《信息系统安全运维服务资质认证自评价表》由会员分享,可在线阅读,更多相关《信息系统安全运维服务资质认证自评价表(11页珍藏版)》请在金锄头文库上搜索。
1、信息系统安全运维服务资质认证自评估表组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结 论证明材料清单符合不 符 合1.准备阶段一 需求调研与 分析采集客户对信息系统运维服务时间的需求。运维前的客户需求调查报告,可结合结合业务 部门,公司高层的战略规划,内容必 须有服务 时间要求。2.进行信息系统运维预算,定义运维服务。运维前的信息系统运维预算表,内容应包 括工作量、人力资源项目经费、项目节点等。3.与客户进行沟通,达成共识并形成记 录。运维前与客户沟通的记录,应有沟通结果双方达成共识的体现。4.仅-级要求:识别与分析信息系统运维 过程中的历史数据,提出系统运维的保 障策
2、略和 解决方案。信息系统运维过程中的历史数据清单;历史数 据清单的分析报告,内容包含指标完成情况、违例操作、重大事件、重大(失 败)变更等。根据报告的分析制定的运维策略,及实施万案;仅二级要求:分析客户对信息系统安全服务 的需求和类型。客户需求调查报告,包含信息系统安全服 务的 需求和类型;5.仅二级要求:收集与分析信息系统的可用性 指标,明确可用性指标的类型。信息系统的可用性指标清单,如整体指标或单 系统指标等;6.仅二级要求:分析以往服务的数据,提取出 来未来可自动化的服务。以往提供服务的解决方案,对生产的影响的分 析报告;根据以往安全事件的解决效率进行分析,适宜 时提出来未来可自动化的服
3、务。7.仅 级要求:内部团队之间的安全运营级别 协议应和与安全运维第一方之间的的服务级 别设计保持一致。服务级别设计、安全运营级别协议,两者 应保 持一致。8.仅一级要求:安全组织中要设定安全领导小 组;在采用外包模式的情况下,执 行组还应 包含安全运维服务供应商参与运维的人员。安全组织架构图及相关运维人员清单,其中应有安全领导小组;外包模式的执行组中应有第三方参与运维的人员。9.仅一级要求:采用基于PDCA的管理模型, 从策划,实施,监视与评审和持续改进进行 体系化的信息系统安全运维服务。信息系统安全运维服务有策划,实施,监视与 评审和持续改进流程。10.仅-级要求:建立安全运维可视化视 图
4、。基于信息系统安全的生命周期,建立信息系统 安全运维的整体策略。基于客户、业务的价 值体现,形成安全运维 的整体视图。安全运维项目施工手册和作业指导书;新建系 统,建设实施过程应重点关注信息系统的功 能、性能和安全性等方面要求,应保留与客户 的需求分析记录;系统改造中考虑造前技术测 试验证及在实施失败后的回退措施; 测试验证中对旧系统的兼容问题,包括网 络兼容、系统兼容、应用兼容等,有验证 报 告。11.准备阶段一运 维服务设计制定安全运维服务目录,目录内容包括 但不 限于:初始服务、安全设备运维、日常巡检 服务、健康检查、安全事件审 计。安全运维服务目录,内容包含条款要求。12.信息系统相关
5、的IT资产进行识别。IT资产识别清单,内容有IT资产识别的标识、分级、保护和软件配置建立基础资 料档 案;有设备和系统的种类、型号、功能、物理 位 置、端口对应情况、部署情况等资产详细信 息。13.对安全设备进行日常维护及监控,并记 录硬 件故障。安全设备的日常维护,状态检查,定期查杀, 故障处理、保养、更新、升级、故障 检测及排 除,并对安全设备出现的硬件故障进行统计的 记录。14.提供安全设备、业务系统的健康检查服 务, 并约定服务方式、检杳频次和检杳内容。有安全运维服务使用者约定的服务方式(现场检杳,远程检杳)、检杳频次和检 查 的文件记录。15.采集系统配置、流量信息、系统状态等 安全
6、 信息。安全设备、业务系统的健康检查服务,应 与安 全运维服务使用者约定的服务方式(现场检杳,远程检杳)、检杳频次和检 查 的文件的记录。16.收集与分析网络及安全设备、服务器、操作 系统、网络应用的日志。有对网络及安全设备日志,服务器、操作 系统 等日志,网络应用日志的记录与分析 报告。17.仅二级要求:对信息安全事件进行统计与分 析。信息安全事件的统计表,分析报告;信息系统 的可用性事件、计划、报告;安全运维角色清 单。18.仅二级要求:编写安全运维服务目录,目录 内容包括但不限于:运维监控与分 析、终端 安全监控、等级保护合规性运维。安全运维服务目录,内容应包含有条款的 要 求。19.仅
7、二级要求:建立信息系统安全运维的问题 管理程序。信息系统问题管理程序,已审批并发布。20.仅二级要求:建立知识管理程序及初步形成 知识库。知识管理程序,已审批并发布。21.仅二级要求:编制信息系统的可用性计戈监 控可用性事件,报告可用性执行,指导可用 性的改进。信息系统的可用性事件、计划、报告。22.仅二级要求:形成信息安全管理的组织架 构,组织结构的构成要素与安全运维 活动角 色相对应。信息安全管理的组织架构表,安全运维角 色清单,应与组织的构成要素对应。23.仅一级要求:编制安全运维项目作业指导 书。安全运维项目中各模块作业指导书。24.仅一级要求:建设实施过程中应关注信息系 统的功能、性
8、能和安全性方面要求。改造过 程中应制定测试计划及回退措 施。有改造过程中的信息系统的测试计划;有信息 系统的基线、回退的措施文件。25.仅一级要求:编写安全运维服务目录,目录 内容包括但不限于:安全通告及漏 洞分析、 应急响应服务。安全运维服务目录,内容有条款要求的服 务。26.准备阶段一运 维服务导入收集与建立配置管理数据库,确保配置项目 的机密性、完整性、可用性。完整的配置数据库,能初步收集资产与配 置 项,并确保配置项目的机密性、完整性、可 用性。27.专业人员负责安全管理的接口。完整的配置数据库,能初步收集资产与配 置 项,并确保配置项目的机密性、完整性、可 用性。28.建立服务目录。
9、安全运维服务目录。29.建立事件响应和解决的机制,有基本的 安全运维报告模式。安全事件处理与应急响应流程,安全事件 处理与上报流程。30.仅二级要求:米用流程化管理方法,基于安 全事件处理流程、安全培训服务流 程、渗透 测试流程进行标准化的信息系统安全运维工 作。渗透测试的计划和记录;建立安全事件处理流程,安全培训服务流 程, 渗透测试的流程。31.仅一级要求:基于渗透测试流程管理进行标 准化的信息系统安全运维工作。运维过程中的渗透测试的计划和记录。32.仅一级要求:编制信息安全产品和工具定制 开发计划。信息安全产品和工具定制开发计划,内容可以应客户要求或组织自身的能力。33.准备阶段一 服务
10、协议的特 殊要求明确安全事件处理与应急响应流程,流程包 括但不限于:安全事件的分类、安 全事件上 报流程、安全事件处理流程、安全事件的事 后处理。建立安全事件处理流程,应急响应流程,内容 应包括条款要求;34.明确安全运维的方式,方式包括但不限于: 驻场值守方式,定期巡检方式,远 程值守方 式。服务级别协议协议,其中内容包括运维的方 式。35.仅一级要求:签订服务级别协议,建立信息 系统应急事件响应机制和恢复保 障。服务级别协议,内容包括承诺信息系统核心指 标;应急响应计划、系统恢复计划。36.仅二级要求:建立问题管理程序。信息系统的问题管理程序,已审批并发 布。37.仅二级要求:建立信息系统
11、安全的配置库及 关联关系信息。配置库,系统安全配置项之间有关联信 息。38.仅一级要求:建立信息系统安全运维服务级 别管理程序,签订服务级别协议。有已通过审核并发布的信息系统安全运维服务 级别管理程序;查看客户有服务级别协议。39.仅一级要求:建立信息系统应急事件响应机 制和恢复保障。应急响应计划、系统恢复计划的演练记 录;40.仅一级要求:对客户满意度进仃趋势分析。客户满意度调查报告与趋势分析报告;41.仅一级要求:建立应急响应和灾难恢复机 制,形成业务连续性计划。发布且通过审批的业务连续性计划。42.服务实施阶段实施初始服务:完成资产识别,定期配 置项 的更新和维护,实施相关运维流程。资产
12、识别表,对配置项的更新和维护记录,实 施相关运维流程的记录。43.实施安全设备运维服务:完成日常维护,状 态检查,定期查杀,故障处理、保养、更 新、升级、故障检测及排除,并对安全设备 出现的硬件故障进行统计记录。日常维护,巡检、状态检杳,定期杳杀,故障 处理、保养、更新、升级、故障检测 及排除的 记录;44.实施日常巡检服务:完成安全设备监控;病 毒监测、查杀及网络防病毒维护,并 有相关 记录。信息安全事件审计报告,如网络及安全设备 日志、服务器、操作系统、网络应用的日志;45.实施健康检杳服务:完成安全设备、业务系 统的健康检杳服务。安全设备、业务系统的健康检查服务,主 要工 作针对于设备的
13、可用性、持续性,并 提供相应 服务记录。46.实施安全事件审计服务:完成网络及安全设 备日志、服务器、操作系统、网络应用的日 志、并且进行记录。实施安全事件审计服务,内容包含条款中的要 求。47.组建运维服务台职能,培养服务台人员的专 业能力。建立服务台;提供服务台人员的培训记录。48.建立事件管理程序和信息安全服务请求管理 程序。事件管理程序,已审批并发布;服务请求管理 程序,已审批并发布。49.仅二级要求:实施运维监控与分析并形成记 录。运维监控分析报告,内容以数据来分析各个指 标的趋势。50.仅二级要求:进行等级保护合规性运维。针对信息系统安全建立保护等级;对信息系统 分级的标准;51.
14、仅二级要求:实施安全通告及漏洞分析月服 务:完成业界动态的通告、收集国家安全政 策及法律法规、漏洞通告、病毒通告、厂商 安全通告及其他安全通告。通告与漏洞分析记录,内容为业界动态的通 告、收集国家安全政策及法律法规、漏洞通 告、病毒通告、厂商安全通告及其他 安全通 告,并生成分析报告。52.仅二级要求:实施应急响应服务:完成 应急 响应预案制定,对应急事件及时响应,并对 应急进行演练,形成相关记录通告与漏洞分析记录;应急响应服预案,应急演练的记录;变更管理 程序,已审批并发布;运维过程中的变更记录 单。53.仅一级要求:建立运维变更管理程序,对运 维头施过程中方案、资源变更进仃有效控 制,完整记录变更过程。针对运维有审批并发布的变更管理程序;运维 过程
