设为首页 | 加入收藏
信息安全服务资质认证 当前您的位置:软件信息产品认证>>信息安全服务资质认证
网络安全审计专业评价要求
 

网络安全审计服务资质认证自评估表


填表要求:该服务中涉及的程序文件,须经本单位批准并发布。
组织名称  申报级别
评估时间  评估部门/人员
序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
    符合 不符合
1.  服务技术要求 建立网络安全审计服务流程。 提供建立的网络安全审计服务流程,流程中应包括每个阶段对应的职责、输入输出等。  
2.  制定网络安全审计服务规范并按照规范实施。 提供已制定的网络安全审计服务规范。  
3.  基本资格 三级初次认证无项目要求。
三级监督要求:申请三级资质认证的单位,至少已经完成1个完整的网络安全审计项目,具备确定审计目标和范围、确定审计依据的能力;具备实施现场审计、报告审计发现和形成审计结论的能力;具备提出审计建议的能力。 提供一个已完成的审计项目的合同、验收的证明材料,包括确定审计目标和范围、确定审计依据的能力;实施现场审计、报告审计发现和形成审计结论的能力;提出审计建议的能力的证明材料。
  
4.  仅二级要求:申请二级资质认证的单位,至少完成6个完整的网络安全审计项目;具备确定审计目标和范围、确定审计依据的能力;具备实施现场审计、报告审计发现和形成审计结论的能力;具备提出审计建议的能力。 提供6个已完成的审计项目的合同、验收的证明材料,包括确定审计目标和范围、确定审计依据的能力;实施现场审计、报告审计发现和形成审计结论的能力;提出审计建议的能力的证明材料。  
5.  仅一级要求:申请一级资质认证的单位,至少完成10个项目,3个完整的网络安全审计项目,项目审计目标应覆盖至少合规、安全、绩效等;具备确定审计目标和范围、确定审计依据的能力;具备实施现场审计、报告审计发现和形成审计结论的能力;具备提出审计建议的能力。 提供3个完整的网络安全审计项目的合同及验收的证明材料,项目审计目标应覆盖至少合规、安全、绩效等;包括确定审计目标和范围、确定审计依据的能力;实施现场审计、报告审计发现和形成审计结论的能力;提出审计建议的能力的证明材料。  
6.  审计对象识别-了解被审计方业务和IT情况 G1.1.1 a) 编制业务情况调研表,并按照调研表收集有效信息。 提供业务情况调研表  
7.  G1.1.1 b) 编制IT情况调研表,并按照调研表收集有效信息。 提供IT情况调研表  
8.  (适用于一、二级)G2.1.1 a) 编制审计对象列表,包括审计对象的数量、容量、功用、版本等属性。 提供审计对象列表,应包括审计对象的数量、容量、功用、版本等属性  
9.  (适用于一、二级)G2.1.1 b) 梳理被审计方业务逻辑、应用系统处理逻辑和IT基础设施架构。 提供被审计方业务逻辑、应用系统处理逻辑和IT基础设施架构的分析证明材料  
10. (适用于一级)G3.1.1 a) 应利用应用系统工具来建立和管理审计对象库。 提供利用应用系统工具建立和管理审计对象库的过程证明(可提供相关工具的功能介绍、界面截图等)  
11. (适用于一级)G3.1.1 b) 具备为被审计方提供审计对象管理工具的能力。   
12. 审计对象调研-了解被审计方组织管理和IT管理情况 G1.1.2 a) 有效掌握被审计方组织结构。 提供了解和分析被审计方组织结构及岗位职责等方法说明,如调研表等。  
13. G1.1.2 b) 有效掌握被审计方IT管理情况。 提供了解和分析被审计方IT管理情况的方法说明,如调研表等。  
14. G1.1.2 c) 了解被审计方IT支撑业务的对应关系。 提供了解和分析被审计方IT支撑业务的对应关系说明,如分析表格模板。  
15. G1.1.2 d) 对网络安全审计的风险进行初步评价。 提供网络安全审计风险评价方法,如评价程序,评价报告模板等。  
16. (适用于一、二级)G2.1.2  a) 梳理被审计方规章制度文件,形成审计项并编制对应检查表。 提供规章制度文件审计项及检查表模板及案例。  
17. (适用于一、二级)G2.1.2  b) 编制完整审计调研报告,并说明审计重点审计项。 提供审计调研报告案例,并说明审计重点审计项。  
18. G2.1.2 c) 制定审计风险评价准则,评价审计风险,为确定重点审计项和明确审计内容提供依据。 提供审计风险评价准则,提供审计风险评价报告案例。   
19. (适用于一级)G3.1.2 应建立审计调研报告分级复核程序,明确规定各级复核人员的要求和责任。 提供所建立的审计调研报告分级复核程序,明确规定各级复核人员的要求和责任。提供复核记录案例。  
20. 编制审计实施方案-确定网络安全审计目标 G1.2.1 a)确定网络安全审计项目的目标。 提供确定审计目标的方法,如审计目标描述模板等。  
21. G1.2.1 b) 网络安全审计目标可以包括信息化政策合规性、网络安全建设和绩效、政务系统整合和数据共享、个人信息保护和数据保护、信息化项目建设绩效与合规、信息系统有效性和可靠性、信息系统应急响应能力等。   
22. (适用于一、二级)G2.2.1 网络安全审计目标应经过评审,并与被审计方达成一致。 提供网络安全审计目标评审记录案例。  
23. 编制审计实施方案-确定网络安全审计依据 G1.2.2 a) 应根据具体审计目标,准确确定审计依据。 提供确定审计依据的方法,如审计目标与审计依据对应关系表格模板等。
  
24. G1.2.2 b)网络安全审计依据可以是国家法律法规、国际国内相关标准、被审计方的有关规章程序,以及审计委托方指定的其它审计依据。   
25. (适用于一、二级)G2.2.2 应建立并维护常用审计依据库,并确保审计依据是当前适用版本。 提供审计依据库目录,并提供审计依据版本管理的方法。  
26. (适用于一级)G3.2.2 a) 应利用应用系统工具来建立和维护常用审计依据库,并确保审计依据是当前适用版本。 提供利用应用系统工具建立和维护审计依据库的过程证明(可提供相关工具的功能介绍、界面截图等)
  
27. (适用于一级)G3.2.2 b) 具备为被审计方提供审计依据管理工具的能力。   
28. 编制审计实施方案-确定网络安全审计范围和审计内容
 G1.2.3 a) 应根据审计目标和审计依据,确定审计范围。审计范围应包括组织机构范围、业务范围、IT基础设施和应用系统范围等。 提供确定审计范围的方法,如审计目标、审计依据和审计范围的对应关系表格模板等。  
29. G1.2.3 b) 应根据审计依据和范围,确定审计内容。审计内容应划分到具体审计事项,明确每一个审计事项的审计要点和审计方法及所需资源。 提供确定审计内容的方法,如审计依据、审计范围和审计内容的对应关系表格模板。  
30. G1.2.3 c) 审计方法及所需资源应包括审计人员、计划时间安排、审计工具,以及可操作的审计方法和流程。 提供不同审计内容对应的审计方法和所需审计所需资源的模板。  
31. (适用于一、二级)G2.2.3 应建立审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源的对应关系。 提供审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源的对应关系模板和案例。  
32. (适用于一级)G3.2.3 a) 应利用应用系统工具来建立和维护审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源的对应关系。 提供利用应用系统工具来建立和维护审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源的对应关系的过程证明(可提供相关工具的功能介绍、界面截图等)
  
33. (适用于一级)G3.2.3b) 具备为被审计方提供审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源等对应关系管理工具的能力。   
34. 编制审计实施方案-组建审计组 G1.2.4 a) 应考虑审计目标、审计内容、审计范围等组建审计组。 提供审计组管理相关规定。  
35. G1.2.4 b) 选择审计组成员应满足通用评价要求的人员能力要求,同时应满足审计和网络安全审计基础流程中的人员能力要求。 提供审计组成员能力评价相关规定。  
36. (适用于一、二级)G2.2.4 应指定审计组长、主审和审计组成员,并明确分配审计任务。 提供包括审计组长、主审和审计组成员的已组建的审计组案例。  
37. (适用于一级) G3.2.4 对于特定行业领域的网络安全审计,应具备聘请外部行业技术专家作为审计组成员的安排。 提供对于特定行业领域网络安全审计项目,能够聘请外部行业技术专家作为审计组成员的规定。  
38. 审计取证与评价-审计取证
 G1.3.1 a) 应选择适当的方法,在现场审计或非现场审计活动中获取审计证据。审计取证的方法可以是访谈、文件和记录调阅、审计项检查表、系统操作验证、审计工具、函证等。 提供审计取证方法,可以是访谈提纲、文件和记录调阅单、审计项检查表、系统操作验证流程、审计工具、函证模板等之一或多种。  
39. G1.3.1 b) 在获取审计证据过程中,应选择适当的抽样方式。 提供审计过程中抽样安排的相关规定。  
40. G1.3.1 c) 应采取必要措施,保证审计证据的相关性、可靠性和充分性。 提供保障审计证据的相关性、可靠性和充分性的相关措施或规定。  
41. (适用于一、二级)G2.3.1 a) 应具备至少利用一种网络安全审计工具执行审计取证的能力。 提供至少一种利用网络安全审计工具执行审计取证的记录。  
42. (适用于一、二级)G2.3.1 b) 对电子形式存在的审计证据,应做好取证记录,并经被审计方相关人员确认。 提供电子形式的审计证据的取证记录,包括被审计方确认的记录。  
43. (适用于一、二级)G2.3.1 c) 应采取必要的措施,保护取证过程中所采集的电子数据的安全。 提供保障电子数据的安全措施或规定。  
44.      
45. (适用于一级)G3.3.1 a) 应至少具备和使用数据分析类、漏洞和缺陷扫描类、系统配置和运行日志检查类等类型的审计工具的能力。 提供数据分析类、漏洞和缺陷扫描类、系统配置和运行日志检查类等类型审计工具列表,提供使用这些工具开展审计的记录(可以是相关工具的功能介绍、界面截图等)。  
46. (适用于一级)G3.3.1 b) 利用审计工具取证时,应采取措施确保对审计对象的风险最小化。 提供使用审计工具开展审计的相关操作规定,包括降低风险的措施。  
47. 审计取证与评价-编制审计工作底稿 G1.3.2 a) 应在审计取证完成后,编制审计工作底稿或审计取证单。 提供审计工作底稿或审计取证单模板。  
48. G1.3.2 b) 审计工作底稿应内容完整、记录清晰、结论明确,客观地反映项目审计方案的编制及实施情况,以及与形成审计结论、意见和建议有关的所有重要事项。   
49. G1.3.2 c) 审计工作底稿应经被审计方签字确认。   
50. (适用于一、二级)G2.3.2 a) 应建立审计工作底稿的分级复核程序,明确规定各级复核人员的要求和责任。 提供审计工作底稿的分级复核程序,包括各级复核人员的职责描述。  
51. (适用于一、二级)G2.3.2 b) 审计工作底稿的内容应包括但不限于被审计部门的名称,审计事项及其期间或者截止日期,审计程序的执行过程及结果记录,审计结论、意见及建议,审计人员姓名和审计日期,复核人员姓名、复核日期和复核意见,编号及页次,被审计方意见、附件等。 提供审计工作底稿案例,底稿内容包括但不限于被审计部门的名称,审计事项及其期间或者截止日期,审计程序的执行过程及结果记录,审计结论、意见及建议,审计人员姓名和审计日期,复核人员姓名、复核日期和复核意见,编号及页次,被审计方意见、附件等。  
52. (适用于一级)G3.3.2 a) 应利用应用系统工具来归档和保管审计工作底稿。 提供利用应用系统工具来归档和保管审计工作底稿的过程证明(可提供相关工具的功能介绍、界面截图等)。  
53. (适用于一级)G3.3.2 b) 具备为被审计方提供审计工作底稿管理工具的能力。   
54. 编制审计工作底稿
-审计评价 G1.3.3 a) 应对审计证据与审计依据的符合性进行评价,以形成审计发现,审计发现应明确审计项符合或不符合审计依据的程度,该程度可以用不同级别来表示。 提供审计发现模板。  
55. G1.3.2 b) 网络安全审计评价应客观、公正地反映被审计单位信息系统的真实情况。 提供网络安全审计评价原则或相关规定。  
56. (适用于一、二级)G2.3.3 应编制审计发现列表。  提供审计发现列表案例。  
57. (适用于一级) G3.3.3 a) 应利用应用系统工具来管理审计发现列表。 提供利用应用系统工具来管理审计发现的过程证明(可提供相关工具的功能介绍、界面截图等)。  
58. (适用于一级)G3.3.3 b)具备为被审计方提供审计发现列表管理工具的能力。   
59. 审计报告
-一般原则
 G1.4.1 a) 应实事求是地反映被审计事项的事实。 提供网络安全审计报告模板  
60.  G1.4.1 b) 应要素齐全、格式规范,完整反映审计中发现的重要问题。   
61.  G1.4.1 c) 充分考虑审计项目的重要性和风险水平,对于重要事项应当重点说明。   
62.  G1.4.1 d) 提出可行的改进建议,以促进被审计方信息系统有效支撑其业务的目标。   
63. (适用于一、二级)G2.4.1 应建立审计报告分级复核程序,明确规定各级复核人员的要求和责任。 提供审计报告分级复核程序(可与G2.3.2 a)的程序结合),包括各级复核人员的职责描述。  
64. (适用于一级)G3.4.1 应利用应用系统工具来管理审计报告。 提供利用应用系统工具来管理审计报告的过程证明(可提供相关工具的功能介绍、界面截图等)。  
65. 审计报告
-审计报告的内容 G1.4.2 a) 审计报告应完整、准确地反映审计结果,内容应包括审计概况、审计依据、审计发现、审计结论、审计意见等。 提供审计报告模板,内容应包括审计概况、审计依据、审计发现、审计结论、审计意见等。提供适用的审计报告附件模板。  
66. G1.4.2 b) 需要时,审计报告可以增加附件。附件内容可包括针对审计过程、审计中发现问题所作出的具体说明,以及被审计单位的反馈意见等内容。   
67. (适用于一、二级)G 2.4.2 a)审计报告中应提出审计发现问题改进建议。 提供审计报告案例。报告中应包括审计发现问题改进建议。  
68. (适用于一、二级)G2.4.2 应建立程序,对已经出具的审计报告可能存在的重要错误或者遗漏及时更正,并将更正后的审计报告提交给原审计报告接收者。 提供审计报告管理规定,包括对审计报告内容更正及重新提交的流程进行规定。  
69. (适用于一级)G3.4.2在审计的任何阶段,如果遇到或发现与审计目标和内容有关的重大问题,如违法违规问题、重大安全风险等,应出具审计专报。 提供审计专报模板或审计专报案例。  
70. 审计报告
-交付审计报告 G1.4.3 a) 应建立审计报告的批准和交付程序,保留交付记录。 提供审计报告的批准和交付相关规定。  
71. G1.4.3b) 应在审计委托方或被审计方约定的时间内交付,如延迟交付,应向审计委托方和被审计方说明理由。 提供审计报告的交付管理规定。包括交付时间安排等。  
72. (适用于一、二级)G2.4.3 a) 应建立审计报告归档和保管程序。任何组织或者个人查阅和使用归档后的审计报告,必须经审计机构负责人批准,但国家有关部门依法进行查阅的除外。 提供审计报告归档和保管管理相关规定。  
73. (适用于一、二级)G2.4.3 b) 审计报告归被审计方所有,被审计方对审计报告的使用、保管等有明确要求的,应遵守其要求。 提供审计报告管理相关规定,包括报告的归属安排等。  
74. (适用于一级)G3.4.3 具备为被审计方提供审计报告管理工具的能力。 提供为被审计方所用的审计报告管理工具。  
75. 跟踪审计-一般原则 G1.5.1 a) 应安排对审计发现问题的整改措施和整改措施的效果进行跟踪审计。 提供审计发现问题的整改措施模板。  
76. G1.5.1 b) 应与被审计方约定在规定的时间内容实施跟踪审计,一般自审计报告交付起不超过6个月。 提供跟踪审计报告的交付管理规定,包括交付时间安排。  
77. (适用于一、二级)G2.5.1 应编制跟踪审计方案,对后续审计做出安排。 提供跟踪审计方案案例。  
78. 跟踪审计-跟踪审计报告 G1.5.2 a) 应当根据跟踪审计的实施过程和结果编制跟踪审计报告。 提供跟踪审计报告模板,模板中关键内容需要明确。  
79. G1.5.2 b) 跟踪审计报告的管理参照G1.4审计报告。 提供跟踪审计报告的管理相关规定。  
80. (适用于一、二级)G2.5.2跟踪审计报告的管理参照G2.4审计报告。   
81. (适用于一级)G3.5.2 跟踪审计报告的管理参照G3.4审计报告。   
82. 审计质量控制-审计质量控制程序 G1.6.1 a) 应建立审计质量控制程序,以确保遵守审计相关法规和准则,作出准确的审计结论。 提供审计质量控制程序,包括审计质量责任、审计职业道德、审计人力资源、审计业务执行、审计质量监控等。  
83. G1.6.1 b) 审计质量控制程序应覆盖审计质量责任、审计职业道德、审计人力资源、审计业务执行、审计质量监控等。   
84. (适用于一、二级)G2.6.1 a) 应建立网络安全审计工作手册,规范网络安全审计全生命周期内的所有活动。 提供适用的网络安全审计工作手册。  
85. (适用于一、二级)G2.6.1 b) 确保审计质量控制程序与网络安全审计工作手册相适应。 提供审计质量控制程序与网络安全审计工作手册,并比较其相关内容的一致性。  
86. (适用于一级)G3.6.1 a) 应监督网络安全审计实施的过程。 提供定期开展网络安全审计质量检查的记录。  
87. (适用于一级)G3.6.1 b) 应定期开展网络安全审计质量检查。   
88.  上一年度提出的观察项整改情况(如有)
89.      
90.      
91.  上一年度提出的不符合项整改情况(如有)
92.      
93.      

自评估结论:
经自主评估,本单位的网络安全审计服务满足《信息安全服务 规范》   级要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
  网络安全审计服务资质认证是对网络安全审计服务方的基本资格、管理能力、技术能力和网络安全审计过程能力等方面进行评价。网络安全审计服务资质级别是衡量服务提供方的网络安全审计服务资格和能力的尺度。网络安全审计资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。
★重庆两化融合★重庆CMMI认证★重庆GJB5000A认证★重庆CCRC认证★重庆ISO27001认证★重庆ISO20000认证★重庆ISO22301认证★重庆ISO27701认证★重庆ITSS认证★重庆CS认证★
 
 
★CCRC认证知识★---★网络安全审计服务资质认证程序★
6. 认证程序
6.1. 自评估
组织在中国信息安全认证中心网站下载《信息安全服务自评估表》,并实施自主评估。
6.2. 认证申请
组织依据信息安全服务资质认证程序、认证实施规则中相关要求,确定申请服务资质类别,并
填写《信息安全服务资质认证申请书》。
组织向中国信息安全认证中心或其指定机构提交《信息安全服务资质认证申请书》、《信息安
全服务自评估表》及相关证明材料。
6.3. 申请材料评审
中心依据认证程序和相关标准要求,对申请组织提交的认证相关材料进行评审,并确定申报级
别和资质类别,签订认证合同。
6.4. 现场评审
认证机构组成评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审
报告。特别,对申请一级资质认证的组织,必要时选择申请组织的客户进行项目实施现场见证。
6.5. 认证决定
认证决定委员会由3名以上(含3名)奇数认证决定人员组成,做出认证决定。
6.6. 证书颁发
对于符合认证要求的申请组织,颁发认证证书,并予以公示。
6.7. 证后监督
6.7.1. 证后监督频次和方式
对获证组织实施监督,每年度(不超过12个月)进行一次监督评审。
当获证组织发生重大变更、事故或客户投诉时,可增加现场监督评审的频次。
6.7.2. 证后监督内容
监督评审除包括初次评审的内容外,还应对上一次审核中提出的观察项所采取纠正/预防措施进
行验证。还应包括获证企业变更情况、对其投诉处理情况,以及认证证书及认证标识的使用情况等。
6.7.3. 证后监督结论
对于通过监督评审的获证组织,做出维持认证证书有效的决定;否则,暂停或撤销其认证证书。
6.7.4. 信息通报
为确保获证组织的安全服务能力持续有效,获证组织应建立信息通报渠道,及时报告以下信息:
a) 组织机构变更信息;
b) 安全事故、客户投诉信息;
c) 其他重要信息。
6.8. 认证证书管理
6.8.1. 证书有效期
获证组织如持续满足标准要求,且通过年度监督评审,可保持证书有效。
6.8.2. 暂停认证证书
获证组织有下列情形之一,认证机构应暂停其认证证书:
a) 未按规定接受监督评审;
b) 违规使用认证证书,且未造成不良影响;
c) 监督评审有严重不符合项;
d) 其他需要暂停证书的情况。
证书暂停时间一般为三个月。在证书暂停期间,组织可提出恢复证书的申请,并经认证机构审核、批准后方可使用证书。
6.8.3. 撤销认证证书
获证组织有下列情形之一,应撤销其认证证书:
a) 证书暂停期间,未在规定时间内完成整改并通过验证;
b) 违规使用认证证书,造成不良影响;
c) 获证组织出现严重责任事故、被投诉且经核实,影响其继续有效提供服务;
d) 其他需要撤销证书的情况。
认证证书撤销后,获证组织应交回认证证书,中心予以公示。
6.8.4. 注销认证证书
获证组织因自身原因不再维持证书,可提出注销认证证书的申请,中心应及时给予注销。
认证证书注销后,获证组织应交回认证证书,中心予以公示。
6.8.5. 证书变更
证书变更如只涉及地址、资金或法定代表人的变更,获证组织需递交变更申请,经书面审核批准后,中心可更换其证书并收回原证书。
如获证组织发生除以上外的重大调整,应向中心提出变更申请,并提供相关材料。
中心需进行现场验证,并做出认证决定。

★重庆两化融合★重庆CMMI认证★重庆GJB5000A认证★重庆CCRC认证★重庆ISO27001认证★重庆ISO20000认证★重庆ISO22301认证★重庆ISO27701认证★重庆ITSS认证★重庆CS认证★


★CCRC认证知识★---★网络安全审计服务专业评价要求★
 
 安全运维服务资质专业评价要求针对服务准备、服务实施、监视评审、持续改进四个阶段进行,
具体分级要求如下:
F1 三级要求
F1.1准备阶段
F1.1.1需求调研与分析
a) 采集客户对信息系统运维服务时间的需求。
b) 进行信息系统运维预算,定义运维服务。
c) 与客户进行沟通,达成共识并形成记录。
F1.1.2运维服务设计
a) 制定安全运维服务目录,包括但不限于:初始服务、安全设备运维、日常巡检服务、健康检查、安全事件审计。
b) 对信息系统相关的IT资产进行识别。
c) 对安全设备进行日常维护及监控,并记录硬件故障。
d) 提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
e) 采集系统配置、流量信息、系统状态等安全信息。
f) 收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。
F1.1.3运维服务导入
a) 收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性。
b) 专业人员负责安全管理的接口。
c) 建立服务目录。
d) 建立事件响应和解决的机制,有基本的安全运维报告模式。
F1.1.4明确服务协议特殊要求
a) 明确安全事件处理与应急响应流程,包括但不限于:安全事件的分类、安全事件上报流程、安全事件处理流程、安全事件的事后处理。
b) 明确安全运维方式,包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。
F1.2运维服务实施阶段
a) 实施初始服务:完成资产识别,定期配置项的更新和维护,实施相关运维流程。
b) 实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
c) 实施日常巡检服务:完成安全设备监控;病毒监测、查杀及网络防病毒维护,并有相关记录。
d) 实施健康检查服务:完成安全设备、业务系统的健康检查服务。
e) 实施安全事件审计服务:完成网络及安全设备日志、服务器、操作系统、网络应用的日志、并且进行记录。
f) 组建运维服务台职能,培养服务台人员的专业能力。
g) 建立事件管理程序和信息安全服务请求管理程序。
F1.3运维监视评审阶段
a) 应定期收集与分析安全运维报告的数据,包括但不限于:异常报告及时率、异常漏报率、维护作业计划的及时完成率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆盖率、安全补丁安装及时率、安全事件次数。
b) 对运维实现情况进行监视测量,未能实现的目标应采取纠正预防措施。
c) 建立与分析客户满意度调查。
F1.4运维持续改进阶段
a) 应在运维过程和监视过程中识别改进项目,制定持续改进计划,包括但不限于对改进机会的评估标准。
b) 应有文件化的程序,用以识别、记录、批准、评估、测量和报告改进措施。
c) 应采取预防措施,以消除潜在的不符合项的原因,以防止其发生。
F2 二级要求
组织申报二级资质,除满足三级资质的所有条件外,还需满足以下要求。
F2.1运维服务准备阶段
F2.1.1需求调研与分析
a) 根据评估目标和范围,对安全运维对象中包含的信息系统,组织的资产进行分类。
b) 识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。
c) 分析客户对信息系统安全服务的需求和类型。
d) 收集与分析信息系统的可用性指标,明确可用性指标的类型。
e) 分析以往服务的数据,提取出来未来可自动化的服务。
F2.1.2运维服务设计
a) 对信息安全事件进行统计与分析;
b) 编写安全运维服务目录,包括但不限于:运维监控与分析、终端安全监控、合规性运维。
c) 建立信息系统安全运维的问题管理程序。
d) 建立知识管理程序及初步形成知识库。
e) 编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
f) 形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
F2.1.3运维服务导入
采用流程化管理方法,基于安全事件处理流程、安全培训服务流程、渗透测试流程进行标准化
的信息系统安全运维工作。
F2.1.4明确服务协议特殊要求
a) 建立信息系统安全主动管理机制;
b) 签订信息系统安全运维服务级别协议,承诺信息系统核心指标。
c) 建立问题管理程序。
d) 建立信息系统安全的配置库及关联关系信息。
F2.2运维服务实施阶段
a) 实施运维监控与分析并形成记录。
b) 进行合规性运维。
F2.3运维监视评审阶段
F2.3.1内审
按照计划的时间间隔执行内部审核,满足既定标准要求、安全运维服务需求和客户所提出的SMS
要求,并有效实施和维护。
F2.3.2管理评审
a) 定期回顾安全运维服务,确保其持续适用和有效。
b) 管理评审输入至少包括但不限于:客户反馈、服务和流程的执行情况和符合性、当前和预测资源水平、纠正措施的进展情况、可能影响安全运维服务的变更、改进机会。
F2.4运维持续改进阶段
a) 改进机会应划分优先级,策划被批准的改进机会。
b) 改进活动应进行管理,包括但不限于:设定改进目标、确保批准的改进活动被实施、报告被实施的改进计划。
F3一级要求
组织申报一级资质,除满足二级资质的所有条件外,还需满足以下要求。
F3.1运维服务准备阶段
a) 内部团队之间的安全运营级别协议应和与安全运维第三方之间的的服务级别设计保持一致。
b) 安全组织中要设定安全领导小组;在采用外包模式的情况下,执行组还应包含安全运维服务供应商参与运维的人员。
c) 采用基于PDCA的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。
d) 建立安全运维可视化视图。
F3.1.1需求调研与分析
a) 基于信息系统安全的生命周期,建立信息系统安全运维的整体策略。
b) 基于客户、业务的价值体现,形成安全运维的整体视图。
F3.1.2运维服务设计
a) 编制安全运维项目作业指导书。
b) 建设实施过程中应关注信息系统的功能、性能和安全性方面要求。
c) 改造过程中应制定测试计划及回退措施。
d) 编写安全运维服务目录,包括但不限于:安全通告及漏洞分析、应急响应服务。
F3.1.3运维服务导入
a) 基于渗透测试流程管理进行标准化的信息系统安全运维工作。
b) 编制信息安全产品和工具定制开发计划。
F3.1.4明确服务协议的特殊要求
a) 建立信息系统安全运维服务级别管理程序,签订服务级别协议。
b) 建立信息系统应急事件响应机制和恢复保障。
c) 对客户满意度进行趋势分析。
d) 建立应急响应和灾难恢复机制,形成业务连续性计划。
F3.2运维服务实施阶段
a) 实施安全通告及漏洞分析服务:完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告
b) 实施应急响应服务:制定应急响应预案,对应急事件及时响应,并对应急进行演练,形成相关记录
c) 建立运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
d) 制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
F3.3运维监视评审阶段
a) 形成体系化的审核机制及企业文化。
b) 体系化的服务监视管理,形成审核机制。
c) 定期评审客户对安全运维服务的满意度。
F3.4运维持续改进阶段
a) 持续服务改进,形成持续服务改进文化和意识。
b) 基于运维服务的缺陷,提出改进策略和方案。
c) 分析运维服务的数据并进行服务预测。

★四川军标认证★ 重庆军标认证★四川武器装备质量体系认证★重庆武器装备质量体系认证★四川保密认证★重庆保密认证★重庆AS9100认证★四川AS9100认证★四川涉密认证★四川装备承制资格认证★ 重庆装备承制资格认证★

重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4    成都公司地址:成都市高新区天府三街峰汇中心1-10-8