信息安全服務(wù)資質(zhì)認(rèn)證自評(píng)估表

1、信息安全服務(wù)資質(zhì)認(rèn)證自評(píng)估表 -公共管理 填表說(shuō)明： 1、該自評(píng)估表與申報(bào)具體的服務(wù)類別自評(píng)估一并使用，單個(gè)文檔不作為自評(píng)估支撐材料。申報(bào)多個(gè)服務(wù)類別且級(jí)別不同時(shí)，按照申請(qǐng) 的最高級(jí)別服務(wù)資質(zhì)認(rèn)證的管理要求填寫。 2、表中要求的所有程序文件均已發(fā)布實(shí)施 組織名稱 服務(wù)類別/級(jí)別 評(píng)估時(shí)間 評(píng)估部門/人員 序號(hào) 要點(diǎn) 條款 需提供證明材料 自評(píng)估 結(jié)論 證明材料清單 符 合 不 符 合 1. 法律地位 要求 僅適用于初次認(rèn)證： 在中華人民共和國(guó)境內(nèi)注冊(cè)的 獨(dú)立法人組織，發(fā)展歷程清晰， 產(chǎn)權(quán)關(guān)系明確。 監(jiān)督審核： 如有變化則重新提供。 營(yíng)業(yè)執(zhí)照/事業(yè)單位登記證，核對(duì)注冊(cè) 號(hào)、法定代表人、注冊(cè)資本、

2、注冊(cè)地址、 公司類型、經(jīng)營(yíng)范圍、成立日期、營(yíng)業(yè) 期限等。 如獨(dú)立法人實(shí)體的一個(gè)部門或部分，經(jīng) 序號(hào) 要點(diǎn) 條款 需提供證明材料 自評(píng)估 結(jié)論 證明材料清單 符 合 不 符 合 法人批準(zhǔn)成立，法人實(shí)體能為申請(qǐng)人開(kāi) 展的活動(dòng)承擔(dān)相關(guān)的法律責(zé)任的文件 （法人簽字蓋章）。 （提供企業(yè)在國(guó)家企業(yè)信用信息公示 系統(tǒng)*中的基礎(chǔ)信息截圖） 2. 法律地位 要求 遵循國(guó)家相關(guān)法律法規(guī)、標(biāo)準(zhǔn) 要求，無(wú)違法違規(guī)記錄，資信 狀況良好。 提供企業(yè)在國(guó)家企業(yè)信用信息公示系 統(tǒng)（*）上的企業(yè)信用信息。 需要截圖 3. 財(cái)務(wù)資信 要求 僅適用于初次認(rèn)證： 組織經(jīng)營(yíng)狀況正常，建立財(cái)務(wù) 管理制度，可為安全服務(wù)提供 必要的財(cái)務(wù)支持

3、。 提供財(cái)務(wù)管理制度，包括財(cái)務(wù)風(fēng)險(xiǎn)管控 制度，必要時(shí)年度審計(jì)報(bào)告作為支撐文 件。 4. 辦公場(chǎng)所 要求 擁有長(zhǎng)期固定辦公場(chǎng)所和相適 應(yīng)的辦公條件，能夠滿足機(jī)構(gòu) 設(shè)置及其業(yè)務(wù)需要。 監(jiān)督審核： 有變化則提供，無(wú)變化則不提 供。 房屋產(chǎn)權(quán)證或租房屋賃合同； 產(chǎn)權(quán)人/出租人、地址、面積、租期。 5. 人員能力 要求 三級(jí)/二級(jí)/ 一級(jí)分別要求：組 織負(fù)責(zé)人擁有 2/3/4年以上信 息技術(shù)領(lǐng)域管理經(jīng)歷。 組織負(fù)責(zé)人簡(jiǎn)歷及資質(zhì)證書(shū)，包括姓 名、年齡、職務(wù)、職稱、學(xué)歷、工作經(jīng) 歷、信息技術(shù)領(lǐng)域管理年限、資質(zhì)證書(shū)。 序號(hào) 要點(diǎn) 條款 需提供證明材料 自評(píng)估 結(jié)論 證明材料清單 符 合 不 符 合 XX市社保

4、部門出具的公司員工社保繳 費(fèi)證明，單據(jù)號(hào)：XXXX出具時(shí)間XX年 XX月 XX 日。 三級(jí)/二級(jí)/一級(jí)的負(fù)責(zé)人社保證明至 少（3個(gè)月）。 需提供社保部門提供的社保繳費(fèi)證明 或社保系統(tǒng)查詢截圖。 6. 三級(jí)/二級(jí)/ 一級(jí)分別要求：技 術(shù)負(fù)責(zé)人具備信息安全服務(wù) （與申報(bào)類別一致）管理能力， 經(jīng)評(píng)價(jià)合格（與申報(bào)類別一 致）。 技術(shù)負(fù)責(zé)人簡(jiǎn)歷及資質(zhì)證書(shū)，包括姓 名、年齡、職務(wù)、職稱、學(xué)歷、工作經(jīng) 歷、信息技術(shù)領(lǐng)域工作年限、資質(zhì)證書(shū)。 提供技術(shù)負(fù)責(zé)人的信息安全服務(wù)管理 能力證明，包括能力考核結(jié)果（與申報(bào) 類別一致）。三級(jí)/二級(jí)/ 一級(jí)的技術(shù)負(fù) 責(zé)人社保證明至少3個(gè)月。 需提供社保部門提供的社保繳費(fèi)證明

5、或社保系統(tǒng)查詢截圖。 7. 三級(jí)/二級(jí)/ 一級(jí)分別要求：項(xiàng) 目負(fù)責(zé)人、項(xiàng)目工程師具備信 息安全服務(wù)（與申報(bào)類別一致） 技術(shù)能力，經(jīng)評(píng)價(jià)合格。 提供項(xiàng)目負(fù)責(zé)人、項(xiàng)目工程師的技術(shù)能 力證明，包括能力考核結(jié)果。女口，對(duì)應(yīng) 崗位職責(zé)、能力自評(píng)價(jià)、能力評(píng)價(jià)、項(xiàng) 目經(jīng)歷等證明材料。 三級(jí)/二級(jí)/一級(jí)的服務(wù)人員的社保證 明至少3個(gè)月。 需提供社保部門提供的社保繳費(fèi)證明 或社保系統(tǒng)查詢截圖。 序號(hào) 要點(diǎn) 條款 需提供證明材料 自評(píng)估 結(jié)論 證明材料清單 符 合 不 符 合 8. 業(yè)績(jī)要求 僅適用初次審核： 三級(jí)/二級(jí)/ 一級(jí)分別要求： 從 事信息安全服務(wù)（與申報(bào)類別 一致）至少4個(gè)月/3年或取得三 級(jí)資質(zhì)1年

6、以上/5年或取得二 級(jí)資質(zhì)1年以上。 提供首個(gè)信息安全服務(wù)（與申報(bào)類別一 致）項(xiàng)目合同原件，核對(duì)項(xiàng)目名稱、合 同簽訂時(shí)間、項(xiàng)目驗(yàn)收時(shí)間等。 （公開(kāi)招標(biāo)項(xiàng)目需提供中標(biāo)通知書(shū)原 件或招標(biāo)網(wǎng)站公示截圖， 非公開(kāi)招標(biāo)項(xiàng) 目需提供財(cái)務(wù)收款憑證）。 監(jiān)督審核不適用。 三級(jí)初次申報(bào)填寫公司成立時(shí)間/或項(xiàng)目開(kāi) 始時(shí)間。 9. 業(yè)績(jī)要求 僅適用初次審核： 三級(jí)/二級(jí)/一級(jí)分別要求： 近3 年內(nèi)簽訂并完成至少 1個(gè)/6個(gè) /10個(gè)信息安全服務(wù)（與申報(bào)類 別一致）項(xiàng)目。 現(xiàn)場(chǎng)隨機(jī)抽查 1個(gè)項(xiàng)目。 監(jiān)督審核： 三級(jí)/二級(jí)/一級(jí)監(jiān)督審核： 近1 年內(nèi)簽訂并完成至少 1個(gè)/2個(gè) /2個(gè)信息安全服務(wù)（與申報(bào)類 別一致）項(xiàng)目

7、。 現(xiàn)場(chǎng)隨機(jī)抽查 1個(gè)項(xiàng)目。 提供信息安全服務(wù)項(xiàng)目（與申報(bào)類別一 致）合同及驗(yàn)收?qǐng)?bào)告原件， 核對(duì)項(xiàng)目清 單，確認(rèn)項(xiàng)目名稱、合同金額、簽訂時(shí) 間、驗(yàn)收時(shí)間、項(xiàng)目數(shù)量、服務(wù)內(nèi)容與 申報(bào)一致。 （公開(kāi)招標(biāo)項(xiàng)目需提供中標(biāo)通知書(shū)原 件或招標(biāo)網(wǎng)站公示截圖， 非公開(kāi)招標(biāo)項(xiàng) 目需提供財(cái)務(wù)收款憑證）。 10. 服務(wù)管理 要求 建立并運(yùn)行人員管理程序，識(shí) 別安全服務(wù)人員的服務(wù)能力要 求，明確安全服務(wù)人員的崗位 職責(zé)、技術(shù)能力要求，并通過(guò) 評(píng)價(jià)證明其能夠勝任其承擔(dān)的 職責(zé)。 提供服務(wù)人員管理程序，及安全服務(wù)人 員的崗位職責(zé)、技術(shù)能力要求，并提供 評(píng)價(jià)證明其能夠勝任其承擔(dān)的職責(zé)。 序號(hào) 要點(diǎn) 條款 需提供證明材料 自

8、評(píng)估 結(jié)論 證明材料清單 符 合 不 符 合 11. 制定服務(wù)人員能力培養(yǎng)計(jì)劃， 包括網(wǎng)絡(luò)與信息安全相關(guān)的技 術(shù)、技能、管理、意識(shí)等內(nèi)容， 并執(zhí)行計(jì)劃，確保服務(wù)人員持 續(xù)勝任其承擔(dān)的職責(zé)。 提供服務(wù)人員能力培養(yǎng)計(jì)劃，包括網(wǎng)絡(luò) 與信息安全相關(guān)的技術(shù)、技能、管理、 意識(shí)等內(nèi)容，并執(zhí)行計(jì)劃，確保服務(wù)人 員持續(xù)勝任其承擔(dān)的職責(zé)。 12. 建立文檔管理程序，包括組織 管理、服務(wù)過(guò)程管理、質(zhì)量管 理等內(nèi)容，明確項(xiàng)目產(chǎn)生、發(fā) 布、保存、傳輸、使用（包括 交付和內(nèi)部使用）、廢棄等環(huán)節(jié) 的文檔控制。 文檔管理程序建立及實(shí)施情況，提供與 申報(bào)類型一致的安全服務(wù)項(xiàng)目過(guò)程文 檔，核實(shí)是否存在遺失或信息泄露等問(wèn) 題。

9、13. 二級(jí)：426 c）配備檔案室及高 安全性的文件服務(wù)器。 提供配備檔案室及高安全性的文件服 務(wù)器的證據(jù)。 14. 一級(jí)：436 c）配備檔案室及高 安全性的文件服務(wù)器，至少近 兩年的項(xiàng)目在文件管理系統(tǒng)中 進(jìn)行管理。 提供配備檔案室及高安全性的文件服 務(wù)器，至少近兩年的項(xiàng)目在文件管理系 統(tǒng)中進(jìn)行管理的證據(jù)。 15. 建立并運(yùn)行項(xiàng)目管理程序，明 確服務(wù)項(xiàng)目的組織、計(jì)劃、實(shí) 施、風(fēng)險(xiǎn)控制、交付等環(huán)節(jié)的 操作規(guī)程。 提供項(xiàng)目管理程序建立及實(shí)施情況的 證據(jù)，明確服務(wù)項(xiàng)目的組織、計(jì)劃、實(shí) 施、風(fēng)險(xiǎn)控制、交付等環(huán)節(jié)的操作規(guī)程， 提供項(xiàng)目風(fēng)險(xiǎn)管理記錄。 序號(hào) 要點(diǎn) 條款 需提供證明材料 自評(píng)估 結(jié)論 證

10、明材料清單 符 合 不 符 合 16. 建立并運(yùn)行保密管理程序，明 確崗位保密責(zé)任，簽訂保密協(xié) 議，并能夠適時(shí)對(duì)相關(guān)人員進(jìn) 行保密教育。 保密管理程序建立及落實(shí)情況，包括保 密范圍、保密方式、保密時(shí)效、保密責(zé) 任主體、罰則。提供組織與管理層、 技 術(shù)負(fù)責(zé)人及項(xiàng)目實(shí)施人員簽訂的保密 協(xié)議。關(guān)鍵崗位離職人員簽訂離職保密 協(xié)議。提供保密教育培訓(xùn)記錄。 17. （三級(jí)要求）建立與運(yùn)行供應(yīng) 商管理程序，確保其供應(yīng)商滿 足服務(wù)安全要求（僅適用于安 全集成、安全運(yùn)維、災(zāi)難備份 與恢復(fù)）。 提供供應(yīng)商名錄、供應(yīng)商管理制度的實(shí) 施情況，包括供應(yīng)商選擇、考核與管理 等（僅適用于安全集成、安全運(yùn)維、災(zāi) 難備份與恢復(fù)

11、方向） 18. （一、二級(jí)要求）建立并運(yùn)行 供應(yīng)商管理程序，明確供應(yīng)或 外包過(guò)程中的風(fēng)險(xiǎn)，對(duì)供應(yīng)商 或承包方的服務(wù)基本資格、服 務(wù)過(guò)程控制、服務(wù)質(zhì)量、服務(wù) 交付等進(jìn)行識(shí)別，確保其供應(yīng) 商或承包方滿足服務(wù)安全要求 （僅適用于安全集成、安全運(yùn) 維、災(zāi)難備份與恢復(fù)方向）。 提供供應(yīng)商管理程序，明確供應(yīng)或外包 過(guò)程中的風(fēng)險(xiǎn)，對(duì)供應(yīng)商或承包方的服 務(wù)基本資格、服務(wù)過(guò)程控制、服務(wù)質(zhì)量、 服務(wù)交付等進(jìn)行識(shí)別，確保其供應(yīng)商或 承包方滿足服務(wù)安全要求（僅適用于安 全集成、安全運(yùn)維、災(zāi)難備份與恢復(fù)方 向） 19. 建立合同管理程序，制定統(tǒng)一 合同模板，按照合同約定實(shí)施 信息安全服務(wù)項(xiàng)目。按照客戶 要求，對(duì)于接觸到

12、的客戶敏感 提供合同管理程序、 合同統(tǒng)一模板。提 供服務(wù)項(xiàng)目（與申報(bào)類別一致）合同/協(xié) 議中對(duì)敏感信息和知識(shí)產(chǎn)權(quán)信息保護(hù) 要求的相關(guān)條款。 序號(hào) 要點(diǎn) 條款 需提供證明材料 自評(píng)估 結(jié)論 證明材料清單 符 合 不 符 合 信息和知識(shí)產(chǎn)權(quán)信息予以保 護(hù)，并確保服務(wù)方人員了解客 戶的相關(guān)要求。 20. 二級(jí)/一級(jí)要求：參照國(guó)際或 國(guó)內(nèi)標(biāo)準(zhǔn)，建立業(yè)務(wù)范圍覆蓋 信息安全服務(wù)的質(zhì)量管理體 系，并有效運(yùn)行半/ 一年以上。 結(jié)合質(zhì)量管理體系文件，查閱體系運(yùn)行 記錄，驗(yàn)證體系運(yùn)行情況， 至少包括質(zhì) 量管理體系手冊(cè)、文件控制程序、記錄 控制程序、糾正與預(yù)防控制程序、內(nèi)審 與管評(píng)控制程序、安全服務(wù)工作控制程 序；

13、內(nèi)審、管評(píng)、外審報(bào)告（有則提供）； 驗(yàn)證質(zhì)量管理體系范圍覆蓋與申報(bào)類 別一致的信息安全服務(wù)。 21. 二級(jí)/一級(jí)要求：參照國(guó)際或 國(guó)內(nèi)標(biāo)準(zhǔn)，建立業(yè)務(wù)范圍覆蓋 信息安全服務(wù)的信息安全管理 體系或信息技術(shù)服務(wù)管理體 系，并有效運(yùn)行半/ 一年以上。 結(jié)合信息安全管理體系文件，查閱體系 運(yùn)行記錄，驗(yàn)證體系運(yùn)行情況， 至少包 括范圍方針文件、事件管理、問(wèn)題管理、 介質(zhì)管理、業(yè)務(wù)連續(xù)性管理、數(shù)據(jù)安全 管理、內(nèi)審與管評(píng)控制程序、內(nèi)審、管 評(píng)、外審報(bào)告（有則提供）風(fēng)險(xiǎn)管理 程序、適用性聲明及相應(yīng)的控制措施文 件（適用于27001）（適用于20000）；業(yè) 務(wù)范圍覆蓋與申報(bào)類別一致的信息安 全服務(wù)。 22. 一

14、級(jí)要求：建立信息安全服務(wù) 目錄（與類別相對(duì)應(yīng)），簽訂服 信息安全服務(wù)目錄（與類別相對(duì)應(yīng)）、 服務(wù)級(jí)別協(xié)議。 序號(hào) 要點(diǎn) 條款 需提供證明材料 自評(píng)估 結(jié)論 證明材料清單 符 合 不 符 合 務(wù)級(jí)別協(xié)議（僅適用于安全運(yùn) 維、應(yīng)急處理方向）。 23. 技術(shù)工具 要求 二級(jí)/一級(jí)要求：具備獨(dú)立的測(cè) 試環(huán)境及必要的軟、硬件設(shè)備， 用于技術(shù)培訓(xùn)和模擬測(cè)試。 信息安全服務(wù)的測(cè)試環(huán)境，提供設(shè)備清 單、建設(shè)時(shí)間、規(guī)模、主要承擔(dān)工作等。 24. 二級(jí)/一級(jí)要求：具備承擔(dān)信息 安全服務(wù)（與申報(bào)類別一致） 項(xiàng)目所需的安全工具，并對(duì)工 具進(jìn)行管理和版本控制。 信息安全服務(wù)的軟、硬件工具清單，工 具管理程序和要求；針對(duì)

15、在安全服務(wù)項(xiàng) 目中應(yīng)用自主開(kāi)發(fā)工具和產(chǎn)品進(jìn)行現(xiàn) 場(chǎng)演示，提供產(chǎn)品銷售許可證或軟件著 作權(quán)證書(shū)。 25. 申請(qǐng)二級(jí) 資質(zhì)條件 可根據(jù)條件直接申請(qǐng)，或獲得 三級(jí)資質(zhì)（與申報(bào)類別一致） 一年以上，且服務(wù)管理程序文 件需建立并運(yùn)行半年以上。 信息安全服務(wù)（與申報(bào)類別一致）三級(jí) 資質(zhì)證書(shū)。服務(wù)管理程序文件及運(yùn)行時(shí) 間。 26. 申請(qǐng)一級(jí) 資質(zhì)條件 需獲得信息安全服務(wù)（與申報(bào) 類別一致）二級(jí)資質(zhì)一年以上， 且服務(wù)管理程序文件需建立并 運(yùn)行一年以上。 信息安全服務(wù)（與申報(bào)類別一致）二級(jí) 資質(zhì)證書(shū)。服務(wù)管理程序文件及運(yùn)行時(shí) 間。 以下內(nèi)容適用于年度監(jiān)督 27. 業(yè)績(jī)情況 業(yè)績(jī)情況 近一年業(yè)務(wù)發(fā)展情況，簽訂、完成的項(xiàng) 目數(shù)量及情況，項(xiàng)目經(jīng)驗(yàn)及教訓(xùn)等 序號(hào) 要點(diǎn) 條款 需提供證明材料 自評(píng)估 結(jié)論 證明材料清單 符 合 不 符 合 28. 組織變更 情況 組織變更情況 組織變更情況，包括法人、資本注冊(cè)、 股東變更、組織負(fù)責(zé)人、服務(wù)負(fù)責(zé)人、 組織架構(gòu)等變化情況。 29. 證書(shū)及標(biāo) 志使用情 況 證書(shū)及標(biāo)志使用情況 證書(shū)及標(biāo)志使用情況。 30. 客戶投訴 制度建立 及執(zhí)行情