信息系统安全运维服务资质认证自评估表-中国信息安全认证中心.doc

信息系统安全运维 组织名称 申报级别 评估时间 评估部门/人员 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 准备阶段—需求调研与分析 采集客户对信息系统运维服务时间的需求。 运维前的客户需求调查报告，可结合内容必须有服务时间要求 进行信息系统运维预算，定义运维服务。 运维前的工作量项目经费、项目等。 运维前与客户沟通记录，双方达成共识体现。 信息系统运维过程中的历史数据清单； 历史数据清单的分析报告，内容包含完成情况操作、事件、）。 报告的的运维策略及实施方案 仅二级要求：分析客户对信息系统安全服务的需求和类型。 客户需求调查报告，包含信息系统安全服务的需求和类型； 仅二级要求：收集与分析信息系统的可用性指标，明确可用性指标的类型。 信息系统的可用性指标，如 仅二级要求：分析以往服务的数据，提取出来未来可自动化的服务。 以往提供服务的解决方案，对生产的影响的分析报告； 根据分析 仅一级要求：内部团队之间的安全运营级别协议应和与安全运维第三方之间的的服务级别设计保持一致。 服务级别设计、安全运营级别协议，两者应保持一致。 安全组织架构图及相关运维人员清单安全领导小组 外包模式的执行组中应有参与运维的人员。 PDCA的管理模型，从策划，实施，监视与评审和持续改进进行体系化的信息系统安全运维服务。 信息系统安全运维服务有策划，实施，监视与评审和持续改进流程。 仅一级要求：建立安全运维可视化视图。基于信息系统安全的生命周期，建立信息系统安全运维的整体策略。基于客户、业务的价值体现，形成安全运维的整体视图。 安全运维项目施工手册和作业指导书； 新建系统，建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求，应保留与客户的需求分析记录； 测试验证中对旧系统的兼容问题，包括网络兼容、系统兼容、应用兼容等，有验证报告。 制定安全运维服务目录，目录内容包括但不限于：初始服务、安全设备运维、日常巡检服务、健康检查、安全事件审计。 安全运维服务目录，内容包含条款要求 信息系统相关的IT资产进行识别。 IT资产识别清单，内容有的识、； 有 对安全设备进行日常维护及监控，并记录硬件故障。 安全设备的日常维护，状态检查，定期查杀，故障处理、保养、更新、升级、故障检测及排除，并对安全设备出现的硬件故障进行统计的记录。 有安全运维服务使用者约定的服务方式（现场检查，远程检查）、检查频次和检查的文件记录 采集系统配置、流量信息、系统状态等安全信息。 安全设备、业务系统的健康检查服务，应与安全运维服务使用者约定的服务方式（现场检查，远程检查）、检查频次和检查的文件的记录 收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。 有对网络及安全设备日志，服务器、操作系统等日志，网络应用日志的记录与分析报告 仅二级要求：对信息安全事件进行统计与分析。 信息安全事件的统计，分析 信息系统的可用性计划 安全运维角色清单 仅二级要求：编写安全运维服务目录，目录内容包括但不限于：运维监控与分析、终端安全监控、等级保护合规性运维。 安全运维服务目录，内容应包含条款要求 仅二级要求：建立信息系统安全运维的问题管理程序。 信息系统问题管理程序，已并发布 仅二级要求：建立知识管理程序及初步形成知识库。 知识管理程序，已并发布 仅二级要求：编制信息系统的可用性计划，监控可用性事件，报告可用性执行，指导可用性的改进。 信息系统的可用性计划 仅二级要求：形成信息安全管理的组织架构，组织结构的构成要素与安全运维活动角色相对应。 信息安全管理的组织架构表，安全运维角色清单与组织的构成要素对应。 安全运维项目中各 仅一级要求：建设实施过程中应关注信息系统的功能、性能和安全性方面要求。改造过程中应制定测试计划及回退措施。 有改造过程中的信息系统的测试计划； 有信息系统的基线、回退的措施文件。 仅一级要求：编写安全运维服务目录，目录内容包括但不限于：安全通告及漏洞分析、应急响应服务。 安全运维服务目录，内容有条款要求的服务 准备阶段—运维服务导入 收集与建立配置管理数据库，确保配置项目的机密性、完整性、可用性。 完整的配置数据库，能初步收集资产与配置项，并确保配置项目的机密性、完整性、可用性。 专业人员负责安全管理的接口。 完整的配置数据库，能初步收集资产与配置项，并确保配置项目的机密