资质运维安全服务信息系统官网/运维资质证书-新手网络安全自学

资质运维安全服务信息系统官网/运维资质证书-新手网络安全自学

信息系统安全运维服务资质认证自评估表组织名称申报级别评估时间评估部门/人员序 号要点条款需提供证明材料自评估 结论证明材料清单符 合不 符 合1.2.服务技术 要求建立信息系统安全运维服务流程。信息系统安全运维服务流程，流程图中应 包括每个阶段对应的职责、输入输出等。制定信息系统安全运维服务规范并按 照规范实施。信息系统安全运维服务规范并按照规范 实施。3.4.5.准备阶段 ■需求调 研与分析调研客户信息系统安全现状，采集客 户安全服务需求与目标，明确客户对 信息系统安全运维服务吋间、服务期 限、服务内容以及服务方式的需求。针对客户的调研报告，其中包括对信息系 统安全运维服务时间、服务期限、服务内 容以及服务方式的需求调研结果。进行信息系统运维预算，定义运维服 务。信息系统安全运维预算，其中包括运维服 务内容、每项服务的工作量、每项服务的 人力资源项目经费等。与客户进行沟通，达成共识并形成记 录。与客户沟通形成的记录，内容应有对运维 服务项目达成共识的体现。序 号要点条款需提供证明材料自评估 结论证明材料清单符 合不 符 合6.仅二级/一级要求：分析客户对信息系 统安全服务的需求和类型。

对客户进行调查的记录，内容中应有信息 系统安全服务的需求和类型，如应用安 全：应用系统安全测试、安全监控、安全 事件应急等。7.仅一级/ 一级要求：收集与分析信息系 统的可用性指标。所运维信息系统的可用性指标，如整体指 标或单系统指标等。8.仅一级/一级要求：分析以往服务的数 据，提取出来未来可自动化的服务。（监审时适用）运维服务报告，其屮应对以往安全服务的 总结与安全事件的解决效率进行分析，提 出未来可自动化的服务。9.仅一级要求：内部团队之间的安全运 营级别协议应和与安全运维第三方之 间的服务级别设计保持一致。服务级别协议小，安全运维第三方Z间的 服务级别设计与内部团队之间的安全运 营级别协议应一致。10.仅一级要求：安全组织中要设定安全 领导小组。安全组织架构图，其屮应有安全领导小 组。11.准备阶段 —签订服与客户签订服务协议，明确范围、目 标、时间、内容、金额、质量和输出 等。项目合同及保密协议，合同内容应至少包 含服务范围、目标、时间、内容、金额、 质暈和输出等。12.务协议明确安全运维的方式，方式包括但不 限于：驻场值守方式，定期巡检方式， 远程值守方式。项冃合同/协议中应有明确的安全运维模 式。

自评估 结论序 号要点条款需提供证明材料符 合不 符 合证明材料清单13.仅二级/一级要求：签订服务级别协 议。与客户签订的服务级别协议，协议中应承 诺信息系统核心指标，如：可用性、安全 事件解决率等。14.根据系统安全运维需求，编制安全运 维服务方案，明确安全运维服务时间、 服务内容、服务方式、服务期限、服 务人员、服务交付物、服务质量管理、 服务沟通机制、服务风险管理等方面 要求。项目服务方案，内容应包括条款要求。15.方案设计 阶段提供安全设备、业务系统的健康检查 服务，并约定服务方式、检查频次和 检查内容。安全设备、业务系统的健康检查服务记 录，应与安全运维服务使用者约定的服务 方式（现场检查，远程检查）、检查频次 和检查内容一致，健康检查服务重点关注 安全设备、业务系统的可靠性（设备或者 系统在一定条件、一定时间下完成一定任 务稳定运行的概率）、可用性。16.专业人员负责安全管理的接口。运维项目中由高层指定的、负责安全管理 接口的运维管理人员信息。17.仅二级/一级要求：编制信息系统的可 用性计划，监控可用性事件，报告可 用性执行，指导可用性的改进。信息系统可用性计划；信息系统可用性事 件记录；信息系统可用性执行报告、改进 报告。

自评估 结论序 号要点条款需提供证明材料符 合不 符 合证明材料清单18.仅二级/ 一级要求：识别与分析信息系 统运维过程中的历史数据，提出系统 运维的保障策略和解决方案。（监审 时适用信息系统运维过程中的分析报告，主要分 析项目应有：历史数据清单的分析报告， 内容包含运维完成情况、重大事件、重大（失败）变更等；基于以往运维数据分析 结果提出的新的运维策略及解决方案。19.仅二级/一级要求：编制信息系统的安 全基线。信息系统安全基线。20.仅二级要求：建立信息系统安全的配 置库。配置库信息，其屮应纳入信息系统安全涉 及的配置项，如安全设备的配置项有安全 策略、管理员账户、IP等。21.仅一级要求：建立信息系统应急事件 响应机制和恢复保障。信息系统的应急响应计划和恢复计划。22.仅一级要求：编制安全运维项目作业 指导书。安全运维作业指导书，例如：配置核查操 作手册、常见安全事件处理指南等。23.仅一级要求：建立应急响应和灾难恢 复机制，形成业务连续性计划。发布且通过审批的业务连续性计划。24.仅一级要求：基于漏洞发现与分析进 行信息系统漏洞的管理工作。漏洞管理的方案、流程。序 号要点条款需提供证明材料自评估 结论证明材料清单符 合不 符 合25.实施初始服务：完成资产识别。

资产识别表，为IT资产的标识、分级、保 护和软件配置建立基础资料档案；有设备 和系统的种类、型号、功能、物理位置、 端口对应情况、部署情况等资产详细信 息。26.采集信息系统重要资产的安全配置、 流量信息等安全信息。对组织信息系统的安全配置、流量信息等 安全信息进行定期记录。27.运维服务 实施对安全设备进行日常维护及监控，并 记录硬件故障。安全设备的日常维护记录，包括状态检 查、更新、升级、故障检测及排除、对安 全设备出现的硬件故障进行统计的记录。2收集与分析网络及安全设备、服务器、 数据库、中间件、应用系统的日志。进行安全事件审计，应有对网络及安全设 备、服务器、数据库、中间件、应用系统 日志的保存记录与审计分析报告。29.实施日常巡检服务：对用户的安全设 备、网络设备、服务器提供业务操作 巡检、状态巡检、安全策略配置巡检 服务。日常巡检记录，主要针对条款要求内容。30.实施日常安全运维服务：完成安全设 备、网络设备、服务器、应用系统安 全事件监控；病毒监测、查杀及网络 防病毒维护；漏洞扫描、安全加固、 补丁安装；并有相关记录。日常安全运维服务记录，主要针对条款要 求内容。序 号要点条款需提供证明材料自评估结论证明材料清单符 合不 符 合31.对信息安全事件进行统计与分析。

信息安全事件的统计表，分析报告。32.实施健康检查服务：完成安全设备、 业务系统的健康检查服务。安全设备、业务系统的健康检查服务记 录，主要关注可靠性、可用性、持续性等。33.仅一级/一级要求：收集与建立配置管 理数据库，确保配置项目的机密性、 完整性、可用性（专职管理）。配置数据库，应能初步收集资产与配置 项，并确保配置项目的机密性、完整性、 可用性（专职管理），如安全设备的配置 项有安全策略、管理员账户、IP等。34.仅二级/一级要求：实施安全设备、网 络设备、中间件、数据库、服务器等 资产的安全配置管理，定期对配置项 进行更新和维护。配置项的更新和维护记录。35.仅二级/一级要求：根据制定的安全配 置基线，定期进行安全配置核查工作。安全配置核查记录。36.仅级/一级要求：实施运维监控与分 析并形成记录。对各类安全事件的集中管理和分析记录。37.仅一级要求：实施安全培训服务：完 成安全意识、基本安全技术的培训服 务。安全培训服务记录。38.仅一级要求：实施安全通告及漏洞分 析服务：完成业界动态的通告、收集 国家安全政策及法律法规、漏洞通告、通告与漏洞分析记录，内容为业界动态的 通告、收集国家安全政策及法律法规、漏 洞通告、病毒通告、厂商安全通告及其他序 号要点条款需提供证明材料自评估 结论证明材料清单符 合不 符 合病毒通告、厂商安全通告及其他安全 通告。

安全通告，以及基于通告进行的分析。39.仅一级要求：实施应急响应服务：完 成应急响应预案制定，对应急事件及 时响应，并对应急预案进行演练，形 成相关记录。应急响应记录；应急响应预案，应急演练的记录。40.仅一级要求：依据运维变更管理程序， 对运维实施过程中方案、资源变更进 行有效控制，完整记录变更过程。运维过程屮的变更记录。41.仅一级要求：制定运维应急处置方案 和恢复策略，对运维过程小的应急事 件及时进行响应。应急处置方案和恢复策略；运维过程中的 响应时间应达到方案要求。42.仅一级要求：依据风险评佔方案与计 划实施信息系统风险评估；依据渗透 测试方案与汁划实施信息系统渗透测 试。风险评估记录与报告； 渗透测试报告。43.仅一级要求：依据漏洞管理方案实施 信息系统漏洞管理工作。运维服务过程中漏洞的发现、分析、验证、 跟踪、修复等过程记录。44.运维服务 报告向客户提交服务报告，定期收集与报 告安全运维实施情况。安全运维的定期服务报告,服务报告应対 一段时间内运维服务实现情况进行统计 与分析。序 号要点条款需提供证明材料自评估 结论证明材料清单符 合不 符 合45.汇总整理全年服务记录，形成年终安 全运维服务总结报告。

年终安全运维总结报告，对全年的服务情 况进行总结与分析。46.根据合同约定，配合组织项目验收， 出具项目验收报告。项目验收报告。47.仅二级/一级要求：应定期收集与分析 安全运维的关键指标数据，数据包括 但不限于：异常报告及时率、异常漏 报率、故障隐患发现率、异常主动发 现率、问题解决率、漏洞扫描覆盖率、 加固设备覆盖率、安全补丁安装及时 率、安全事件次数。（参照服务合同）运维服务报告，其中的统计分析数据应包 括：异常报告及时率、异常漏报率、故障 隐患发现率、异常主动发现率、问题解决 率、漏洞扫描覆盖率、加固设备覆盖率、 安全补丁安装及吋率、安全事件次数。4仅一级/一级要求：建立客户满意度调 查机制。客户满意度调查的方式、方法、分析方法 等；满意度调查的实施情况与分析情况。49.仅一级要求：对客户满意度进行趋势 分析。客户满意度调查报告与趋势分析报告。50.仅一级要求：对客户系统的安全态势 做出分析，并给出安全建议。对客户系统的安全态势分析报告，报告中 需给出针对性的安全加固处理建议。51.上一年度提出的观察项整改情况（如有）52.序 号要点条款需提供证明材料自评估 结论证明材料清单符 合不 符 合53.54.上一年度提出的不符合项整改情况（如有）55.56.自评估结论:经自主评估，本单位的信息系统安全运维服务满足《信息安全服务 规范》 级要求，申请第三方审核。本单位郑重承诺，《信息安全服务资质认证自评估表?公共管理》与本自评估表中所提供全部信息真实可信，且第10第10页共10页中国信息安全认证中心制

~

网络安全学习，我们一起交流

~