现场审核表信安服务平台信安在线.docVIP

信安在线安全服务入驻审核评估表 组织名称 申报服务类型 评估时间 评估部门/人员 通用审核要求 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 法律地位要求 在中华人民共和国境内注册的独立法人组织，发展历程清晰，产权关系明确。 营业执照复印件或事业单位法人证、组织机构代码证复印件 财务资信要求 近期经营状况良好，财务数据真实可信，应提供在中华人民共和国境内登记注册的会计师事务所出具的最近一次财务审计报告。 审计报告关键页复印件 办公场所要求 拥有长期固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要。 租赁或购买合同关键页复印件 人员素质要求 参与审核企业的人员应满足要求 1.从事信息安全服务人员10名以上。 公司从事相关服务的服务人员列表、无犯罪证明原件、人员流动情况盖章件、资信证明文档 2.所有安全服务人员均需提供无犯罪证明。 3.出具近两年的人员流动情况，服务团队相对稳定。 4.遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好。 服务安全要求 确保其供应商满足服务安全要求 1.满足法律法规对服务安全的要求。 企业未发生安全服务纠纷的申明、保密制度文档、关键人员保密协议关键页复印件 2.制定保密管理制度，明确岗位保密责任。 3.与相关人员签订保密协议，并进行保密教育。 服务规范要求 服务技术要求同时满足要求 1.建立信息安全服务（与申报类别一致）流程。 2.制定信息安全服务（与申报类别一致）规范并按照规范实施。 注：审核时更具被审核厂商所申请的服务类型予以相应的保留。 专业审核要求 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 基础漏洞扫描 受审核服务厂商应具备应能覆盖Web扫描和主机扫描的扫描工具，且根据信安在线指定的格式导出扫描报告,并具备对报告中发现的问题进行验证能力——Web扫描应至少包括OWSP-TOP10 1.注入 工具名称，测试覆盖申明盖章件 2.失效的身份认证和会话 3.跨站脚本XSS 4.不安全的直接对象引用 5.安全配置错误 6.敏感信息泄露 7.功能级访问控制缺失 8.跨站请求伪造CSRF 9.使用含有已知漏洞的组件 10.未验证的重定向和转发 受审核服务厂商应具备应能覆盖Web扫描和主机扫描的扫描工具，且根据信安在线指定的格式导出扫描报告,并具备对报告中发现的问题进行验证能力——主机扫描应支持类型 1.CGI攻击测试 工具名称，测试覆盖申明盖章件 2.FTP测试 3.DNS测试 4.Finger测试 5.杂项测试 6.LDAP测试 7.RPC测试 8.SNMP测试 9.SSH服务测试 10.SSL测试 11.VPN测试 12.注册表测试 13.后门测试 14.类UNIX测试 15.数据库测试 16.信息获取测试 网站日常监测服务 可对客户网站进行7*24小时安全监控，人工校验确定发生故障时立即以邮件，短信，电话方式通知客户公司的指定人员。监测项目包括10项内容。 1.网站状态监控 工具名称，测试覆盖申明盖章件 2.服务端口监控 3.DNS劫持监控 4.网站挂马监控 5.疑似篡改监控 6.关键内容监控 7.敏感字监控 8.网站响应时间监控 9.下载速度监控 10.HTML加载事件监控 网络安全应急服务 被审核厂商应能,在安全事件发生后按预定的应急响应方案开展应急响应服务可做响应服务范围应至少包括这些内容。 1.Web入侵事件 工具名称，测试覆盖申明盖章件 2.操作系统入侵事件（后门\木马\病毒等） 3.邮件APT入侵事件 4.监管部门通报事件 深度漏洞扫描验证 受审核服务厂商应具备应能覆盖Web扫描和主机扫描的扫描工具，且相应的操作人员应能对扫描结果的误报情况进行确认和排除——Web扫描应至少包括OWSP-TOP10