信息系統(tǒng)安全運維服務資質認證自評估表

1、信息系統(tǒng)安全運維服務資質認證自評估表組織名稱申報級別評估時間評估部門 /人員序 號要點條款需提供證明材料自評估結論證明材料清單符 合不 符 合1.采集客戶對信息系統(tǒng)運維服務時間的需 求。運維前的客戶需求調(diào)查報告， 可結合結合 業(yè)務部門，公司高層的戰(zhàn)略規(guī)劃，容必須 有服務時間要求。2.進行信息系統(tǒng)運維預算， 定義運維服務。運維前的信息系統(tǒng)運維預算表 ,容應包括 工作量、 人力資源項目經(jīng)費、 項目節(jié)點等。3.準備階段 需求調(diào)研與 分析與客戶進行溝通，達成共識并形成記錄。運維前與客戶溝通的記錄， 應有溝通結果 雙方達成共識的體現(xiàn)。4.僅二級要求： 識別與分析信息系統(tǒng)運維 過程中的歷史數(shù)據(jù)，提出系統(tǒng)運

2、維的保 障策略和解決方案。信息系統(tǒng)運維過程中的歷史數(shù)據(jù)清單； 歷史數(shù)據(jù)清單的分析報告， 容包含指標完 成情況、違例操作、重大事件、重大（失 敗）變更等。 根據(jù)報告的分析制定的運維策略， 及實施方案；僅二級要求： 分析客戶對信息系統(tǒng)安全 服務的需求和類型。客戶需求調(diào)查報告， 包含信息系統(tǒng)安全服 務的需求和類型；5.僅二級要求： 收集與分析信息系統(tǒng)的可 用性指標，明確可用性指標的類型。信息系統(tǒng)的可用性指標清單， 如整體指標 或單系統(tǒng)指標等；6.僅二級要求： 分析以往服務的數(shù)據(jù)，提 取出來未來可自動化的服務。以往提供服務的解決方案， 對生產(chǎn)的影響 的分析報告； 根據(jù)以往安全事件的解決效率進行分析，

3、適宜時提出來未來可自動化的服務。7.僅一級要求： 部團隊之間的安全運營級 別協(xié)議應和與安全運維第三方之間的的 服務級別設計保持一致。服務級別設計、安全運營級別協(xié)議，兩者應保持一致。8.僅一級要求： 安全組織中要設定安全領 導小組；在采用外包模式的情況下，執(zhí) 行組還應包含安全運維服務供應商參與 運維的人員。安全組織架構圖及相關運維人員清單， 其 中應有安全領導小組；外包模式的執(zhí)行組中應有第三方參與運 維的人員。9.僅一級要求： 采用基于 PDCA的管理模 型，從策劃，實施，監(jiān)視與評審和持續(xù) 改進進行體系化的信息系統(tǒng)安全運維服 務。信息系統(tǒng)安全運維服務有策劃，實施，監(jiān) 視與評審和持續(xù)改進流程。10

4、.僅一級要求： 建立安全運維可視化視 圖?；谛畔⑾到y(tǒng)安全的生命周期，建 立信息系統(tǒng)安全運維的整體策略?；?客戶、業(yè)務的價值體現(xiàn)，形成安全運維 的整體視圖。安全運維項目施工手冊和作業(yè)指導書； 新建系統(tǒng)， 建設實施過程應重點關注信息 系統(tǒng)的功能、性能和安全性等方面要求， 應保留與客戶的需求分析記錄； 系統(tǒng)改造中考慮造前技術測試驗證及在 實施失敗后的回退措施； 測試驗證中對舊系統(tǒng)的兼容問題， 包括網(wǎng) 絡兼容、系統(tǒng)兼容、應用兼容等，有驗證 報告。11.準備階段 運維服務設 計制定安全運維服務目錄，目錄容包括但 不限于：初始服務、安全設備運維、日 常巡檢服務、 健康檢查、 安全事件審計。安全運維服務

5、目錄，容包含條款要求。12.信息系統(tǒng)相關的 IT 資產(chǎn)進行識別。IT 資產(chǎn)識別清單，容有 IT 資產(chǎn)識別的標 識、分級、保護和軟件配置建立基礎資料 檔案； 有設備和系統(tǒng)的種類、型號、功能、物理 位置、端口對應情況、部署情況等資產(chǎn)詳 細信息。13.對安全設備進行日常維護及監(jiān)控，并記 錄硬件故障。安全設備的日常維護，狀態(tài)檢查，定期查 殺，故障處理、保養(yǎng)、更新、升級、故障 檢測及排除， 并對安全設備出現(xiàn)的硬件故 障進行統(tǒng)計的記錄。14.提供安全設備、業(yè)務系統(tǒng)的健康檢查服 務，并約定服務方式、檢查頻次和檢查 容。有安全運維服務使用者約定的服務方式 （現(xiàn)場檢查，遠程檢查） 、檢查頻次和檢 查的文件記錄。

6、15.采集系統(tǒng)配置、流量信息、系統(tǒng)狀態(tài)等安全信息。安全設備、業(yè)務系統(tǒng)的健康檢查服務，應 與安全運維服務使用者約定的服務方式 （現(xiàn)場檢查，遠程檢查） 、檢查頻次和檢 查的文件的記錄。16.收集與分析網(wǎng)絡及安全設備、服務器、 操作系統(tǒng)、網(wǎng)絡應用的日志。有對網(wǎng)絡及安全設備日志，服務器、操作 系統(tǒng)等日志， 網(wǎng)絡應用日志的記錄與分析 報告。17.僅二級要求： 對信息安全事件進行統(tǒng)計 與分析。信息安全事件的統(tǒng)計表，分析報告； 信息系統(tǒng)的可用性事件、計劃、報告； 安全運維角色清單。18.僅二級要求： 編寫安全運維服務目錄， 目錄容包括但不限于： 運維監(jiān)控與分析、 終端安全監(jiān)控、等級保護合規(guī)性運維。安全運維服

7、務目錄， 容應包含有條款的要 求。19.僅二級要求： 建立信息系統(tǒng)安全運維的 問題管理程序。信息系統(tǒng)問題管理程序，已審批并發(fā)布。20.僅二級要求： 建立知識管理程序及初步 形成知識庫。知識管理程序，已審批并發(fā)布。21.僅二級要求： 編制信息系統(tǒng)的可用性計 劃， 監(jiān)控可用性事件， 報告可用性執(zhí)行， 指導可用性的改進。信息系統(tǒng)的可用性事件、計劃、報告。22.僅二級要求： 形成信息安全管理的組織 架構，組織結構的構成要素與安全運維 活動角色相對應。信息安全管理的組織架構表， 安全運維角 色清單，應與組織的構成要素對應。23.僅一級要求： 編制安全運維項目作業(yè)指 導書。安全運維項目中各模塊作業(yè)指導書。

8、24.僅一級要求： 建設實施過程中應關注信 息系統(tǒng)的功能、 性能和安全性方面要求。 改造過程中應制定測試計劃及回退措 施。有改造過程中的信息系統(tǒng)的測試計劃； 有信息系統(tǒng)的基線、回退的措施文件。25.僅一級要求： 編寫安全運維服務目錄， 目錄容包括但不限于：安全通告及漏洞 分析、應急響應服務。安全運維服務目錄，容有條款要求的服 務。26.準備階段 運維服務導 入收集與建立配置管理數(shù)據(jù)庫，確保配置 項目的性、完整性、可用性。完整的配置數(shù)據(jù)庫， 能初步收集資產(chǎn)與配 置項，并確保配置項目的性、完整性、可 用性。27.專業(yè)人員負責安全管理的接口。完整的配置數(shù)據(jù)庫， 能初步收集資產(chǎn)與配 置項，并確保配置項

9、目的性、完整性、可 用性。28.建立服務目錄。安全運維服務目錄。29.建立事件響應和解決的機制 , 有基本的 安全運維報告模式。安全事件處理與應急響應流程， 安全事件 處理與上報流程。30.僅二級要求： 采用流程化管理方法，基 于安全事件處理流程、安全培訓服務流 程、滲透測試流程進行標準化的信息系 統(tǒng)安全運維工作。滲透測試的計劃和記錄； 建立安全事件處理流程， 安全培訓服務流 程，滲透測試的流程。31.僅一級要求： 基于滲透測試流程管理進 行標準化的信息系統(tǒng)安全運維工作。運維過程中的滲透測試的計劃和記錄。32.僅一級要求： 編制信息安全產(chǎn)品和工具 定制開發(fā)計劃。信息安全產(chǎn)品和工具定制開發(fā)計劃，

10、 容可 以應客戶要求或組織自身的能力。33.明確安全事件處理與應急響應流程，流 程包括但不限于：安全事件的分類、安 全事件上報流程、安全事件處理流程、 安全事件的事后處理。建立安全事件處理流程，應急響應流程，容應包括條款要求；34.明確安全運維的方式，方式包括但不限 于：駐場值守方式，定期巡檢方式，遠 程值守方式。服務級別協(xié)議協(xié)議， 其中容包括運維的方 式。35.僅二級要求： 簽訂服務級別協(xié)議 , 建立 信息系統(tǒng)應急事件響應機制和恢復保 障。服務級別協(xié)議， 容包括承諾信息系統(tǒng)核心 指標； 應急響應計劃、系統(tǒng)恢復計劃。36.準備階段僅二級要求： 建立問題管理程序。信息系統(tǒng)的問題管理程序，已審批并

11、發(fā) 布。37.服務協(xié)議的特殊要求僅二級要求： 建立信息系統(tǒng)安全的配置 庫及關聯(lián)關系信息。配置庫，系統(tǒng)安全配置項之間有關聯(lián)信 息。38.僅一級要求： 建立信息系統(tǒng)安全運維服務級別管理程序，簽訂服務級別協(xié)議。有已通過審核并發(fā)布的信息系統(tǒng)安全運 維服務級別管理程序； 查看客戶有服務級別協(xié)議。39.僅一級要求： 建立信息系統(tǒng)應急事件響 應機制和恢復保障。應急響應計劃、系統(tǒng)恢復計劃的演練記錄；40.僅一級要求： 對客戶滿意度進行趨勢分 析?？蛻魸M意度調(diào)查報告與趨勢分析報告；41.僅一級要求： 建立應急響應和災難恢復 機制，形成業(yè)務連續(xù)性計劃。發(fā)布且通過審批的業(yè)務連續(xù)性計劃。42.服務實施階 段實施初始服

12、務：完成資產(chǎn)識別，定期配 置項的更新和維護， 實施相關運維流程。資產(chǎn)識別表，對配置項的更新和維護記 錄，實施相關運維流程的記錄。43.實施安全設備運維服務： 完成日常維護， 狀態(tài)檢查，定期查殺，故障處理、保養(yǎng)、 更新、升級、故障檢測及排除，并對安 全設備出現(xiàn)的硬件故障進行統(tǒng)計記錄。日常維護，巡檢、狀態(tài)檢查，定期查殺， 故障處理、保養(yǎng)、更新、升級、故障檢測 及排除的記錄；44.實施日常巡檢服務： 完成安全設備監(jiān)控； 病毒監(jiān)測、查殺及網(wǎng)絡防病毒維護，并 有相關記錄。信息安全事件審計報告， 如網(wǎng)絡及安全設 備日志、服務器、操作系統(tǒng)、網(wǎng)絡應用的 日志；45.實施健康檢查服務：完成安全設備、業(yè) 務系統(tǒng)的

13、健康檢查服務。安全設備、業(yè)務系統(tǒng)的健康檢查服務，主 要工作針對于設備的可用性、持續(xù)性，并 提供相應服務記錄。46.實施安全事件審計服務：完成網(wǎng)絡及安 全設備日志、服務器、操作系統(tǒng)、網(wǎng)絡 應用的日志、并且進行記錄。實施安全事件審計服務， 容包含條款中的 要求。47.組建運維服務臺職能，培養(yǎng)服務臺人員的專業(yè)能力。建立服務臺； 提供服務臺人員的培訓記錄。48.建立事件管理程序和信息安全服務請求管理程序。事件管理程序，已審批并發(fā)布； 服務請求管理程序，已審批并發(fā)布。49.僅二級要求： 實施運維監(jiān)控與分析并形 成記錄。運維監(jiān)控分析報告， 容以數(shù)據(jù)來分析各個 指標的趨勢。50.僅二級要求： 進行等級保護合

14、規(guī)性運 維。針對信息系統(tǒng)安全建立保護等級；對信息系統(tǒng)分級的標準；51.僅二級要求： 實施安全通告及漏洞分析服務：完成業(yè)界動態(tài)的通告、收集國家 安全政策及法律法規(guī)、漏洞通告、病毒 通告、廠商安全通告及其他安全通告。通告與漏洞分析記錄， 容為業(yè)界動態(tài)的通 告、收集國家安全政策及法律法規(guī)、漏洞 通告、病毒通告、廠商安全通告及其他安 全通告，并生成分析報告。52.僅二級要求： 實施應急響應服務：完成應急響應預案制定，對應急事件及時響 應，并對應急進行演練，形成相關記錄通告與漏洞分析記錄； 應急響應服預案，應急演練的記錄； 變更管理程序，已審批并發(fā)布； 運維過程中的變更記錄單。53.僅一級要求： 建立運

15、維變更管理程序， 對運維實施過程中方案、資源變更進行 有效控制，完整記錄變更過程。針對運維有審批并發(fā)布的變更管理程序； 運維過程中的變更應有響應的變更記錄。僅一級要求： 制定運維應急處置方案和 恢復策略，對運維過程中的應急事件及 時進行響應。有已審批并發(fā)布的應急處置方案和恢復 策略；運維過程中的響應時間是否達到方案要 求。54.監(jiān)視評審階段應定期收集與分析安全運維報告的數(shù) 據(jù)，包括但不限于：異常報告及時率、 異常漏報率、維護作業(yè)計劃的及時完成 率、 故障隱患發(fā)現(xiàn)率、 異常主動發(fā)現(xiàn)率、 問題解決率、漏洞掃描覆蓋率、加固設 備覆蓋率、安全補丁安裝及時率、安全 事件次數(shù)。運維數(shù)據(jù)收集記錄， 容應包含

16、條款中的要 求。55.對運維實現(xiàn)情況進行監(jiān)視測量，未能實 現(xiàn)的目標應采取糾正預防措施。安全運維實現(xiàn)情況監(jiān)視測量清單， 如客戶 滿意度、投訴建議、 KPI等； 糾正預防措施記錄單。56.建立與分析客戶滿意度調(diào)查?？蛻魸M意度調(diào)查報告， 容應包括對滿意度 分析。57.僅二級要求： 按照計劃的時間間隔執(zhí)行 部審核， 應至少滿足： 既定標準的要求、 滿足安全運維服務需求和客戶所提出的 SMS要求、 有效被實施和維護。部審核的響應文件與記錄； 管理評審的響應文件與記錄， 容應包含服 務和流程的執(zhí)行情況和符合性；58.僅二級要求： 定期回顧安全運維服務， 確保其持續(xù)適用和有效。管理評審的輸 入至少包括：客戶

17、反饋、服務和流程的 執(zhí)行情況和符合性、當前和預測資源水 平、糾正措施的進展情況、可能影響安 全運維服務的變更、改進的機會。當前和預測資源水平； 糾正措施的進展情況； 可能影響安全運維服務的變更； 改進的機會，如指標為滿足、運維中存在 的問題、服務提升點等。59.僅一級要求： 形成體系化的審核機制及 企業(yè)文化。部審核機制形成體系，表現(xiàn)形式如：體系 文件、 PDCA流程、第三方認證等； 建立服務監(jiān)視管理流程60.僅一級要求： 體系化的服務監(jiān)視管理， 形成審核機制。61.僅一級要求： 定期評審客戶對安全運維 服務的滿意度?？蛻魸M意度調(diào)查表，包括：定期評審、主動回訪等。62.安全運維運 維持續(xù)改 進應

18、在運維過程和監(jiān)視過程中識別改進項 目，制定持續(xù)改進計劃，計劃應包括對 改進機會的評估標準。安全運維持續(xù)改進計劃； 查看改進計劃的評估標準。 包括：識別過程、記錄過程、是否有批準 過程、評估、測量和適合的報告機制。63.應有文件化的程序用以識別、記錄、批 準、評估、測量和報告改進措施。64.應采取預防措施，以消除潛在的不符合 項的原因，以防止其發(fā)生。安全運維預防措施文件， 及其有效性驗證 的記錄。65.僅二級要求： 改進機會應劃分優(yōu)先級， 策劃被批準的改進機會。改進機會分析報告，及其批準證據(jù)； 優(yōu)先級排序的方式不限，但應有合理性。66.僅二級要求： 改進活動應進行管理，至 少包括： 設定改進目標、 確保批準的改 進活動被實施、 報告被實施的改進計劃。改進活動的計劃、 實施、有效性測量記錄； 容包括設定改進目標、 確保批準的改進活 動被實施、報告被實施的改進計劃。67.僅一級要求： 持續(xù)服務改進，形成持續(xù) 服務改進文化和意識。有服務改進的意識以培訓， 宣貫的方式傳 達到員工，有相應的記錄。68.僅一級要求： 基于運維服務的缺陷，提 出改進策略和方案。對運維的重大事