申報(bào)類別一致）或通過專業(yè)認(rèn)證，

4、考核要求見附錄G。提供技術(shù)負(fù)責(zé)人的信息安全服務(wù)管理能力證明，包括能力考核結(jié)果（與申報(bào)類別一致）或?qū)I(yè)認(rèn)證證書。三級(jí)/二級(jí)/一級(jí)的技術(shù)負(fù)責(zé)人社保證明至少（3個(gè)月）。需提供人社部門網(wǎng)站查詢信息的相關(guān)截圖。7.三級(jí)/二級(jí)/一級(jí)分別要求：項(xiàng)目負(fù)責(zé)人、項(xiàng)目工程師具備信息安全服務(wù)（與申報(bào)類別一致）技術(shù)能力，經(jīng)考核合格或通過專業(yè)認(rèn)證，考核要求見附錄G。三級(jí)/二級(jí)/一級(jí)分別不少于（2/6/10人）提供項(xiàng)目負(fù)責(zé)人、項(xiàng)目工程師的技術(shù)能力證明，包括能力考核結(jié)果或?qū)I(yè)認(rèn)證證書。三級(jí)/二級(jí)/一級(jí)的服務(wù)人社保證明至少（3個(gè)月）。需提供人社部門網(wǎng)站查詢信息的相關(guān)截圖。8.業(yè)績(jī)要求僅適用初次審核:三級(jí)/二級(jí)/一級(jí)分別要求：從

5、事信息安全服務(wù)（與申報(bào)類別一致）至少4個(gè)月/3年或取得三級(jí)資質(zhì)1年以上/ 5年或取得二級(jí)資質(zhì)1年以上。提供首個(gè)信息安全服務(wù)（與申報(bào)類別一致）項(xiàng)目合同原件，核對(duì)項(xiàng)目名稱、合同簽訂時(shí)間、項(xiàng)目驗(yàn)收時(shí)間等。（可在相應(yīng)招投標(biāo)網(wǎng)站上查詢）。監(jiān)督審核不適用。9.僅適用初次審核:二級(jí)/一級(jí)分別要求：近3年內(nèi)簽訂并完成至少6/10個(gè)信息安全服務(wù)（與申報(bào)類別一致）項(xiàng)目，一二級(jí)現(xiàn)場(chǎng)隨機(jī)抽查1個(gè)項(xiàng)目。監(jiān)督審核：三級(jí)/二級(jí)/一級(jí)監(jiān)督非現(xiàn)場(chǎng)審核：近1年內(nèi)簽訂并完成至少1個(gè)信息安全服務(wù)（與申報(bào)類別一致）項(xiàng)目。三級(jí)/二級(jí)/一級(jí)監(jiān)督現(xiàn)場(chǎng)審核：近1年內(nèi)簽訂并完成至少1個(gè)/3個(gè)/5個(gè)信息安全服務(wù)（與申報(bào)類別一致）項(xiàng)目。提供信息安全

6、服務(wù)項(xiàng)目（與申報(bào)類別一致）合同及驗(yàn)收?qǐng)?bào)告原件，核對(duì)項(xiàng)目清單，確認(rèn)項(xiàng)目名稱、合同金額、簽訂時(shí)間、驗(yàn)收時(shí)間、項(xiàng)目數(shù)量、服務(wù)內(nèi)容與申報(bào)一致。（可在相應(yīng)招投標(biāo)網(wǎng)站上查詢）。10.服務(wù)管理要求建立并運(yùn)行人員管理程序，明確能力考核指標(biāo)并制定業(yè)務(wù)和技能培訓(xùn)計(jì)劃，定期對(duì)相關(guān)人員開展培訓(xùn)和考核。人員管理與培訓(xùn)制度、培訓(xùn)與考核記錄，驗(yàn)證公司人員管理情況（服務(wù)人員管理、評(píng)價(jià)制度及落實(shí)，包括崗位職責(zé)、人員技術(shù)能力、專業(yè)方向、定期考核情況等）。近三年員工培訓(xùn)計(jì)劃、培訓(xùn)與考核記錄，包括信息安全意識(shí)培訓(xùn)、技術(shù)與管理培訓(xùn)等。11.建立文檔控制程序，明確文檔管理職責(zé)，任命管理人員，并按照制度執(zhí)行。文檔控制程序（文檔管理程序）建

7、立及實(shí)施情況，提供與申報(bào)類型一致的安全服務(wù)項(xiàng)目過程文檔，核實(shí)是否存在遺失或信息泄露等問題。12.建立項(xiàng)目管理制度，明確項(xiàng)目管理職責(zé)，任命管理人員，并按照制度執(zhí)行風(fēng)險(xiǎn)管理。項(xiàng)目管理制度建立及實(shí)施情況，制度中包括項(xiàng)目管理貫穿項(xiàng)目從立項(xiàng)到結(jié)項(xiàng)的整個(gè)過程，包括項(xiàng)目風(fēng)險(xiǎn)管理等。提供項(xiàng)目風(fēng)險(xiǎn)管理記錄。13.建立并運(yùn)行保密管理制度，明確崗位保密責(zé)任。能夠定期對(duì)相關(guān)人員進(jìn)行保密教育，并簽訂保密協(xié)議。保密管理制度建立及落實(shí)情況，包括保密范圍、保密方式、保密時(shí)效、保密責(zé)任主體、罰則。提供保密教育培訓(xùn)記錄，提供組織與管理層、技術(shù)負(fù)責(zé)人及項(xiàng)目實(shí)施人員簽訂的保密協(xié)議。14.建立供應(yīng)商管理制度，確保其供應(yīng)商滿足服務(wù)安全要

8、求（僅適用于安全集成、安全運(yùn)維、災(zāi)難備份與恢復(fù)方向，如存在服務(wù)外包時(shí)，需要重點(diǎn)對(duì)服務(wù)外包項(xiàng)目過程及質(zhì)量的管理情況進(jìn)行描述）。提供供應(yīng)商名錄、供應(yīng)商管理制度的實(shí)施情況，包括供應(yīng)商選擇、考核與管理等（僅適用于安全集成、安全運(yùn)維、災(zāi)難備份與恢復(fù)方向，如存在服務(wù)外包時(shí)，需要重點(diǎn)對(duì)服務(wù)外包項(xiàng)目過程及質(zhì)量的管理情況進(jìn)行描述）。15.建立合同管理制度，制定統(tǒng)一合同模板，按照合同約定實(shí)施信息安全服務(wù)項(xiàng)目。按照客戶要求，對(duì)于接觸到的客戶敏感信息和知識(shí)產(chǎn)權(quán)信息予以保護(hù)，并確保服務(wù)方人員了解客戶的相關(guān)要求。提供合同管理制度、合同統(tǒng)一模板。提供服務(wù)項(xiàng)目（與申報(bào)類別一致）合同/協(xié)議中對(duì)敏感信息和知識(shí)產(chǎn)權(quán)信息保護(hù)要求的相

9、關(guān)條款。16.二級(jí)/一級(jí)要求：了解客戶及所處的行業(yè)對(duì)信息安全服務(wù)的特定要求，確定信息安全服務(wù)范圍。提供針對(duì)具體項(xiàng)目的調(diào)研內(nèi)容，包括對(duì)客戶所處行業(yè)情況和相關(guān)要求的描述。17.二級(jí)要求：參照國(guó)際或國(guó)內(nèi)標(biāo)準(zhǔn)，建立業(yè)務(wù)范圍覆蓋信息安全服務(wù)的質(zhì)量管理體系，并有效運(yùn)行半年以上。結(jié)合質(zhì)量管理體系文件，查閱體系運(yùn)行記錄，驗(yàn)證體系運(yùn)行情況，至少包括質(zhì)量管理體系手冊(cè)、文件控制程序、記錄控制程序、糾正與預(yù)防控制程序、內(nèi)審與管評(píng)控制程序、安全服務(wù)工作控制程序；內(nèi)審、管評(píng)、外審報(bào)告（有則提供）；驗(yàn)證質(zhì)量管理體系范圍覆蓋與申報(bào)類別一致的信息安全服務(wù)。18.一級(jí)要求：參照國(guó)際或國(guó)內(nèi)標(biāo)準(zhǔn)，建立業(yè)務(wù)范圍覆蓋信息安全服務(wù)的質(zhì)量管

10、理體系，并有效運(yùn)行一年以上。結(jié)合質(zhì)量管理體系文件，查閱體系運(yùn)行記錄，驗(yàn)證體系運(yùn)行情況，至少包括質(zhì)量管理體系手冊(cè)、文件控制程序、記錄控制程序、糾正與預(yù)防控制程序、內(nèi)審與管評(píng)控制程序、安全服務(wù)工作控制程序；內(nèi)審、管評(píng)、外審報(bào)告（有則提供）；驗(yàn)證質(zhì)量管理體系范圍覆蓋與申報(bào)類別一致的信息安全服務(wù)。19.二級(jí)要求：參照國(guó)際或國(guó)內(nèi)標(biāo)準(zhǔn)，建立業(yè)務(wù)范圍覆蓋信息安全服務(wù)的信息安全管理體系或信息技術(shù)服務(wù)管理體系，并有效運(yùn)行半年以上。結(jié)合信息安全管理體系文件，查閱體系運(yùn)行記錄，驗(yàn)證體系運(yùn)行情況，至少包括范圍方針文件、文件控制程序、記錄控制程序、糾正與預(yù)防控制程序、內(nèi)審與管評(píng)控制程序、內(nèi)審、管評(píng)、外審報(bào)告（有則提供）

11、 風(fēng)險(xiǎn)管理程序、適用性聲明及相應(yīng)的控制措施文件（適用于27001）或服務(wù)等級(jí)管理程序、事件管理程序、問題管理程序、變更和發(fā)布管理程序、配置管理程序（適用于20000）；業(yè)務(wù)范圍覆蓋與申報(bào)類別一致的信息安全服務(wù)。20.一級(jí)要求：參照國(guó)際或國(guó)內(nèi)標(biāo)準(zhǔn)，建立業(yè)務(wù)范圍覆蓋信息安全服務(wù)的信息安全管理體系或信息技術(shù)服務(wù)管理體系，并有效運(yùn)行一年以上。結(jié)合信息安全管理體系文件，查閱體系運(yùn)行記錄，驗(yàn)證體系運(yùn)行情況，至少包括范圍方針文件、文件控制程序、記錄控制程序、糾正與預(yù)防控制程序、內(nèi)審與管評(píng)控制程序、內(nèi)審、管評(píng)、外審報(bào)告、風(fēng)險(xiǎn)管理程序、適用性聲明及相應(yīng)的控制措施文件（適用于27001）或服務(wù)等級(jí)管理程序、事件管

12、理程序、問題管理程序、變更和發(fā)布管理程序、配置管理程序（適用于20000）；業(yè)務(wù)范圍覆蓋與申報(bào)類別一致的信息安全服務(wù)。21.一級(jí)要求：建立信息安全服務(wù)目錄（與類別相對(duì)應(yīng)），簽訂服務(wù)級(jí)別協(xié)議。信息安全服務(wù)目錄（與類別相對(duì)應(yīng)）、服務(wù)級(jí)別協(xié)議。22.技術(shù)工具要求二級(jí)/一級(jí)要求：具備獨(dú)立的測(cè)試環(huán)境及必要的軟、硬件設(shè)備，用于技術(shù)培訓(xùn)和模擬測(cè)試。信息安全服務(wù)的測(cè)試環(huán)境，提供設(shè)備清單、建設(shè)時(shí)間、規(guī)模、主要承擔(dān)工作等。23.二級(jí)/一級(jí)要求：具備承擔(dān)信息安全服務(wù)（與申報(bào)類別一致）項(xiàng)目所需的安全工具，并對(duì)工具進(jìn)行管理和版本控制。信息安全服務(wù)的軟、硬件工具清單，工具管理程序和要求；針對(duì)在安全服務(wù)項(xiàng)目中應(yīng)用自主開發(fā)工

13、具和產(chǎn)品進(jìn)行現(xiàn)場(chǎng)演示，提供產(chǎn)品銷售許可證或軟件著作權(quán)證書。24.服務(wù)技術(shù)僅適用于三級(jí)初次建立信息安全服務(wù)（與申報(bào)類別一致）流程。按照相關(guān)標(biāo)準(zhǔn)建立申報(bào)的服務(wù)類別流程（申報(bào)多類需要制定相對(duì)應(yīng)的服務(wù)流程）。流程圖中應(yīng)包括每個(gè)階段對(duì)應(yīng)的職責(zé)、輸入輸出等。僅適用于三級(jí)初次制定信息安全服務(wù)（與申報(bào)類別一致）規(guī)范并按照規(guī)范實(shí)施。制定與申報(bào)的信息安全服務(wù)類別規(guī)范并按照規(guī)范實(shí)施（申報(bào)多類需要制定相對(duì)應(yīng)的服務(wù)規(guī)范）。25.服務(wù)過程文檔模板僅適用于三級(jí)初次制定信息系統(tǒng)安全集成服務(wù)過程的文檔模板安全集成：（1） 集成準(zhǔn)備階段：至少包括需求調(diào)研報(bào)告、技術(shù)方案、實(shí)施方案(技術(shù)方案內(nèi)容應(yīng)至少包含項(xiàng)目背景、設(shè)計(jì)依據(jù)、總體設(shè)計(jì)

14、架構(gòu)、信息安全設(shè)計(jì)等方面內(nèi)容，實(shí)施方案應(yīng)至少包含項(xiàng)目組織架構(gòu)及人員安排、進(jìn)度安排、實(shí)施內(nèi)容、項(xiàng)目風(fēng)險(xiǎn)管理、項(xiàng)目溝通管理、項(xiàng)目質(zhì)量管理等方面內(nèi)容)；（2） 建設(shè)實(shí)施階段：至少包括日?qǐng)?bào)/周報(bào)；（3） 安全保障階段：至少包括測(cè)試方案、驗(yàn)收申請(qǐng)、驗(yàn)收?qǐng)?bào)告；僅適用于三級(jí)初次制定信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)過程的文檔模板風(fēng)險(xiǎn)評(píng)估：（1） 準(zhǔn)備階段：至少包括信息系統(tǒng)基本情況調(diào)研表、風(fēng)險(xiǎn)評(píng)估方案（方案中應(yīng)至少包含被評(píng)估對(duì)象描述、評(píng)估依據(jù)、評(píng)估范圍、評(píng)估內(nèi)容、項(xiàng)目組成員、評(píng)估計(jì)劃安排、評(píng)估工具、評(píng)估過程、評(píng)估方法、風(fēng)險(xiǎn)評(píng)價(jià)原則、風(fēng)險(xiǎn)評(píng)估模型、風(fēng)險(xiǎn)分析與計(jì)算方法等方面內(nèi)容）；（2） 風(fēng)險(xiǎn)識(shí)別階段：至少包括管理脆弱性檢查表

15、、技術(shù)脆弱性檢查表（包含主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、中間件、應(yīng)用系統(tǒng)等）、威脅調(diào)查表；（3） 風(fēng)險(xiǎn)分析階段：風(fēng)險(xiǎn)評(píng)估報(bào)告（至少包括評(píng)估過程、評(píng)估方法、評(píng)估結(jié)果、處置建議等內(nèi)容）；僅適用于三級(jí)初次制定信息安全應(yīng)急處理服務(wù)過程的文檔模板應(yīng)急處理：（1） 準(zhǔn)備階段：至少包含工具包、服務(wù)承諾書；（2） 檢測(cè)階段：至少包含授權(quán)書、應(yīng)急處理方案；（3） 抑制階段：至少包含抑制方案；（4） 根除階段：至少包含根除方案；（5） 恢復(fù)階段：至少包含恢復(fù)方案、重建系統(tǒng)規(guī)范、數(shù)據(jù)備份規(guī)范、安全配置核查表（可以包含windows類操作系統(tǒng)安全配置核查表、linux類操作系統(tǒng)安全配置核查表、數(shù)據(jù)庫(kù)安全配置核查表、

16、中間件安全配置核查表）；（6） 總結(jié)階段：至少包含總結(jié)報(bào)告；備注：應(yīng)急處理方案中可以總體涵蓋檢測(cè)、抑制、根除、恢復(fù)方面的內(nèi)容。僅適用于三級(jí)初次制定信息系統(tǒng)安全運(yùn)維服務(wù)過程的文檔模板安全運(yùn)維：（1） 準(zhǔn)備階段：至少包含需求調(diào)研報(bào)告；（2） 方案設(shè)計(jì)階段：至少包含安全運(yùn)維服務(wù)方案；（3） 運(yùn)維服務(wù)實(shí)施階段：至少包含安全信息（包含安全配置、流量信息、安全策略等）巡檢記錄表、狀態(tài)巡檢記錄表、健康性檢查記錄表、病毒查殺記錄表、安全加固規(guī)范等；（4） 運(yùn)維服務(wù)報(bào)告階段：至少包含運(yùn)維服務(wù)月報(bào)/季報(bào)、年度服務(wù)總結(jié)報(bào)告、驗(yàn)收?qǐng)?bào)告；僅適用于三級(jí)初次制定信息系統(tǒng)軟件安全開發(fā)服務(wù)過程的文檔模板軟件安全開發(fā)：（1） 準(zhǔn)

17、備階段：至少包含開發(fā)計(jì)劃、配置管理計(jì)劃、變更記錄單；（2） 需求階段：至少包含需求分析報(bào)告；（3） 設(shè)計(jì)階段：至少包含概要設(shè)計(jì)說明書、詳細(xì)設(shè)計(jì)說明書；（4） 編碼階段：至少包含編碼規(guī)范；（5） 測(cè)試階段：至少包含測(cè)試方案、測(cè)試用例、測(cè)試報(bào)告；（6） 驗(yàn)收階段：至少包含驗(yàn)收申請(qǐng)、驗(yàn)收?qǐng)?bào)告；（7） 維保階段：至少包含故障記錄、升級(jí)記錄；僅適用于三級(jí)初次制定信息系統(tǒng)災(zāi)難恢復(fù)與備份服務(wù)過程的文檔模板災(zāi)難恢復(fù)與備份（B類）：（1） 方案設(shè)計(jì)要求：至少包含需求分析報(bào)告、技術(shù)方案、實(shí)施方案；（2） 系統(tǒng)建設(shè)與管理要求：至少包含項(xiàng)目周/日?qǐng)?bào)；（3） 預(yù)案制定與演練要求：至少包含災(zāi)難恢復(fù)預(yù)案、桌面演練記錄、桌面

18、演練總結(jié)報(bào)告；26.申請(qǐng)二級(jí)資質(zhì)條件可根據(jù)條件直接申請(qǐng)，或獲得三級(jí)資質(zhì)（與申報(bào)類別一致）一年以上，且服務(wù)管理程序文件需建立并運(yùn)行半年以上。信息安全服務(wù)（與申報(bào)類別一致）三級(jí)資質(zhì)證書。服務(wù)管理程序文件及運(yùn)行時(shí)間。27.申請(qǐng)一級(jí)資質(zhì)條件需獲得信息安全服務(wù)（與申報(bào)類別一致）二級(jí)資質(zhì)1年以上，且服務(wù)管理程序文件需建立并運(yùn)行一年以上。信息安全服務(wù)（與申報(bào)類別一致）二級(jí)資質(zhì)證書。服務(wù)管理程序文件及運(yùn)行時(shí)間。28.以下內(nèi)容適用于年度監(jiān)督29.業(yè)績(jī)情況業(yè)績(jī)情況近一年業(yè)務(wù)發(fā)展情況，簽訂、完成的項(xiàng)目數(shù)量及情況，項(xiàng)目經(jīng)驗(yàn)及教訓(xùn)等30.組織變更情況組織變更情況組織變更情況，包括法人、資本注冊(cè)、股東變更、組織負(fù)責(zé)人、服務(wù)負(fù)責(zé)