ISCCC 信息系统安全集成服务资质认证现场审核表.doc

ISCCC-QOT-0462-B/1 信息系统安全集成服务资质认证现场审核表 PAGE  审查员签名： 日期： 中国信息安全认证中心 第  PAGE 7 页 共  NUMPAGES 8 页 信息系统安全集成服务资质认证现场审核表 组织名称深圳市脉山龙信息技术股份有限公司申请类别/级别安全集成/一级审核时间2015.9.8-9.9受审核部门/人员集成服务部/李青、丁杰，综合管理中心/李婷 序号要点条款需提供证明材料审核结果审核记录符合不符合需观察集成准备-需求调研与分析B1.1.1 a) 调研客户背景信息，采集系统建设需求和建设目标，明确功能、性能及安全性要求。抽查项目案例，验证准备阶段控制程序文件的落实情况，包括明确工作内容、流程、方法、文档模板，内容至少包括需求调研、分析、审核，产品选型，财务预算。提供投标文件、项目文档等证明。√查阅了《深圳文化产权交易所有公司数据中心硬件设备采购项目》的设计方案里，调研了用户背景信息、总体设计目标、明确了功能、性能及安全性的要求。B1.1.1 b) 基于系统建设需求，提出产品选型方案和建设预算。√查阅了《深圳文化产权交易所有公司数据中心硬件设备采购项目》的设计方案及投标书里，基于系统建设需求，提出了入侵防御系统、邮件安全网关和服务器选型等内容，并有项目投标报价。B1.1.1 c) 结合系统建设和安全需求，与客户、设计、开发等充分沟通，达成共识并形成记录。√查阅了《深圳文化产权交易所有公司数据中心硬件设备采购项目》,公司通过邮件形式与客户进行方案设计等方面的沟通。B2.1.1 a) 仅二级/一级要求：准确识别和综合分析系统在必威体育官网网址性、完整性、可用性、可靠性等方面的安全需求，提出系统安全保障策略和建议。查验项目案例中系统安全需求分析报告，验证内容是否覆盖审核条款要求。√查阅了《深圳文化产权交易所有公司数据中心硬件设备采购项目》的设计方案里，提出项目的可扩充性、可管理性、高安全性、高性能等方面的要求。B2.1.1 b) 仅二级/一级要求：基于客户需求和投入能力，开展需求分析，编制需求分析报告。√查阅了《深圳文化产权交易所有公司数据中心硬件设备采购项目》的设计方案中包括了需求分析的内容。B3.1.1 仅一级要求：协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。结合项目案例，查验安全集成项目风险控制要求。√查阅了《深圳文化产权交易所有公司数据中心硬件设备采购项目》设计方案，方案中通过培训协助客户认识系统建设过程中的信息安全方面的相关知识培训，但对有效规避商业风险和泄密事件的内容不完善。集成准备-签订服务协议B1.1.2 a) 与客户、供应商签订服务协议，明确范围、目标、时间、内容、金额、质量和输出等。验证项目合同管理办法，抽查项目合同及必威体育官网网址协议。√查阅了《深圳文化产权交易所有公司数据中心硬件设备采购项目》的合同，明确了项目范围、时间、内容、金额、质量和输出。B3.1.2 仅一级要求：建立安全集成服务级别管理程序，签订服务级别协议。结合案例抽查，验证服务级别管理程序、服务级别协议。√查阅了《长城基金IT运维及远程监视服务项目》，签订了服务级别协议。方案设计B1.2 a/b) 根据系统建设安全需求，编制安全集成技术方案。依据技术方案，编制安全集成实施方案，明确人员、进度、质量、沟通、风险等方面要求。抽查实际案例，验证项目方案设计阶段控制程序文件的落实情况，包括明确工作内容、流程、文档模板，内容应覆盖审核条款的要求。项目技术方案、实施方案。√查阅了《深圳文化产权交易所有公司数据中心硬件设备采购项目》的设计方案和实施方案，明确了人员、进度、质量、沟通、风险方面的要求。B2.2 a) 仅二级/一级要求：结合需求分析和客户在保障系统安全方面的投入能力，提出系统建设安全设计说明书，明确系统架构、产品选型、产品功能、性能及配