《信息安全服务资质认证自评估表-管理.doc》由会员分享,可在线阅读,更多相关《信息安全服务资质认证自评估表-管理.doc(7页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、ISCCC-QOT-0457-B/1 信息安全服务资质认证自评估表-管理信息安全服务资质认证自评估表-管理填表说明:该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。组织名称服务类别/级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.财务资信要求近3年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事务所出具的近3年财务审计报告。财务审计报告或(仅限于三级)加盖本单位出具的财务报表(近3年)。2.办公场所要求拥有长期固定办公场所和
2、相适应的办公条件,能够满足机构设置及其业务需要。房屋产权证或租房屋赁合同;产权人/出租人、地址、面积、租期。3.人员素质与资质要求三级/二级/一级分别要求:组织负责人拥有2/3/4年以上信息技术领域管理经历。组织负责人简历及资质证书,包括姓名、年龄、职务、职称、学历、工作经历、资质证书。4.三级/二级/一级分别要求:技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信息安全技术工作2/5/8年以上。技术负责人简历及资质证书,包括姓名、年龄、职务、职称、学历、工作经历、资质证书。5.三级/二级/一级分别要求:财务负责人具有财务系列初级/中级/高级或取得中级8年以上职称。
3、财务负责人简历及资质证书,包括姓名、年龄、职务、职称、学历、工作经历、资质证书。6.三级/二级/一级分别要求:从事信息安全服务人员10/30/50名以上。信息安全服务人员清单,养老保险证明或劳动合同。7.三级/二级/一级分别要求:拥有信息安全专业认证(与申报类别一致)人员2/6/10名以上。信息安全专业保障人员认证证书(与申报类别一致)。8.三级/二级/一级分别要求:拥有项目管理资格证书人员1/2/5名以上。项目经理资格证书,包括PMP、IPMP、项目经理证等。9.技术工具要求仅二级/一级要求:具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。介绍信息安全服务的测试环境,包括主要
4、设备设施清单、建设时间、规模、承担业务、培训内容等。10.技术工具要求仅二级要求:具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版本控制。用于信息安全服务的主要软、硬件工具清单;工具管理程序和要求;有自主开发产品或工具,并在安全服务项目中实际应用,需详细介绍,提供产品销售许可证或软件著作权证书。11.仅一级要求:具备承担信息安全服务(与申报类别一致)项目所需的安全工具,如漏洞扫描工具、渗透测试工具、协议分析仪等。12.业绩要求三级/二级/一级分别要求:从事信息安全服务(与申报类别一致)至少1年/3年或取得三级1年以上/5年。提供首个信息安全服务(与申报类别一致)项
5、目合同,其中包括但不限于项目名称、合同签订时间、项目验收时间。13.三级/二级/一级分别要求:近3年内签订并完成至少1/6/10个信息安全服务(与申报类别一致)项目。信息安全服务项目(与申报类别一致)合同及验收报告,项目清单包括但不限于项目名称、合同金额、签订时间、验收时间、项目数量、服务内容等,提交申请书时间为截止时间。14.服务管理要求遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。遵循国家法律法规、标准要求,无违法违规记录,资信状况良好承诺书。15.仅二级要求:参照国际或国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并有效运行。质量管理体系文件及运行记录,包括但不限
6、于质量管理体系手册、文件控制程序、记录控制程序、纠正与预防控制程序、内审与管评控制程序、安全服务工作控制程序;范围覆盖与申报类别一致的信息安全服务。16.服务管理要求仅一级要求:参照国际、国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并提供有效运行的相关证明。质量管理体系认证证书,包括但不限于证书编号、认证范围、颁证日期、有效期,范围覆盖与申报类别一致的信息安全服务。17.仅二级要求:参照国际或国家标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系,并有效运行。申请组织的信息安全管理体系或信息技术服务管理体系文件,包括但不限于范围方针文件、文件控制程序、记录控制
7、程序、纠正与预防控制程序、内审与管评控制程序、风险管理程序、适用性声明及相应的控制措施文件(适用于27001)或服务等级管理程序、事件管理程序、问题管理程序、变更和发布管理程序、配置管理程序(适用于20000)。范围覆盖与申报类别一致的信息安全服务。18.仅一级要求:参照国际、国家标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系,并提供有效运行的相关证明。信息安全管理或信息技术服务管理体系认证证书,包括证书编号、认证范围、颁证日期、有效期,范围覆盖与申报类别一致的信息安全服务。19.建立人员管理程序和能力考核指标;制定业务和技能培训计划,定期对相关人员开展培训和考核。
8、人员管理程序,明确岗位职责,人员任前、中、后的监督、考核、评价、奖惩方式,信息安全服务相关技术岗位的能力指标。人员培训制度(可并入人员管理制度),明确培训需求、计划、实施和记录要求,以及对应的记录模板。20.服务管理要求建立文档控制程序,明确文档管理职责,任命管理人员,确保项目文档资料妥善保管。文档控制程序,范围包括但不限于管理文档、项目文档、控制方式(起草、审批、修改、发布、销毁、归档、借阅、外来文件管理)。项目文档管理人员职责。21.建立项目管理制度,并按照制度执行。建立项目管理制度,制度中包括项目管理贯穿项目从立项到结项的整个过程,包括项目风险管理等。22.提供资源,确保信息安全服务项目
9、的实施。提供项目过程文档、项目组人员清单。23.服务合同要求了解客户及所处的行业对信息安全服务的特定要求。提供针对具体项目的调研内容,包括对客户所处行业情况和相关要求。24.确定信息安全服务范围。提供的信息安全服务项目(与申报类别一致)合同/协议中明确了具体范围。25.应签订信息安全服务合同或协议。提供信息安全服务项目(与申报类别一致)合同/协议。26.仅二级/一级要求:合同应明确信息安全服务的行为规范。提供信息安全服务项目(与申报类别一致)合同/协议,其中需明确针对信息安全服务的行为规范。27.仅一级要求:合同应明确信息安全服务的安全要求。提供信息安全服务项目(与申报类别一致)合同/协议,其
10、中需明确服务安全要求。28.服务安全要求满足与客户签订服务合同中的安全要求。项目验收证明或验收报告,客户满意度调查、客户反馈信息记录等。29.满足法律法规对服务安全的要求。与客户签订合同(模板)中包含保障服务安全的相应条款和要求。30.制定保密管理制度,明确岗位保密责任。保密管理制度,包括但不限于保密范围(至少包含公司人员和客户信息)、保密方式、保密时效、保密责任主体、罚则。31.按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。与客户签订合同(模板)中对保护客户敏感信息和知识产权的相关条款和要求。32.与相关人员签订保密协议,并进行保密教育。公
11、司与管理、技术及具体项目人员签订的保密协议。33.确保其供应商满足上述服务安全要求。供应商管理要求,包括供应商遴选、管理与考核措施;提供供应商名录,考核记录。34.服务技术要求建立信息安全服务(与申报类别一致)流程。按照相关标准建立申报的服务类别流程(申报多类需要制定相对应的服务流程)。流程图中应包括每个阶段对应的职责、输入输出等。35.制定信息安全服务(与申报类别一致)规范并按照规范实施。制定与申报的信息安全服务类别规范并按照规范实施(申报多类需要制定相对应的服务规范)。36.申请一级资质条件取得信息安全服务(与申报类别一致)二级资质1年以上。信息安全服务(与申报类别一致)二级资质证书。37.以下内容适用于年度监督38.业绩情况业绩情况近一年业务发展情况,签订、完成的项目数量及情况,项目经验及教训等。39.组织变更情况组织变更情况组织变更情况,包括法人、资本注册、股东变更、组织负责人、服务负责人、组织架构等变化情况。40.证书及标志使用情况证书及标志使用情况证书及标志使用情况41.证书及标志使用情况客户投诉制度建设,投诉及处理情况客户投诉情况,包括客户投诉制度,投诉及处理情况。中国信息安全认证中心 制 第 7 页 共 7 页
黑公网安备:91230400333293403D