安全集成服务资质专业评价要求
安全运维服务资质专业评价要求针对服务准备、服务实施、监视评审、持续改进四个阶段进行，
具体分级要求如下：
F1 三级要求
F1.1准备阶段
F1.1.1需求调研与分析
a) 采集客户对信息系统运维服务时间的需求。
b) 进行信息系统运维预算，定义运维服务。
c) 与客户进行沟通，达成共识并形成记录。
F1.1.2运维服务设计
a) 制定安全运维服务目录，包括但不限于：初始服务、安全设备运维、日常巡检服务、健康检查、安全事件审计。
b) 对信息系统相关的IT资产进行识别。
c) 对安全设备进行日常维护及监控，并记录硬件故障。
d) 提供安全设备、业务系统的健康检查服务，并约定服务方式、检查频次和检查内容。
e) 采集系统配置、流量信息、系统状态等安全信息。
f) 收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。
F1.1.3运维服务导入
a) 收集与建立配置管理数据库，确保配置项目的机密性、完整性、可用性。
b) 专业人员负责安全管理的接口。
c) 建立服务目录。
d) 建立事件响应和解决的机制，有基本的安全运维报告模式。
F1.1.4明确服务协议特殊要求
a) 明确安全事件处理与应急响应流程，包括但不限于：安全事件的分类、安全事件上报流程、安全事件处理流程、安全事件的事后处理。
b) 明确安全运维方式，包括但不限于：驻场值守方式，定期巡检方式，远程值守方式。

F1.2运维服务实施阶段
a) 实施初始服务：完成资产识别，定期配置项的更新和维护，实施相关运维流程。
b) 实施安全设备运维服务：完成日常维护，状态检查，定期查杀，故障处理、保养、更新、升级、故障检测及排除，并对安全设备出现的硬件故障进行统计记录。
c) 实施日常巡检服务：完成安全设备监控；病毒监测、查杀及网络防病毒维护，并有相关记录。
d) 实施健康检查服务：完成安全设备、业务系统的健康检查服务。
e) 实施安全事件审计服务：完成网络及安全设备日志、服务器、操作系统、网络应用的日志、并且进行记录。
f) 组建运维服务台职能，培养服务台人员的专业能力。
g) 建立事件管理程序和信息安全服务请求管理程序。
F1.3运维监视评审阶段
a) 应定期收集与分析安全运维报告的数据，包括但不限于：异常报告及时率、异常漏报率、维护作业计划的及时完成率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆盖率、安全补丁安装及时率、安全事件次数。
b) 对运维实现情况进行监视测量，未能实现的目标应采取纠正预防措施。
c) 建立与分析客户满意度调查。

F1.4运维持续改进阶段
a) 应在运维过程和监视过程中识别改进项目，制定持续改进计划，包括但不限于对改进机会的评估标准。
b) 应有文件化的程序，用以识别、记录、批准、评估、测量和报告改进措施。
c) 应采取预防措施，以消除潜在的不符合项的原因，以防止其发生。
F2 二级要求
组织申报二级资质，除满足三级资质的所有条件外，还需满足以下要求。
F2.1运维服务准备阶段
F2.1.1需求调研与分析
a) 根据评估目标和范围，对安全运维对象中包含的信息系统，组织的资产进行分类。
b) 识别与分析信息系统运维过程中的历史数据，提出系统运维的保障策略和解决方案。
c) 分析客户对信息系统安全服务的需求和类型。
d) 收集与分析信息系统的可用性指标，明确可用性指标的类型。
e) 分析以往服务的数据，提取出来未来可自动化的服务。
F2.1.2运维服务设计
a) 对信息安全事件进行统计与分析；
b) 编写安全运维服务目录，包括但不限于：运维监控与分析、终端安全监控、合规性运维。
c) 建立信息系统安全运维的问题管理程序。
d) 建立知识管理程序及初步形成知识库。
e) 编制信息系统的可用性计划，监控可用性事件，报告可用性执行，指导可用性的改进。
f) 形成信息安全管理的组织架构，组织结构的构成要素与安全运维活动角色相对应。
F2.1.3运维服务导入
采用流程化管理方法，基于安全事件处理流程、安全培训服务流程、渗透测试流程进行标准化的信息系统安全运维工作。

F2.1.4明确服务协议特殊要求
a) 建立信息系统安全主动管理机制；
b) 签订信息系统安全运维服务级别协议，承诺信息系统核心指标。
c) 建立问题管理程序。
d) 建立信息系统安全的配置库及关联关系信息。
F2.2运维服务实施阶段
a) 实施运维监控与分析并形成记录。
b) 进行合规性运维。

F2.3运维监视评审阶段
F2.3.1内审
按照计划的时间间隔执行内部审核，满足既定标准要求、安全运维服务需求和客户所提出的SMS
要求，并有效实施和维护。
F2.3.2管理评审
a) 定期回顾安全运维服务，确保其持续适用和有效。
b) 管理评审输入至少包括但不限于：客户反馈、服务和流程的执行情况和符合性、当前和预测资源水平、纠正措施的进展情况、可能影响安全运维服务的变更、改进机会。
F2.4运维持续改进阶段
a) 改进机会应划分优先级，策划被批准的改进机会。
b) 改进活动应进行管理，包括但不限于：设定改进目标、确保批准的改进活动被实施、报告被实施的改进计划。

F3一级要求
组织申报一级资质，除满足二级资质的所有条件外，还需满足以下要求。
F3.1运维服务准备阶段
a) 内部团队之间的安全运营级别协议应和与安全运维第三方之间的的服务级别设计保持一致。
b) 安全组织中要设定安全领导小组；在采用外包模式的情况下，执行组还应包含安全运维服务供应商参与运维的人员。
c) 采用基于PDCA的管理模型，从策划，实施，监视与评审和持续改进进行体系化的信息系统安全运维服务。
d) 建立安全运维可视化视图。
F3.1.1需求调研与分析
a) 基于信息系统安全的生命周期，建立信息系统安全运维的整体策略。
b) 基于客户、业务的价值体现，形成安全运维的整体视图。
F3.1.2运维服务设计
a) 编制安全运维项目作业指导书。
b) 建设实施过程中应关注信息系统的功能、性能和安全性方面要求。
c) 改造过程中应制定测试计划及回退措施。
d) 编写安全运维服务目录，包括但不限于：安全通告及漏洞分析、应急响应服务。
F3.1.3运维服务导入
a) 基于渗透测试流程管理进行标准化的信息系统安全运维工作。
b) 编制信息安全产品和工具定制开发计划。
F3.1.4明确服务协议的特殊要求
a) 建立信息系统安全运维服务级别管理程序，签订服务级别协议。
b) 建立信息系统应急事件响应机制和恢复保障。
c) 对客户满意度进行趋势分析。
d) 建立应急响应和灾难恢复机制，形成业务连续性计划。
F3.2运维服务实施阶段
a) 实施安全通告及漏洞分析服务：完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告
b) 实施应急响应服务：制定应急响应预案，对应急事件及时响应，并对应急进行演练，形成相关记录
c) 建立运维变更管理程序，对运维实施过程中方案、资源变更进行有效控制，完整记录变更过程。
d) 制定运维应急处置方案和恢复策略，对运维过程中的应急事件及时进行响应。
F3.3运维监视评审阶段
a) 形成体系化的审核机制及企业文化。
b) 体系化的服务监视管理，形成审核机制。
c) 定期评审客户对安全运维服务的满意度。
F3.4运维持续改进阶段
a) 持续服务改进，形成持续服务改进文化和意识。
b) 基于运维服务的缺陷，提出改进策略和方案。
c) 分析运维服务的数据并进行服务预测。

★CCRC认证知识★---★安全集成服务资质认证程序★

6. 认证程序

6.1.   自评估

组织在中国信息安全认证中心网站下载《信息安全服务自评估表》，并实施自主评估。

6.2.   认证申请

组织依据信息安全服务资质认证程序、认证实施规则中相关要求，确定申请服务资质类别，并

填写《信息安全服务资质认证申请书》。

组织向中国信息安全认证中心或其指定机构提交《信息安全服务资质认证申请书》、《信息安

全服务自评估表》及相关证明材料。

6.3.   申请材料评审

中心依据认证程序和相关标准要求，对申请组织提交的认证相关材料进行评审，并确定申报级

别和资质类别，签订认证合同。

6.4.   现场评审

认证机构组成评审组，依据相关标准和评审要求，到申请组织现场进行评审，并出具现场评审

报告。特别，对申请一级资质认证的组织，必要时选择申请组织的客户进行项目实施现场见证。

6.5.   认证决定

认证决定委员会由3名以上（含3名）奇数认证决定人员组成，做出认证决定。

6.6.   证书颁发

对于符合认证要求的申请组织，颁发认证证书，并予以公示。

6.7.   证后监督

6.7.1. 证后监督频次和方式

对获证组织实施监督，每年度（不超过12个月）进行一次监督评审。

当获证组织发生重大变更、事故或客户投诉时，可增加现场监督评审的频次。

★重庆ITSS认证★重庆CS认证★重庆CCRC认证★重庆CMMI认证★重庆ISO27001认证★重庆军标认证★重庆保密认证★重庆CCCF认证★重庆特种设备许可证★重庆LA认证★重庆CNAS认证★重庆CMA认证★ 重庆两化融合认证★