信息安全服务资质自评估表-安全运维类.docxVIP

ISCCC-QOT-0459-B/1 信息系统安全运维服务资质认证自评估表 中国信息安全认证中心 第 PAGE 1 页 共 NUMPAGES 1 页 信息系统安全运维服务资质认证自评估表（试用版） 组织名称 申报级别 评估时间 评估部门/人员 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 准备阶段—需求调研与分析 采集客户对信息系统运维服务时间的需求。 运维前的客户需求调查报告，可结合结合业务部门，公司高层的战略规划，内容必须有服务时间要求。 进行信息系统运维预算，定义运维服务。 运维前的信息系统运维预算表,内容应包括工作量、人力资源项目经费、项目节点等。 与客户进行沟通，达成共识并形成记录 。 运维前与客户沟通的记录，应有沟通结果双方达成共识的体现。 仅二级要求：识别与分析信息系统运维过程中的历史数据，提出系统运维的保障策略和解决方案。 信息系统运维过程中的历史数据清单； 历史数据清单的分析报告，内容包含指标完成情况、违例操作、重大事件、重大（失败）变更等。 根据报告的分析制定的运维策略，及实施方案； 仅二级要求：分析客户对信息系统安全服务的需求和类型。 客户需求调查报告，包含信息系统安全服务的需求和类型； 仅二级要求：收集与分析信息系统的可用性指标，明确可用性指标的类型。 信息系统的可用性指标清单，如整体指标或单系统指标等； 仅二级要求：分析以往服务的数据，提取出来未来可自动化的服务。 以往提供服务的解决方案，对生产的影响的分析报告； 根据以往安全事件的解决效率进行分析，适宜时提出来未来可自动化的服务。 仅一级要求：内部团队之间的安全运营级别协议应和与安全运维第三方之间的的服务级别设计保持一致。 服务级别设计、安全运营级别协议，两者应保持一致。 仅一级要求：安全组织中要设定安全领导小组；在采用外包模式的情况下，执行组还应包含安全运维服务供应商参与运维的人员。 安全组织架构图及相关运维人员清单，其中应有安全领导小组； 外包模式的执行组中应有第三方参与运维的人员。 仅一级要求：采用基于PDCA的管理模型，从策划，实施，监视与评审和持续改进进行体系化的信息系统安全运维服务。 信息系统安全运维服务有策划，实施，监视与评审和持续改进流程。 仅一级要求：建立安全运维可视化视图。基于信息系统安全的生命周期，建立信息系统安全运维的整体策略。基于客户、业务的价值体现，形成安全运维的整体视图。 安全运维项目施工手册和作业指导书； 新建系统，建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求，应保留与客户的需求分析记录； 系统改造中考虑造前技术测试验证及在实施失败后的回退措施； 测试验证中对旧系统的兼容问题，包括网络兼容、系统兼容、应用兼容等，有验证报告。 准备阶段—运维服务设计 制定安全运维服务目录，目录内容包括但不限于：初始服务、安全设备运维、日常巡检服务、健康检查、安全事件审计。 安全运维服务目录，内容包含条款要求。 信息系统相关的IT资产进行识别。 IT资产识别清单，内容有IT资产识别的标识、分级、保护和软件配置建立基础资料档案； 有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。 对安全设备进行日常维护及监控，并记录硬件故障。 安全设备的日常维护，状态检查，定期查杀，故障处理、保养、更新、升级、故障检测及排除，并对安全设备出现的硬件故障进行统计的记录。 提供安全设备、业务系统的健康检查服务，并约定服务方式、检查频次和检查内容。 有安全运维服务使用者约定的服务方式（现场检查，远程检查）、检查频次和检查的文件记录。 采集系统配置、流量信息、系统状态等安全信息。 安全设备、业务系统的健康检查服务，应与安全运维服务使用者约定的服务方式（现场检查，远程检查）、检查频次和检查的文件的记录。 收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。 有对网络及安全设备日志，服务器、操作系统等日志，网络应用日志的记录与分析报告。 仅二级要求：对信息安全事件进行统计与分析。 信息安全事件的统计表，分析报告； 信息系统的可用性事件、计划、报告； 安全运维角色清单。 仅二级要求：编写安全运维服务目录，目录内容包括但不限于：运维监控与分析、终端安全监控、