设为首页 | 加入收藏
认证中心 当前您的位置:软件信息产品认证>>认证中心
ITSS认证技术体系化必要性

 

★ITSS认证知识★---★ITSS技术体系化的必要性

 

技术体系化的必要性
提高IT服务质量、降低IT服务成本;
减少人员流失带来的损失;
及时应用和推广成熟技术;
做好新技术研发和储备;
在提供IT服务中使用一致的技术标准。

资源
资源是指提供IT服务所依存和产生的有形及无形资产,如咨询服务供方为满足需方的需求,提供咨询服务所必须具备的知识、经验和工具等。资源要素确保IT服务提供商能保障做事,主要由人员、过程和技术要素中被固化的成果和能力转化而成,同时又对人员、过程和技术要素提供有力的支撑和保障。
根据所提供的IT服务类型的不同,所需要的资源也不尽相同,但可以对其进行汇总。例如,咨询设计服务和运行维护服务所使用的资源包括知识库、工具库、专家库、备件库和服务台。
资源要素所面临的挑战
忽略资源的价值,投入不够,导致资源不足;
对资源的使用不重视,重复投资现象严重;
缺乏利用资源的统一规划,资源的利用率不高;
资源的更新不及时,与市场需求、技术研发脱节。
资源系统化的必要性
统筹资源开发利用,确保与业务运营、技术研发协调一致;
确保提供满足质量和成本要求的IT服务;
明确各类资源管理的要点,提高资源使用率;
结合市场和业务发展需求,确保能及时更新资源,提高资源的使用率和使用质量。 [1]

ITSS供需方

ITSS既是一套成体系和综合配套的标准库,又是一套选择和提供IT服务的方法学。我国境内需要IT服务、提供IT服务或从事IT服务相关的理论研究和技术研发的单位或个人都需要ITSS,包括:
行业主管部门:
用于培育内需市场,鼓励服务外包,规范和引导信息技术服务业的发展。
IT
服务需方:
用于实施标准化的IT服务,或选择合格的IT服务提供商,包括:
中央及地方各级政府部门信息中心;
金融、电信、电力、石化等全国性或区域性行业企业的IT部门;
全国各省市各类大中型企业的IT部门;
其它有IT服务需求的组织。

IT服务供方
用于提供标准化的IT服务,提升服务质量并确保服务可信。这样的供方主要包括:
IT咨询为主营业务的企业;
以设计开发为主营业务的企业;
以信息系统集成为主营业务的企业;
以数据处理和运营为主营业务的企业;
其它提供IT服务的组织。
高校和科研院所:
用于指导IT服务相关的理论研究、技术研发和学科设置。
个人:
主要通过研究和学习ITSS,全面理解和掌握IT服务相关的标准化和技术理论知识,以及实施IT服务的方法,从而提升个人技能。

ITSS的好处

使用ITSS,对IT服务供需双方来讲,将带来以下潜在收益:
IT服务需方:
提升IT服务质量:通过量化和监控最终用户满意度,IT服务需方可以更好地控制和提升用户满意度,从而有助于全面提升服务质量。
优化IT服务成本:不可预测的支出往往导致服务成本频繁变动,同时也意味着难以持续控制并降低IT服务成本,通过使用ITSS,将有助于量化服务成本,从而达到优化成本的目的。
强化IT服务效能:通过ITSS实施标准化的IT服务,有助于更合理地分配和使用IT服务,让所采购的IT服务能够得到最充分、最合理的使用。
降低IT服务风险:通过ITSS实施标准化的IT服务,也就意味着更稳定、更可靠的IT服务,降低业务中断风险,并可以有效避免被单一IT服务厂商绑定。
IT服务供方:
提升IT服务质量:IT服务供需双方基于同一标准衡量IT服务质量,可使IT服务供方一方面通过ITSS来提升IT服务质量,另一方面可使提升的IT服务质量被IT服务需方认可,直接转换为经济效益。
优化IT服务成本:ITSS使IT服务供方可以将多项IT服务成本从企业内成本转换成社会成本,比如初级IT服务工程师培养、客户IT服务教育等。这种转变一方面直接降低了IT服务供方的成本,另一方面为IT服务供方的业务快速发展提供了可能。
强化IT服务效能:服务标准化是服务产品化的前提,服务产品化是服务产业化的前提。ITSSIT服务供方实现IT服务的规模化成为可能。
降低IT服务风险:通过依据ITSS引入监理、服务质量评价等第三方服务,可降低IT服务项目实施风险;部分IT服务成本从企业内转换到企业外,可降低IT服务企业运营风险。

 ★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★重庆CCRC认证★重庆ITSS认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★四川CCRC认证★四川ITSS认证★

 

 

 

 

 

 

★CCRC认证知识★---★安全运维服务资质认证简介★

 

安全运维服务资质认证简介
  通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。

  安全运维资质认证是对安全运维服务方的基本资格、管理能力、技术能力和安全运维过程能力等方面进行评价。安全运维服务资质级别是衡量服务提供方的安全运维服务资格和能力的尺度。

资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。

 

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

信息安全服务资质认证自评估表-公共管理

填表说明:
1、申请三级信息安全服务资质认证时,仅需填写该自评估表。
2、申请一、二级服务资质认证时,该自评估表与申报具体的服务类别自评估一并使用,单个文档不作为自评估支撑材料。申报多个服务类别且级别不同时,按照申请的最高级别服务资质认证的管理要求填写。
3、表中要求的所有程序文件均已发布实施。
组织名称  服务类别/级别 如有工控安全请注明行业。
评估时间  评估部门/人员 

序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
    符合 不符合 
1.  法律地位要求 仅适用于初次认证:
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
监督审核:
如有变化则重新提供。 营业执照/事业单位登记证,核对注册号、法定代表人、注册资本、注册地址、公司类型、经营范围、成立日期、营业期限等。
如独立法人实体的一个部门或部分,经法人批准成立,法人实体能为申请人开展的活动承担相关的法律责任的文件(法人签字盖章)。
(提供企业在国家企业信用信息公示系统http://www.gsxt.gov.cn中的基础信息截图)   
2.  法律地位要求 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。 提供企业在国家企业信用信息公示系统(http://www.gsxt.gov.cn)上的企业信用信息。   需要截图
3.  财务资信要求 仅适用于初次认证:
组织经营状况正常,建立财务管理制度,可为安全服务提供必要的财务支持。 提供财务管理制度,包括财务风险管控制度,必要时年度审计报告作为支撑文件。   
4.  办公场所要求 拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
监督审核:
有变化则提供,无变化则不提供。 房屋产权证或租房屋赁合同;
产权人/出租人、地址、面积、租期。   
5.  人员能力要求 三级/二级/一级分别要求:组织负责人拥有2/3/4年以上信息技术领域管理经历。 组织负责人简历及资质证书,包括姓名、年龄、职务、职称、学历、工作经历、信息技术领域管理年限、资质证书。
XX市社保部门出具的公司员工社保缴费证明,单据号:XXXX,出具时间XX年XX月XX日。
三级/二级/一级的负责人社保证明至少(3个月)。
需提供社保部门提供的社保缴费证明或社保系统查询截图。   
6.   三级/二级/一级分别要求:技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致),评价要求见附录G。 技术负责人简历及资质证书,包括姓名、年龄、职务、职称、学历、工作经历、信息技术领域工作年限、资质证书。
提供技术负责人的信息安全服务管理能力证明,包括能力考核结果(与申报类别一致)。三级/二级/一级的技术负责人社保证明至少3个月。
需提供社保部门提供的社保缴费证明或社保系统查询截图。   
7.   三级/二级/一级分别要求:项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格,评价要求见附录G。
 提供项目负责人、项目工程师的技术能力证明,包括能力考核结果。如,对应岗位职责、能力自评价、能力评价、项目经历等证明材料。
三级/二级/一级的服务人社保证明至少3个月。
需提供社保部门提供的社保缴费证明或社保系统查询截图。   
8.  业绩要求 仅适用初次审核:
三级/二级/一级分别要求:从事信息安全服务(与申报类别一致)至少4个月/3年或取得三级资质1年以上/ 5年或取得二级资质1年以上。 提供首个信息安全服务(与申报类别一致)项目合同原件,核对项目名称、合同签订时间、项目验收时间等。
(公开招标项目需提供中标通知书原件或招标网站公示截图,非公开招标项目需提供财务收款凭证)。   监督审核不适用。
三级初次申报填写公司成立时间/或项目开始时间。
9.   仅适用初次审核:
二级/一级分别要求:近3年内签订并完成至少6/10个信息安全服务(与申报类别一致)项目。一二级现场随机抽查1个项目。
监督审核:
三级/二级/一级监督审核:近1年内签订并完成至少1个/2个/2个信息安全服务(与申报类别一致)项目。 提供信息安全服务项目(与申报类别一致)合同及验收报告原件,核对项目清单,确认项目名称、合同金额、签订时间、验收时间、项目数量、服务内容与申报一致。
(公开招标项目需提供中标通知书原件或招标网站公示截图,非公开招标项目需提供财务收款凭证)。   三级初次申报不填此项

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

10.  服务管理要求 建立并运行人员管理程序,识别安全服务人员的服务能力要求,明确安全服务人员的岗位职责、技术能力要求,并通过评价证明其能够胜任其承担的职责。 提供服务人员管理程序,及安全服务人员的岗位职责、技术能力要求,并提供评价证明其能够胜任其承担的职责。   
11.   制定服务人员能力培养计划,包括网络与信息安全相关的技术、技能、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。 提供服务人员能力培养计划,包括网络与信息安全相关的技术、技能、管理、意识等内容,并执行计划,确保服务人员持续胜任其承担的职责。   
12.   建立文档管理程序,包括组织管理、服务过程管理、质量管理等内容,明确项目产生、发布、保存、传输、使用(包括交付和内部使用)、废弃等环节的文档控制。 文档管理程序建立及实施情况,提供与申报类型一致的安全服务项目过程文档,核实是否存在遗失或信息泄露等问题。   
13.   二级:4.2.6 c)配备档案室及高安全性的文件服务器。 提供配备档案室及高安全性的文件服务器的证据。   
14.   一级:4.3.6 c)配备档案室及高安全性的文件服务器,至少近两年的项目在文件管理系统中进行管理。 提供配备档案室及高安全性的文件服务器,至少近两年的项目在文件管理系统中进行管理的证据。   
15.   建立并运行项目管理程序,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程。 提供项目管理程序建立及实施情况的证据,明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程,提供项目风险管理记录。   
16.   建立并运行保密管理程序,明确岗位保密责任,签订保密协议,并能够适时对相关人员进行保密教育。 保密管理程序建立及落实情况,包括保密范围、保密方式、保密时效、保密责任主体、罚则。提供组织与管理层、技术负责人及项目实施人员签订的保密协议。关键岗位离职人员签订离职保密协议。提供保密教育培训记录。   
17.   (三级要求)建立与运行供应商管理程序,确保其供应商满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复、、工业控制系统安全)。 提供供应商名录、供应商管理制度的实施情况,包括供应商选择、考核与管理等(仅适用于安全集成、安全运维、灾难备份与恢复方向、工业控制系统安全)    
18.   (一、二级要求)建立并运行供应商管理程序,明确供应或外包过程中的风险,对供应商或承包方的服务基本资格、服务过程控制、服务质量、服务交付等进行识别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向、工业控制系统安全)。 提供供应商管理程序,明确供应或外包过程中的风险,对供应商或承包方的服务基本资格、服务过程控制、服务质量、服务交付等进行识别,确保其供应商或承包方满足服务安全要求(仅适用于安全集成、安全运维、灾难备份与恢复方向、工业控制系统安全)   
19.   建立合同管理程序,制定统一合同模板,按照合同约定实施信息安全服务项目。按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员了解客户的相关要求。 提供合同管理程序、合同统一模板。提供服务项目(与申报类别一致)合同/协议中对敏感信息和知识产权信息保护要求的相关条款。   
20.   一/二级要求:参照国际或国内标准,建立业务范围覆盖信息安全服务的质量管理体系,并有效运行半/一年以上。 结合质量管理体系文件,查阅体系运行记录,验证体系运行情况,至少包括质量管理体系手册、文件控制程序、记录控制程序、纠正与预防控制程序、内审与管评控制程序、安全服务工作控制程序;内审、管评、外审报告(有则提供);验证质量管理体系范围覆盖与申报类别一致的信息安全服务。   
21.   一/二级要求:参照国际或国内标准,建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系,并有效运行半/一年以上。 结合信息安全管理体系文件,查阅体系运行记录,验证体系运行情况,至少包括范围方针文件、事件管理、问题管理、介质管理、业务连续性管理、数据安全管理、内审与管评控制程序、内审、管评、外审报告(有则提供) [风险管理程序、适用性声明及相应的控制措施文件](适用于27001)(适用于20000);业务范围覆盖与申报类别一致的信息安全服务。   
22.   一级要求:建立信息安全服务目录(与类别相对应),签订服务级别协议。 信息安全服务目录(与类别相对应)、服务级别协议。   
23.  技术工具要求 二级/一级要求:具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试。 信息安全服务的测试环境,提供设备清单、建设时间、规模、主要承担工作等。   
24.   二级/一级要求:具备承担信息安全服务(与申报类别一致)项目所需的安全工具,并对工具进行管理和版本控制。 信息安全服务的软、硬件工具清单,工具管理程序和要求;针对在安全服务项目中应用自主开发工具和产品进行现场演示,提供产品销售许可证或软件著作权证书。   
25.  服务技术 仅适用于三级初次
建立信息安全服务(与申报类别一致)要求的流程,并按照流程实施。 按照相关标准建立申报的服务类别流程(申报多类需要制定相对应的服务流程)。流程图中应包括每个阶段对应的职责、输入输出等。   如工控安全请注明行业。
26.   仅适用于三级初次
制定信息安全服务(与申报类别一致)要求的规范标准,并按照规范实施。 制定与申报的信息安全服务类别规范并按照规范实施(申报多类需要制定相对应的服务规范)。   如工控安全请注明行业。


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

 

27.  服务过程文档模板
 仅适用于三级初次
制定信息系统安全集成服务过程的文档模板 安全集成:
(1) 集成准备阶段:至少包括需求调研报告、技术方案、实施方案(技术方案内容应至少包含项目背景、设计依据、总体设计架构、信息安全设计等方面内容,实施方案应至少包含项目组织架构及人员安排、进度安排、实施内容、项目风险管理、项目沟通管理、项目质量管理等方面内容);
(2) 建设实施阶段:至少包括日报/周报;
(3) 安全保障阶段:至少包括测试方案、验收申请、验收报告;   
28.   仅适用于三级初次
制定信息系统风险评估服务过程的文档模板 风险评估:
(1) 准备阶段:至少包括信息系统基本情况调研表、风险评估方案(方案中应至少包含被评估对象描述、评估依据、评估范围、评估内容、项目组成员、评估计划安排、评估工具、评估过程、评估方法、风险评价原则、风险评估模型、风险分析与计算方法等方面内容);
(2) 风险识别阶段:至少包括管理脆弱性检查表、技术脆弱性检查表(包含主机、数据库、网络设备、安全设备、中间件、应用系统等)、威胁调查表;
(3) 风险分析阶段:风险评估报告(至少包括评估过程、评估方法、评估结果、处置建议等内容);   
29.   仅适用于三级初次
制定信息安全应急处理服务过程的文档模板 应急处理:
(1) 准备阶段:至少包含工具包、服务承诺书;
(2) 检测阶段:至少包含授权书、应急处理方案;
(3) 抑制阶段:至少包含抑制方案;
(4) 根除阶段:至少包含根除方案;
(5) 恢复阶段:至少包含恢复方案、重建系统规范、数据备份规范、安全配置核查表(可以包含windows类操作系统安全配置核查表、linux类操作系统安全配置核查表、数据库安全配置核查表、中间件安全配置核查表);
(6) 总结阶段:至少包含总结报告;
备注:应急处理方案中可以总体涵盖检测、抑制、根除、恢复方面的内容。   
  仅适用于三级初次
制定信息系统安全运维服务过程的文档模板 安全运维:
(1) 准备阶段:至少包含需求调研报告;
(2) 方案设计阶段:至少包含安全运维服务方案;
(3) 运维服务实施阶段:至少包含安全信息(包含安全配置、流量信息、安全策略等)巡检记录表、状态巡检记录表、健康性检查记录表、病毒查杀记录表、安全加固规范等;
(4) 运维服务报告阶段:至少包含运维服务月报/季报、年度服务总结报告、验收报告;   
  仅适用于三级初次
制定信息系统软件安全开发服务过程的文档模板 软件安全开发:
(1) 准备阶段:至少包含开发计划、配置管理计划、变更记录单;
(2) 需求阶段:至少包含需求分析报告;
(3) 设计阶段:至少包含概要设计说明书、详细设计说明书;
(4) 编码阶段:至少包含编码规范;
(5) 测试阶段:至少包含测试方案、测试用例、测试报告;
(6) 验收阶段:至少包含验收申请、验收报告;
(7) 维保阶段:至少包含故障记录、升级记录;   
  仅适用于三级初次
制定信息系统灾难恢复与备份服务过程的文档模板 灾难恢复与备份(B类):
(1) 方案设计要求:至少包含需求分析报告、技术方案、实施方案;
(2) 系统建设与管理要求:至少包含项目周/日报;
(3) 预案制定与演练要求:至少包含灾难恢复预案、桌面演练记录、桌面演练总结报告;   
30.   仅适用于三级初次
制定网络安全审计网络安全审计服务过程的文档模板 网络安全审计网络安全审计服务
(1) 审计对象调研
至少包括调研报告
(2) 审计实施方案编制
至少包括实施方案
(3) 审计取证与评价
至少包括评价记录
(4) 审计报告
至少包括审计报告
(5) 跟踪审计
至少包括跟踪审计报告
(6) 审计质量控制
至少包括质量控制要求及记录   
31.   仅适用于三级初次
制定工业控制系统服务过程的文档模板 (1)业务情况和工业控制系统调研,至少包括调研表模板
(2)技术方案编制 至少包括技术方案模板
(3)实施方案编制 至少包括实施方案模板
(4)实施过程记录 至少包括实施记录模板
(5)服务报告 至少包括总结报告模板、交接报告模板
(6)测试报告,至少包括测试方案模板、测试报告模板   请注明行业。
32.  申请二级资质条件 可根据条件直接申请,或获得三级资质(与申报类别一致)一年以上,且服务管理程序文件需建立并运行半年以上。 信息安全服务(与申报类别一致)三级资质证书。服务管理程序文件及运行时间。   
33.  申请一级资质条件 需获得信息安全服务(与申报类别一致)二级资质1年以上,且服务管理程序文件需建立并运行一年以上。 信息安全服务(与申报类别一致)二级资质证书。服务管理程序文件及运行时间。   
以下内容适用于年度监督
34.  业绩情况 业绩情况 近一年业务发展情况,签订、完成的项目数量及情况,项目经验及教训等   
35.  组织变更情况 组织变更情况 组织变更情况,包括法人、资本注册、股东变更、组织负责人、服务负责人、组织架构等变化情况。   
36.  证书及标志使用情况 证书及标志使用情况 证书及标志使用情况。   
37.  客户投诉制度建立及执行情况 客户投诉制度建设,投诉及处理情况 客户投诉情况,包括客户投诉制度,投诉及处理情况。   
38.  上一年度提出的观察项整改情况(监督时须填写)
39.   观察项内容    整改情况说明
40.       
41.  上一年度提出的不符合项整改情况(监督时须填写)
42.   不符合项内容    整改情况说明
43.       

 
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

 

自评估结论:
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》中所提供全部信息真实可信,且均可提供相应证明材料。
经自主评估,本单位的信息安全       服务资质满足《信息安全服务 规范》要求,申请第三方审核。

 

 

 


信息系统安全运维服务资质认证自评估表
组织名称  申报级别 
评估时间  评估部门/人员 

序号 要点 条款 需提供证明材料 自评估结论 证明材料清单
    符合 不符合 
1.  服务技术要求 建立信息系统安全运维服务流程。 信息系统安全运维服务流程,流程图中应包括每个阶段对应的职责、输入输出等。   
2.   制定信息系统安全运维服务规范并按照规范实施。 信息系统安全运维服务规范并按照规范实施。   
3.  准备阶段-需求调研与分析 调研客户信息系统安全现状,采集客户安全服务需求与目标,明确客户对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求。 针对客户的调研报告,其中包括对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求调研结果。   
4.   进行信息系统运维预算,定义运维服务。 信息系统安全运维预算,其中包括运维服务内容、每项服务的工作量、每项服务的人力资源项目经费等。   
5.   与客户进行沟通,达成共识并形成记录 。 与客户沟通形成的记录,内容应有对运维服务项目达成共识的体现。   
6.   仅二级/一级要求:分析客户对信息系统安全运维服务的需求和类型。 对客户进行调查的记录,内容中应有信息系统安全运维服务的需求和类型,如应用安全:应用系统安全测试、安全监控、安全事件应急等。   
7.   仅二级/一级要求:收集与分析信息系统的可用性指标。 所运维信息系统的可用性指标,如整体指标或单系统指标等。   
8.   仅二级/一级要求:分析以往服务的数据,提取出来未来可自动化的服务。(监审时适用) 运维服务报告,其中应对以往安全服务进行总结,对安全事件的解决效率进行分析,适宜时提出未来可自动化的服务。   
9.   仅一级要求:内部团队之间的安全运营级别协议应和与安全运维第三方之间的服务级别设计保持一致。 服务级别协议中,安全运维第三方之间的服务级别设计与内部团队之间的安全运营级别协议应一致。   
10.   仅一级要求:安全组织中要设定安全领导小组。 安全组织架构图,其中应有安全领导小组。   
11.  准备阶段—签订服务协议 与客户签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。 项目合同及保密协议,合同内容应至少包含服务范围、目标、时间、内容、金额、质量和输出等。   
12.   明确安全运维的方式,方式包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。 项目合同/协议中应有明确的安全运维模式。   
13.   仅二级/一级要求:签订服务级别协议。 与客户签订的服务级别协议,协议中应承诺信息系统核心指标,如:可用性、安全事件解决率等。   
14.  方案设计阶段 根据系统安全运维需求,编制安全运维服务方案,明确安全运维服务时间、服务内容、服务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管理等方面要求。 项目服务方案,内容应包括条款要求。   
15.   在安全运维服务方案中明确健康检查服务的服务方式、检查频次和检查内容。 项目服务方案对健康检查服务的服务方式、检查频次和检查内容进行明确。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

   
16.   专业人员负责安全管理的接口。 运维项目中由高层指定的、负责安全管理接口的运维管理人员信息。   
17.   仅二级/一级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。 信息系统可用性计划;信息系统可用性事件记录;信息系统可用性执行报告、改进报告。   
18.   仅二级/一级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。(监审时适用 信息系统运维过程中的分析报告,主要分析项目应有:历史数据清单的分析报告,内容包含运维完成情况、重大事件、重大(失败)变更等;基于以往运维数据分析结果提出的新的运维策略及解决方案。   
19.   仅二级/一级要求:编制信息系统的安全基线。 信息系统安全基线。   
20.   仅二级要求:建立信息系统安全配置库。 配置库信息,其中应纳入信息系统安全涉及的配置项,如安全设备的配置项有安全策略、管理员账户、IP等。   
2

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

1.   仅一级要求:建立信息系统应急事件响应机制和恢复保障。 信息系统的应急响应计划和恢复计划。   
22.   仅一级要求:编制安全运维项目作业指导书。 安全运维作业指导书,例如:配置核查操作手册、常见安全事件处理指南等。   
23.   仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。 发布且通过审批的业务连续性计划。   
24.   仅一级要求:在安全运维服务方案中明确漏洞管理的工作流程。 漏洞管理的方案、流程。   
25.  运维服务实施 实施初始服务,完成资产识别。 资产识别表,为IT资产的标识、分级、保护和软件配置建立基础资料档案;有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。   
26.   采集信息系统重要资产的安全配置、流量信息等安全信息。 对组织信息系统的安全配置、流量信息等安全信息进行定期记录。   
27.   对安全设备进行日常维护及监控,并记录硬件故障。 安全设备的日常维护记录,包括状态检查、更新、升级、故障检测及排除、对安全设备出现的硬件故障进行统计的记录。   
28.   收集与分析网络及安全设备、服务器、数据库、中间件、应用系统的日志。 进行安全事件审计,应有对网络及安全设备、服务器、数据库、中间件、应用系统日志的保存记录与审计分析报告。   
29.   实施日常巡检服务:对用户的安全设备、网络设备、服务器提供业务操作巡检、状态巡检、安全策略配置巡检服务。 日常巡检记录,主要针对条款要求内容。   
30.   实施日常安全运维服务:完成安全设备、网络设备、服务器、应用系统安全事件监控;病毒监测、查杀及网络防病毒维护;漏洞扫描、安全加固、补丁安装;并有相关记录。 日常安全运维服务记录,主要针对条款要求内容。   
31.   对信息安全事件进行统计与分析。 信息安全事件的统计表,分析报告。   
32.   实施健康检查服务:完成安全设备、业务系统的健康检查服务。 安全设备、业务系统的健康检查服务记录,主要关注可靠性、可用性、持续性等。   
33.   仅二级/一级要求:收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性(专职管理)。 配置数据库,应能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性(专职管理),如安全设备的配置项有安全策略、管理员账户、IP等。   

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

34.   仅二级/一级要求:实施安全设备、网络设备、中间件、数据库、服务器等资产的安全配置管理,定期对配置项进行更新和维护。 配置项的更新和维护记录。   
35.   仅二级/一级要求:根据制定的安全配置基线,定期进行安全配置核查工作。 安全配置核查记录。   
36.   仅二级/一级要求:实施运维监控与分析并形成记录。 完成对各类安全事件的集中管理和分析,以数据来分析各个指标的趋势,形成相关记录。   
37.   仅一级要求:实施安全培训服务:完成安全意识、基本安全技术的培训服务。 安全培训服务记录。   
38.   仅一级要求:实施安全通告及漏洞分析服务:完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告。 通告与漏洞分析记录,内容为业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告,以及基于通告进行的分析。   
39.   仅一级要求:实施应急响应服务:完成应急响应预案制定,对应急事件及时响应,并对应急预案进行演练,形成相关记录。 应急响应记录;
应急响应预案,应急演练的记录。   
40.   仅一级要求:依据运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。 运维过程中的变更记录。   
41.   仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。 应急处置方案和恢复策略   
42.   仅一级要求:依据风险评估方案与计划实施信息系统风险评估;依据渗透测试方案与计划实施信息系统渗透测试。 风险评估记录与报告;
渗透测试报告。   
43.   仅一级要求:依据漏洞管理方案实施信息系统漏洞管理工作。 运维服务过程中漏洞的发现、分析、验证、跟踪、修复等过程记录。   
44.  运维服务报告 向客户提交服务报告,定期收集与报告安全运维实施情况。 安全运维的定期服务报告,服务报告应对一段时间内运维服务实现情况进行统计与分析。   
45.   汇总整理全年服务记录,形成年终安全运维服务总结报告。 年终安全运维总结报告,对全年的服务情况进行总结与分析。   
46.   根据合同约定,配合组织项目验收,出具项目验收报告。 项目验收报告。   
47.   仅二级/一级要求:应定期收集与分析安全运维的关键指标数据,数据包括但不限于:异常报告及时率、异常漏报率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆盖率、安全补丁安装及时率、安全事件次数。(参照服务合同) 运维服务报告,其中的统计分析数据应包括:异常报告及时率、异常漏报率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆盖率、安全补丁安装及时率、安全事件次数。   
48.   仅二级/一级要求:建立客户满意度调查机制。 客户满意度调查的方式、方法、分析方法等;满意度调查的实施情况与分析情况。   
49.   仅一级要求:对客户满意度进行趋势分析。 客户满意度调查报告与趋势分析报告。   
50.   仅一级要求:对客户系统的安全态势做出分析,并给出安全建议。 对客户系统的安全态势分析报告,报告中需给出针对性的安全加固处理建议。   
51.  上一年度提出的观察项整改情况(如有)
52.       
53.       
54.  上一年度提出的不符合项整改情况(如有)
55.       
56.       
 

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★


自评估结论:
经自主评估,本单位的信息系统安全运维服务满足《信息安全服务 规范》   级要求,申请第三方审核。

本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

 

信息安全服务资质简介
 
     为搭建矩阵式信息化建设企业管理平台,中国通信工业协会依据国家相关规定和管理平台两个维度的建设要求,设立并推出了《信息系统业务安全服务资质》。《信息系统业务安全服务资质》的审核是搭建矩阵式信息化建设企业管理平台的主要方法和中心环节。通过对资质的审核,确认各信息化建设企业的行业服务方向和专业能力水平,并将其纳入到管理平台中来,从而充分有效地发挥政府对信息化建设企业的管理、指导及支持等职能,同时也有利于不同行业的用户通过管理平台快速、准确地选择到合

重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4    成都公司地址:成都市高新区天府三街峰汇中心1-10-8