信息系统安全集成服务资质认证自评估表填写指南
填写要求:
1.当条款对应的需提供证明材料为制度或项目文档时,在“证明材料清单栏目”填写文档的完整名称。例如《XX 公司信息系统安全集成服务流程》、《XX 项目需求调研与分析报告》、《XX 单位信息安全建设项目系统集成测试方案》、《XX 单位 XX 集成项目试运行报告》等,并概括地介绍制度或项目文档各章节的主要内容。
2.当条款对应的需提供证明材料为记录文档时,在“证明材料清单栏目”填写记录的完整名称。例如《XX 集成项目设备调试记录》、《XX集成项目设备安装记录》、《XX 集成项目 XX 系统安全性测试记录》等,并概括地介绍记录文档的主要内容。
3.当条款对应的需提供证明材料为某制度或文档的某章节内容时,在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。例如《XX 公司 XX 集成项目投标文件》第 X 章 安全需求分析、《XX 单位 XX 系统集成实施方案》第 9 章 项目风险管理等,并对相关内容进行总结概括。
4.所有出现在“证明材料清单”栏目中的文档,都需提供相应的电子版文档或纸质文档的扫描件作为证明材料,并按照条款的序号建立文件夹整理归档,建立文件夹的格式为“序号-条款的考核内容”,例如“1-安全集成服务流程”、“3-需求调研与分析”、“15-施工手册和作业指导书”、“29-系统测试报告”等。
以下给出了一份填写样例,供申请组织进行参考。填报组织应按照填写样例的细粒度,进行相关信息的填报。当申请三级服务资质时,仅填写自评估表中与三级相关的条款(具体分两种情况:1、标明适用于三级的;2、未标明属于哪个级别的);申请二级服务资质时,除填写标明适用于二级的条款之外,还应填写所有属于三级要求的条款;申请一级服务资质时,填写全部条款。
组织名称 XX 公司(全称) 申报级别 X 级
评估时间 XX 年 X 月X 日-X 月 X 日 评估部门/人员 XX 部/XX
序号
要点
条款
需提供证明材料 自评估结论
证明材料清单
符合 不
符合
1.
技术服务 要求
建立信息系统安全集成服务流程。
信息系统安全集成服务流程,流程图中应包括每个阶段对应的职责、输入输出等。 提供《信息系统安全集成服务流程》,明确信息系统安全
集成工程主要包括前期准备和方案设计、现场安装调试、工程验收、售后服务和客户培训四个阶段,并提供安全集成现场安装流程图、项目验收流程图、售后服务流程图、现场维护流程图等。
2.
制定信息系统安全集成服务规范并按照规范实施。
信息系统安全集成服务规范。 制定《安全需求分析规范》、《安全设计规范》、《安全工
程实施规范》、《安全管理控制规范》、《安全工具管理规范》、《安全状况监控指导规范》、《安全项目测试规范》等规范文件,指导安全集成项目过程实施。
3.
集成准备-需求调研 与分析
调研客户背景信息,采集系统建设需求和建设目标,明确系统功能、性能及安全性要求。
准备阶段控制程序文件,包括明确工作内容、流程、方法、文档模板,内容至少包括需求调研、分析、评审,产品选型,财务预算。提供投标文件、项目文档等证明。 提供《XX 公司信息安全建设项目投标文件》,第 3 章 项
目需求分析,包含网络现状和现有信息系统概况、技术安全需求、管理安全需求等内容,技术安全需求明确 XX信息系统的技术防护策略需求包括:完善网络结构安全策略建设,消除重要网络设备和线路的单点,划分安全域;完善设备管理策略建设,加强安全评估和设备加固策略、安全区域间策略、身份识别与认证策略、入侵检
序号
要点
条款
需提供证明材料 自评估结论
证明材料清单
符合 不
符合
测与病毒防护策略等需求。
4.
基于系统建设需求,提出产品选型方案和建设预算。 提供《XX 单位信息系统专区专域建设整改方案》,第五
章 新增设备选型,包含设备名称、数量、部署位置、性能等参数内容。
提供 XX 项目《合同书》附件一:集成内容及服务报价表,明确了安全集成服务相关预算。
5.
结合系统建设和安全需求,与客户、设计、开发等人员充分沟通,达成共识并形成记录。 提供 XX 项目《会议纪要》,会议地点:XX 单位会议室,
日期:2014 年 2 月 15 日,会议纪要内容明确在 XX 时间,
XX 信息系统等级保护建设整改项目建设单位、承建单位在 XX 单位会议室召开了讨论会,确认了项目实现目标、项目建设范围及内容,并有建设单位人员和承建单位人员签字。
6.
仅二级/一级要求:准确识别和综合分析系统在信息安全特性方面相适应的安全需求。
系统安全需求分析报告,内容应覆盖审核条款要求。 提供《XX 项目需求调研与分析报告》,风险分析章节分
别对物理环境的安全风险、网络结构的安全风险、系统的安全风险、应用的安全风险、管理的安全风险方面进行了分析;需求分析章节分别对风险监视需求、风险预防需求、风险控制需求、风险处置需求、项目需求进行了分析。
7. 仅二级/一级要求:基于客户需求和投
入能力,开展需求分析,编制需求分析报告。 提供《XX 单位信息系统等级保护建设整改项目集成实施
技术需求说明》,主要包含以下章节内容:一、项目概述,明确建设目标、建设范围、建设内容、建设周期等;二、
序号
要点
条款
需提供证明材料 自评估结论
证明材料清单
符合 不
符合
建设整改项目总体设计,明确信息安全等级保护保障体系框架、软硬件服务和设备配置表等;三、集成内容要求,明确按照国家信息安全相关要求和技术标准,及 XX单位信息系统信息安全等级保护建设整改方案,制订本项目实施方案等;四、资质和案例要求,提出了资质和案例方面的要求;五、实施要求,明确了项目管理、安全保密要求、培训、运维要求、验收要求等。
8.
仅一级要求:协助客户有效识别系统建设过程中的政策、法律和约束条件,有效规避商业风险和泄密事件。
安全集成项目风险评估程序及风险评估报告。 提供 XX 项目《技术方案建议书》2.6 章节 参考标准,
包含:1、《中华人民共和国计算机信息系统安全保护条例》国务院 147 号令;2、中办[2003]27 号文件(关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知);3、公通字[2004]66 号文件(关于印发
《信息安全等级保护工作的实施意见》的通知);4、公通字[2007]43 号文件(关于印发《信息安全等级保护管理办法》的通知)等。
9.
集成准备-方案设计 根据系统建设安全需求,编制安全集成技术方案。
项目方案设计阶段控制程序文件,包括明确工作内容、流程、文档模板,内容应覆盖审核条款的要求。项目技术方案、实施方案、沟通记录。 提供《XX 单位信息系统专区专域建设整改设计方案》,
包含综述、系统现状及风险分析、方案总体设计、方案详细设计、新增设备选型等内容。
10. 依据技术方案,编制安全集成实施方案,明确项目人员、进度、质量、沟通、风险等方面要求。 提供《XX 单位信息系统等级保护建设整改实施方案》,
第 9 章 项目组织,包含项目组人员清单;第 10 章 项目管理,包含项目范围管理、项目变更管理、项目进度管理、项目质量管理、项目沟通管理、项目风险管理等内
序号
要点
条款
需提供证明材料 自评估结论
证明材料清单
符合 不
符合
容。
11.
结合技术方案和实施方案,与客户进行沟通,获得客户认可。 提供《XX 单位信息系统等级保护建设整改项目设计方案
评审意见》,明确 XX 时间、XX 单位在 XX 地点组织召开了《XX 单位信息系统等级保护建设整改项目设计方案》评审会,评审组听取了方案介绍,进行了质询,经讨论认为方案内容全面,能够满足本项目在功能性、安全性、处理能力以及扩展性方面的需求等内容,评审组专家一致认为,方案满足了设计阶段工作目标,可以作为下一步实施工作开展的有效依据,同意方案通过专家组评审,评审组长:XXX,评审组员 XXX、XXX 签字通过。
12. 仅二级/一级要求:结合需求分析和客户在保障系统安全方面的投入能力,提出系统建设安全设计说明书,明确系统架构、产品选型、产品功能、性能及配置等参数。
项目方案设计阶段控制程序文件,内容应覆盖审核条款要求。提供系统建设安全设计说明书。 提供《XX 单位信息系统专区专域建设整改设计方案》,
第四章 方案详细设计,包含详细设计概述、互联网接入边界整改、DMZ 区域整改、IDC 区域整改、重点用户区等内容;第五章 新增设备选型,包含设备名称、数量、部署位置、性能等参数内容,包括下一代万兆防火墙、万兆交换机、磁盘阵列等设备。
13. 仅二级/一级要求:组织客户及相关技
术专家对技术方案和实施方案进行论证,确认是否满足系统功能、性能和安全性要求。 项目管理评审程序,包括明确工作内
容、过程、方法、文档模板,内容应覆盖审核条款要求。提供专家对项目技术方案、实施方案的评审论证意 提供《XX 单位信息系统等级保护建设整改项目设计方案
评审意见》,明确 XX 时间、XX 单位在 XX 地点组织召开了《XX 单位信息系统等级保护建设整改项目设计方案》评审会,评审组听取了方案介绍,进行了质询,经
序号
要点
条款
需提供证明材料 自评估结论
证明材料清单
符合 不
符合
见。 讨论认为方案内容全面,能够满足本项目在功能性、安
全性、处理能力以及扩展性方面的需求等内容,评审组专家一致认为,方案满足了设计阶段工作目标,可以作为下一步实施工作开展的有效依据,同意方案通过专家组评审,评审组长:XXX,评审组员 XXX、XXX 签字通过。
14. 仅二级/一级要求:结合技术方案,对
项目组及第三方配合人员进行业务和技能培训。 项目方案设计阶段控制程序文件,内
容应覆盖审核条款要求。提供业务和技能的相关培训记录。 提供《XX 单位培训课程安排情况表》,包含 XX 入侵防
御系统培训、XX 防火墙系统培训、XX 防病毒网关培训等培训内容,涉及到的培训相关处室为甲方 XX 处。
15.
仅一级要求:结合项目需要,编制安全集成项目施工手册和作业指导书。
项目方案设计阶段控制程序文件,内容应覆盖审核条款的要求。提供安全集成项目施工手册和作业指导书。 提供《XX 单位信息系统等级保护建设整改项目作业指导
书》,包含命令行接口简介、登录以太网交换机方式、信息中心配置、端口基本配置、VLAN 配置、ARP 配置、路由配置、STP 配置、VRRP 配置、IRF FABRIC 配置、
ACL 配置、SNMP 配置等内容。
16. 仅一级要求:对于新建系统,建设实施
过程应重点关注信息系统的功能、性能和安全性等方面要求。对于系统改造,还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需要考虑新旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等。 提供《XX 单位信息系统网络与信息安全应急预案》,包
含总则、应急组织结构和职责、预警和预防机制、应急响应、应急保障准备等内容;附录 2:XX 单位信息系统安全事件应急处理流程,包含网络信息系统故障的应急处理流程、黑客入侵的应急处理、大规模病毒攻击的应急处理、安全认证系统的应急处理、主机系统和应用系统故障的应急处理、计算机系统故障的应急处理等内容。
序号
要点
条款
需提供证明材料 自评估结论
证明材料清单
符合 不
符合
17.
仅一级要求:基于安全集成项目需求和进度计划,编制信息安全产品和工具定制开发计划。
项目方案设计阶段控制程序文件,内容应覆盖审核条款的要求。提供自主开发的信息安全产品、平台和工具清单。 自主研发的信息安全产品有:
1、XX 日志分析系统
2、XX 安全基线检测系统
3、XX 安全运营业务 SoC 管理系统
4、XX 云安全服务平台
18.
建设实施-实施集成 依据已确认的安全集成项目技术方案
和实施方案,按照时间和质量要求进行系统建设。
项目建设实施阶段控制程序文件,包括工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。提供项目施工记录。 提供 XX 项目《项目施工进度计划表》、《开工申请》、《设
备到货验收报告》、《项目周报》、《项目实施报告》等施工记录。
19. 项目实施人员按时提交施工记录和工
程日志,及时向项目经理汇报项目进度。 提供 X 份《XX 单位等保整改_项目周报》,包含项目名
称、记录人、日期、参加人员、本周计划、本周完成工作、本周未完成工作、问题总结、下周计划等内容。
20.
建立安全集成项目协调机制,明确责任人,畅通信息沟通渠道,保障各相关方在项目实施过程中能够有效充分的沟通。
项目建设实施阶段控制程序,覆盖审核条款要求。提供沟通方案。 提供 XX 项目《实施方案》,在项目沟通管理章节,对沟
通职责、沟通原则、基本沟通内容、沟通方式等内容进行了描述;在信息沟通制度中,明确(1)工作时间每天至少上下午各登录一次公司邮箱,及时查收邮件;(2)当手机、座机等联系方式发生变化时,必须及时以邮件方式通知项目经理;(3)在条件允许的情况下,保证对 QQ 群的沟通渠道的工作使用;(4)项目经理将会以短信群发的方式进行必要的通知,派驻工程师有责任保证以短信方式接收通知。
21. 仅二级/一级要求:产品、设备安装调 项目建设实施阶段控制程序,覆盖审 提供 XX 项目《设备调试记录》、《设备安装记录》。
序号
要点
条款
需提供证明材料 自评估结论
证明材料清单
符合 不
符合
试过程中,应完整妥善记录相关信息。 核条款要求。提供安装调试记录、项
目完工报告。
22. 仅二级/一级要求:项目建设施工完成后,需向客户提交完工报告。 提供《XX 单位信息系统等级保护建设整改项目工作总结
报告》,包含项目目的、项目工作内容、项目历程、项目完成情况总结、试运行情况小结、预算执行情况等内容。
23.
仅二级/一级要求:项目实施完成后,相关过程记录及时归档,并统一保管。
项目建设实施阶段控制程序,覆盖审核条款要求。提供项目过程文档归档方式及归档记录。 提供 XX 项目的《项目文档清单》,管理模式为:项目实
施完成后,由项目经理对《设备调试记录》、《施工日志》、
《项目周报》等实施记录进行收集,由项目经理进行保管,待项目结束后随项目全部文档提交文档管理员进行归档保存。
24.
仅一级要求:建立项目变更管理程序,对项目实施过程中方案、资源变更进行有效控制,完整记录变更过程。
项目建设实施阶段控制程序,覆盖审核条款要求。提供变更管理程序、变更记录。 提供 XX 项目《实施方案》,项目变更管理章节包含了变
更的提出、变更的内容(包括重大需求变更、技术方案进行修改或调整、实施范围或地点变化等)、变更控制小组、变更控制流程(包括提交变更申请、复审变更请求、更新变更请求、批准或驳回变更请求、进行变更、核实变更、变更结束等)等。
25.
仅一级要求:制定项目应急处置方案和恢复策略,对项目过程中的应急事件及时进行响应。
项目建设实施阶段控制程序,覆盖审核条款要求。提供应急处置方案、恢复策略、处置记录。 提供《XX 单位信息系统网络与信息安全应急预案》,包
含总则、应急组织结构和职责、预警和预防机制、应急响应、应急保障准备等内容;附录 2:XX 单位信息系统安全事件应急处理流程,包含网络信息系统故障的应急处理流程、黑客入侵的应急处理、大规模病毒攻击的应急处理、安全认证系统的应急处理、主机系统和应用系
序号
要点
条款
需提供证明材料 自评估结论
证明材料清单
符合 不
符合
统故障的应急处理、计算机系统故障的应急处理等内容。
26.
建设实施-监督管理
仅一级要求:定期对项目实施情况进行评审,采取适当措施,控制项目风险。 项目管理评审程序,覆盖审核条款的要求。提供项目评审与质量控制文档。 提供 X 份《XX 单位等保整改_项目周报》,包含项目名
称、记录人、日期、参加人员、本周计划、本周完成工作、本周未完成工作、问题总结、下周计划等内容,以此来进行进度和风险控制。
27.
安全保障-系统测试
依据项目技术方案和测试计划,对系统进行联调和系统测试,完整记录测试过程相关信息。
项目安全保障阶段控制程序文件,包括明确工作内容、过程、方法、文档模板,内容应覆盖审核条款的要求。提供测试方案、计划、记录。 提供《XX 单位信息安全建设项目系统集成测试方案》,
包含项目背景、测试方法、测试内容、测试时间、测试环境、测试步骤等内容;提供《XX 单位信息安全建设项目系统集成测试报告》,在测试结果章节,分别对网络设备、安全设备、业务访问、上架设备的测试项目、测试方法、测试预期、测试结果等内容进行了描述。
28.
对于新建系统重点测试系统的功能、性能和安全性等;对于系统改造或升级项目,还需进行兼容性测试。 提供 XX 项目《测试用例》,包含终端管理、移动存储、
日志报表、策略中心、系统管理、XX 客户端功能验证、客户端性能测试、强制合规、测试总结等内容,测试用例中包含测试目的、功能描述、测试过程、测试结果及测试过程截图。
29.
仅二级/一级要求:系统测试完成后,制定系统测试报告,并提交客户。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供测试报告、初验申请与报告。 提供《XX 单位信息安全建设项目系统集成测试报告》,
包含项目背景、测试方法、测试内容、测试环境、测试结果、验收测试总结等内容,在测试结果章节,分别对网络设备、安全设备、业务访问、上架设备的测试项目、测试方法、测试预期、测试结果等内容进行了描述。
序号
要点
条款
需提供证明材料 自评估结论
证明材料清单
符合 不
符合
提供《XX 单位信息系统等级保护建设整改项目初验报
告》,验收单位:XX 单位数据管理中心,初验负责人:
仅二级/一级要求:结合项目需要提出 XX,明确按《XX 单位信息系统等级保护建设整改项目
30. 初验申请,组织客户及相关方对项目进 集成服务》合同,完成安全集成实施方案设计、安全集
行初验,并提交初验报告。 成实施、编制标准和制度、信息安全规划设计、配合完
成等保测评、培训等工作,并经专家评审通过。由 XX
单位数据管理中心盖章通过初验。
提供《XX 单位等级保护建设整改项目安全性测试方案》,
二.远程渗透测试介绍章节,包含渗透测试原理、渗透测
试流程、渗透测试的风险规避、渗透工具介绍等内容,
渗透工具包括 XX、XX 等;三.测试实施计划整洁,包含
方案制定、信息收集、测试实施、报告输出等内容,信
31. 仅一级要求:基于建设系统的安全要求,制定系统安全性测试方案,模拟攻 项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供系统 息收集方法包括公开域信息收集、扫描、社会工程学等,
测试对象包括网络设备、DNS、Mail、WEB 系统等。
击场景,对系统安全性进行测试。 安全性测试方案、测试记录。 提供《XX 单位信息系统等级保护建设整改项目安全性测
试报告》包含项目简介、测试安排、测试范围、测试方
法、遵循原则、主要问题、建议和总结等内容,明确通
过本次对 XX 单位 web 系统的渗透测试,发现存在一个
XX 风险的安全问题,该系统在公网开启了危险的 HTTP
方法、XX 跨站脚本攻击等内容。
序号
要点
条款
需提供证明材料 自评估结论
证明材料清单
符合 不
符合
32.
安全保障-系统试运 行
为测试系统运行的可靠性和稳定性,系统初验后需进行试运行,并记录系统运行状况。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供系统试运行记录、设备调整维护记录。 试运行期间本项目安全设备由各设备厂家进行巡查,提
供《XX 单位防病毒网关系统巡检报告》、《天融信设备巡检报告》、《XX 单位-WAF 巡检报告》、《深信服 WEB 应用防护系统巡检》、《统计局启明星辰 IPS 巡检》、《统计局巡检报告-网神防火墙》等巡检报告。
提供 XX 项目的《试运行方案》、《试运行记录》。
33.
基于系统运行相关记录,及时对系统设备进行调整和维护。 提供《试运行期间问题记录》,包含问题日期、问题类型、
问题名称、问题描述、问题责任方、问题责任人、解决时间、是否解决、解决人、问题原因、解决措施等内容,记录日期从 XX-XX,问题包括 XX 防火墙无法管理、XX审计系统无法正常审计数据库信息、XX 终端安全管理系统部分终端无法生效等。
34.
仅二级/一级要求:系统试运行周期至少一个月。 项目安全保障阶段控制程序文件,内
容应覆盖审核条款的要求。提供系统试运行方案、系统试运行记录、系统试运行报告。 提供《XX 单位等级保护整改项目试运行报告》,明确项
目的试运行时间为 X 月至 X 月。
35.
仅二级/一级要求:试运行结束后,项目组制定系统试运行报告,并提交客户。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供系统试运行报告。 提供《XX 单位信息系统等级保护建设整改项目试运行报
告》,包含试运行期间设备运行情况等内容;试运行情况描述为在试运行期间定期组织各个设备厂家对所有设备进行巡检,其中整个试运行期间共进行 X 次巡检,涉及到 X 个厂商 ,X 台设备,其中主机实施方进行了 X 次巡检,网络实施方进行了 X 次巡检,其他均为安全设备
序号
要点
条款
需提供证明材料 自评估结论
证明材料清单
符合 不
符合
的巡检,安全设备共进行了 X 次巡检,形成 X 份巡检总
结报告,整个试运行期间设备运行基本正常。
36.
仅一级要求:制定系统试运行计划,建立应急响应服务保障团队,及时应对突发事件。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供应急预案、系统运行策略和安全指南、配置管理方案、系统试运行报告。 提供《XX 单位信息系统网络与信息安全应急预案》,包
含总则、应急组织结构和职责、预警和预防机制、应急响应、应急保障准备等内容;附录 1:XX 单位信息系统网络与信息安全事件的分级定义,明确了一级/紧急、二级/报警、三级/预警、四级/一般安全事件的定义;附录 2:
XX 单位信息系统安全事件应急处理流程,包含 XX 系统故障的应急处理流程、网络信息系统故障的应急处理流程、黑客入侵的应急处理等内容。
37.
仅一级要求:综合分析系统运行状态,建立系统运行策略和安全指南,并对相关产品和设备设施进行配置管理。 提供 XX 项目《配置管理方案》,包含目的、适用范围、
职责、工作程序等内容,明确了配置管理的范围、选择配置管理的工具、配置项的标识与管理、配置审计、配置状态的把握、备份配置项、编写配置管理计划、配置管理实施等内容;
提供《安全配置指南》,包含 Solaris10、Aix5.x、HP-UX11、
Windows2008、Oracle10、MySQL5.x、tomcat6、思科路由器、Juniper 防火墙等软硬件基线详述、检查方式和解决方案等内容。
38. 仅一级要求:提供三个月以上的试运行记录和报告。 试运行期间本项目安全设备由各设备厂家进行巡查,提
供《XX 单位防病毒网关系统巡检报告》、《XX 防火墙设备巡检报告》、《XX 单位-WAF 巡检报告》、《XX WEB 应
序号
要点
条款
需提供证明材料 自评估结论
证明材料清单
符合 不
符合
用防护系统巡检》、《XX IPS 巡检》等。
提供《XX 单位等级保护整改项目试运行报告》,明确项目的试运行时间为 X 月至 X 月。
39.
安全保障-验收
根据合同约定,向客户提交完整的项目资料及交付物,并提出终验申请。
项目安全保障阶段控制程序文件,内容应覆盖审核条款的要求。提供项目终验申请、项目终验报告。 提供 XX 项目《终验申请表》,包含工程名称、申请内容、
建设单位意见等,明确 XX 公司 XX 信息系统项目进行了三个月的试运行检验,项目所需文档已全部提交给建设方审核通过,现申请进行项目终验,包含承建单位和建设单位签字盖章。
40.
根据合同约定,配合组织项目验收,出具项目验收报告 提供《XX 单位信息系统等级保护建设整改项目集成服务
★四川两化融合★四川CMMI认证★四川GJB5000A认证 |