信息安全服務(wù)資質(zhì)公共管理填寫指南

1、.信息安全服務(wù)資質(zhì)認(rèn)證自評(píng)估表-公共管理填寫指南填寫要求：1.當(dāng)條款對(duì)應(yīng)的需提供證明材料為營(yíng)業(yè)證照、財(cái)務(wù)審計(jì)報(bào)告、房屋產(chǎn)權(quán)證明、租賃合同、人員簡(jiǎn)歷、業(yè)績(jī)等容時(shí)，在“證明材料清單欄目”中直接按照本文檔中的格式，填寫關(guān)鍵容即可。2.當(dāng)條款對(duì)應(yīng)的需提供證明材料為制度或項(xiàng)目文檔時(shí)，在“證明材料清單欄目”填寫文檔的完整名稱。例如XX 公司培訓(xùn)管理制度、XX 公司項(xiàng)目管理制度、XX 公司測(cè)評(píng)工具管理制度等，并概括地介紹制度或項(xiàng)目文檔各章節(jié)的主要容。3.當(dāng)條款對(duì)應(yīng)的需提供證明材料為記錄文檔時(shí)，在“證明材料清單欄目” 填寫記錄的完整名稱。 例如2016 年 XX 公司培訓(xùn)計(jì)劃、XX項(xiàng)目人員培訓(xùn)記錄、XX 公司

2、供應(yīng)商名錄等，并概括地介紹記錄文檔的主要容。4.當(dāng)條款對(duì)應(yīng)的需提供證明材料為某制度或文檔的某章節(jié)容時(shí)，在“證明材料清單欄目”填寫文檔的完整名稱及對(duì)應(yīng)的章節(jié)編號(hào)。例如XX 項(xiàng)目調(diào)研報(bào)告第X 章 安全服務(wù)需求分析、 XX 項(xiàng)目合同第 X 條 要求等，并對(duì)相關(guān)容進(jìn)行總結(jié)概括。5.所有出現(xiàn)在“證明材料清單”欄目中的文檔，都需提供相應(yīng)的電子版文檔或紙質(zhì)文檔的掃描件作為證明材料，并按照條款的序號(hào)建立文件夾整理歸檔，建立文件夾的格式為“序號(hào)-條款的考核容”，例如“ 1-營(yíng)業(yè)執(zhí)照”、“2-審計(jì)報(bào)告”、“5-技術(shù)負(fù)責(zé)人簡(jiǎn)歷”、“9-人員管理及培訓(xùn)”等。頁(yè)腳.以下給出了一份填寫樣例，供填報(bào)組織進(jìn)行參考。填報(bào)組織應(yīng)

3、按照填寫樣例的細(xì)粒度，進(jìn)行相關(guān)信息的填報(bào)。頁(yè)腳.組織名稱XX 公司（全稱）評(píng)估時(shí)間XX年X月 X日-X月 X日服務(wù)類別 / 級(jí)別所申請(qǐng)或維持的資質(zhì)類別/ 級(jí)別，例如“風(fēng)險(xiǎn)評(píng)估/ 二級(jí)”評(píng)估部門 / 人員XX 部/XX序要點(diǎn)條款號(hào)三級(jí)初次非現(xiàn)場(chǎng)必填僅適用于初次認(rèn)證：在人民國(guó)境注冊(cè)的獨(dú)立法人組織，發(fā)展法律地位1.歷程清晰，產(chǎn)權(quán)關(guān)系明確。要求監(jiān)督審核：如有變化則重新提供。三級(jí)初次非現(xiàn)場(chǎng)必填遵循相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求，無違規(guī)2.記錄，資信狀況良好。需提供證明材料營(yíng)業(yè)執(zhí)照 / 事業(yè)單位登記證，核對(duì)注冊(cè)號(hào)、法定代表人、注冊(cè)資本、公司類型、經(jīng)營(yíng)圍、成立日期、營(yíng)業(yè)期限等。（提供企業(yè)在企業(yè)信用信息公示系統(tǒng).gs

4、. ）提供企業(yè)在企業(yè)信用信息公示系統(tǒng)（ .. ）上的企業(yè)信用信息。自評(píng)估結(jié)論不證明材料清單符符合合提供營(yíng)業(yè)執(zhí)照 / 事業(yè)單位登記證原件。注冊(cè)號(hào)：法定代表人：注冊(cè)資本：公司類型：成立日期：營(yíng)業(yè)期限：經(jīng)營(yíng)圍：注：監(jiān)督檢查如有變化應(yīng)注明變化容提供企業(yè)信用查詢相關(guān)的截圖證據(jù)。三級(jí)初次非現(xiàn)場(chǎng)必填財(cái)務(wù)資信3.僅適用于初次認(rèn)證：要求近 3 年經(jīng)營(yíng)狀況良好，財(cái)務(wù)數(shù)據(jù)真實(shí)可財(cái)務(wù)審計(jì)報(bào)告或（ 僅限于三級(jí) ）加蓋XX 年：由 XX 會(huì)計(jì)師事務(wù)所出具，凈利潤(rùn)為XX 元；XX 年：由 XX 會(huì)計(jì)師事務(wù)所出具，凈利潤(rùn)為XX 元；本單位財(cái)務(wù)章的財(cái)務(wù)報(bào)表（近 3 年）。XX 年：由 XX 會(huì)計(jì)師事

5、務(wù)所出具，凈利潤(rùn)為XX 元；頁(yè)腳.自評(píng)估序結(jié)論條款需提供證明材料證明材料清單要點(diǎn)不號(hào)符符合合信，應(yīng)提供在人民國(guó)境登記注冊(cè)的會(huì)計(jì)注：如出現(xiàn)虧損，要說明虧損原因及以后的盈利能力。師事務(wù)所出具的近 3 年財(cái)務(wù)審計(jì)報(bào)告。監(jiān)督審核：應(yīng)提供在人民國(guó)境登記注冊(cè)的會(huì)計(jì)師事務(wù)所出具的近1年財(cái)務(wù)審計(jì)報(bào)告。三級(jí)初次非現(xiàn)場(chǎng)必填擁有長(zhǎng)期固定辦公場(chǎng)所和相適應(yīng)的辦公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需辦公場(chǎng)所4.要。要求監(jiān)督審核：有變化則提供，無變化則不提供。三級(jí)初次非現(xiàn)場(chǎng)必填三級(jí) / 二級(jí) / 一級(jí)分別要求：組織負(fù)責(zé)人人員能力5.擁有 2/3/4 年 以上信息技術(shù)領(lǐng)域管理經(jīng)要求歷。提供房屋產(chǎn)權(quán)證或租房屋賃合同原件。產(chǎn)權(quán)人 /

6、 出租人：地址：房屋產(chǎn)權(quán)證或租房屋賃合同；面積：產(chǎn)權(quán)人 / 出租人、地址、面積、租期。租期：至XX年 XX 月XX 日組織負(fù)責(zé)人簡(jiǎn)歷及資質(zhì)證書，包括姓提供組織負(fù)責(zé)人簡(jiǎn)歷及資質(zhì)證書。名、年齡、職務(wù)、職稱、學(xué)歷、工作組織負(fù)責(zé)人XX ，XX 歲，職務(wù)，職稱，XX 年 XX 月畢業(yè)經(jīng)歷、資質(zhì)證書。于 XX 大學(xué) XX 專業(yè)，學(xué)歷，XX 年信息技術(shù)領(lǐng)域管理經(jīng)XX 市社保部門出具的公司員工社保歷。繳費(fèi)證明，單據(jù)號(hào)：XXXX ，出具時(shí)畢業(yè)證書號(hào)：間XX 年 XX月 XX 日。職稱證書號(hào)：三級(jí) / 二級(jí) / 一級(jí)的負(fù)責(zé)人社保證明至少（ 3 個(gè)月）。需提供人社部門查詢信息的相關(guān)截圖。頁(yè)腳.序要點(diǎn)條款需提供證明材

7、料號(hào)三級(jí)初次非現(xiàn)場(chǎng)必填提供技術(shù)負(fù)責(zé)人的信息安全服務(wù)管三級(jí) / 二級(jí) / 一級(jí)分別要求： 技術(shù)負(fù)責(zé)人理能力證明，包括能力考核結(jié)果（與具備信息安全服務(wù)（與申報(bào)類別一致）申報(bào)類別一致）或?qū)I(yè)認(rèn)證證書。三6.管理能力，經(jīng)考核合格（與申報(bào)類別一級(jí)/ 二級(jí) / 一級(jí)的技術(shù)負(fù)責(zé)人社保證明致）或通過專業(yè)認(rèn)證，考核要求見附錄至少（ 3 個(gè)月）。G。需提供人社部門查詢信息的相關(guān)截圖。三級(jí)初次非現(xiàn)場(chǎng)必填三級(jí) /二級(jí) /一級(jí)分別要求： 項(xiàng)目負(fù)責(zé)提供項(xiàng)目負(fù)責(zé)人、 項(xiàng)目工程師的技術(shù)能力證明， 包括能力考核結(jié)果或?qū)I(yè)人、項(xiàng)目工程師具備信息安全服務(wù)（與認(rèn)證證書。申報(bào)類別一致）技術(shù)能力，經(jīng)考核合格三級(jí) / 二級(jí) / 一級(jí)的服務(wù)

8、人社保證明至7.G?；蛲ㄟ^專業(yè)認(rèn)證，考核要求見附錄少（ 3 個(gè)月）。三級(jí) / 二級(jí) / 一級(jí)分別 不少于（2/6/10需提供人社部門查詢信息的相關(guān)截人）圖。僅適用初次審核 :提供首個(gè)信息安全服務(wù) （與申報(bào)類別三級(jí) / 二級(jí) / 一級(jí)分別要求：從事信息安一致）項(xiàng)目合同原件， 核對(duì)項(xiàng)目名稱、8.業(yè)績(jī)要求全服務(wù)（與申報(bào)類別一致） 至少 4 個(gè)月 /3合同簽訂時(shí)間、項(xiàng)目驗(yàn)收時(shí)間等。年或取得三級(jí)資質(zhì)1年以上 / 5 年或取得（可在相應(yīng)招投標(biāo)上查詢）。二級(jí)資質(zhì) 1年以上。自評(píng)估結(jié)論不證明材料清單符符合合技術(shù)負(fù)責(zé)人 XX ，考核或?qū)I(yè)認(rèn)證證書號(hào)：項(xiàng)目工程師XX ，考核或?qū)I(yè)認(rèn)證證書號(hào)：監(jiān)督審核不適用。首個(gè)信

9、息安全服務(wù)（與申報(bào)類別一致）項(xiàng)目合同信息，示例如下（如同時(shí)申請(qǐng)多個(gè)向的資質(zhì)，需分別填寫）：安全集成項(xiàng)目名稱：項(xiàng)目金額：合同簽訂時(shí)間：項(xiàng)目驗(yàn)收時(shí)間：風(fēng)險(xiǎn)評(píng)估頁(yè)腳.自評(píng)估序結(jié)論條款需提供證明材料證明材料清單要點(diǎn)不號(hào)符符合合項(xiàng)目名稱：項(xiàng)目金額：合同簽訂時(shí)間：項(xiàng)目驗(yàn)收時(shí)間：三級(jí) / 二級(jí) / 一級(jí)分別要求： 近 3 年簽訂并提供信息安全服務(wù)項(xiàng)目（與申報(bào)類別完成至少 1/6/10 個(gè)信息安全服務(wù)（與申一致）合同及驗(yàn)收?qǐng)?bào)告原件，核對(duì)項(xiàng)報(bào)類別一致） 項(xiàng)目。三級(jí)現(xiàn)場(chǎng)抽查 1個(gè)項(xiàng)目清單，確認(rèn)項(xiàng)目名稱、合同金額、9.目，一二級(jí)現(xiàn)場(chǎng)抽查2 個(gè)項(xiàng)目。簽訂時(shí)間、驗(yàn)收時(shí)間、項(xiàng)目數(shù)量、服三級(jí) / 二級(jí) / 一級(jí)監(jiān)督審核：

10、近 1年簽訂并務(wù)容與申報(bào)一致。完成至少 1個(gè)/2 個(gè) /2 個(gè)信息安全服務(wù) （與（可在相應(yīng)招投標(biāo)上查詢）。申報(bào)類別一致）項(xiàng)目。如無項(xiàng)目案例，申請(qǐng)須承諾（提供加蓋組織公章并由法人簽字確認(rèn)的承諾書）在獲證后 6 個(gè)月完成該向的服務(wù)項(xiàng)目并填寫對(duì)應(yīng)向的自評(píng)估表提交ISCCC及審核組長(zhǎng)。按申報(bào)類別分別填寫，示例如下（填寫的項(xiàng)目數(shù)量需滿足所申請(qǐng)或維持資質(zhì)級(jí)別的最低要求） ：安全集成1.項(xiàng)目名稱：合同金額：簽訂時(shí)間：驗(yàn)收時(shí)間：2.項(xiàng)目名稱：合同金額：簽訂時(shí)間：驗(yàn)收時(shí)間：風(fēng)險(xiǎn)評(píng)估1、項(xiàng)目名稱：合同金額：頁(yè)腳.序要點(diǎn)條款需提供證明材料號(hào)三級(jí)初次非現(xiàn)場(chǎng)必填人員管理與培訓(xùn)制度、 培訓(xùn)與考核記錄，驗(yàn)證公司人員管理情況

11、（制度及建立并運(yùn)行人員管理程序，明確能力考落實(shí)，包括崗位職責(zé)、人員能力、專10.核指標(biāo)并制定業(yè)務(wù)和技能培訓(xùn)計(jì)劃，定業(yè)向、考核情況等）。近三年員工培期對(duì)相關(guān)人員開展培訓(xùn)和考核。訓(xùn)計(jì)劃、培訓(xùn)與考核記錄，包括信息安全意識(shí)培訓(xùn)、技術(shù)與管理培訓(xùn)等。文檔控制程序建立及實(shí)施情況，提供11.建立文檔控制程序，明確文檔管理職與申報(bào)類型一致的安全服務(wù)項(xiàng)目過責(zé)，任命管理人員，并按照制度執(zhí)行。程文檔， 核實(shí)是否存在遺失或信息泄服務(wù)管理要求露等問題。三級(jí)初次非現(xiàn)場(chǎng)必填項(xiàng)目管理制度建立及實(shí)施情況，制度建立項(xiàng)目管理制度，明確項(xiàng)目管理職中包括項(xiàng)目管理貫穿項(xiàng)目從立項(xiàng)到12.責(zé)，任命管理人員，并按照制度執(zhí)行風(fēng)結(jié)項(xiàng)的整個(gè)過程， 包

12、括項(xiàng)目風(fēng)險(xiǎn)管理險(xiǎn)管理。等。提供項(xiàng)目風(fēng)險(xiǎn)管理記錄。三級(jí)初次非現(xiàn)場(chǎng)必填管理制度建立及落實(shí)情況，包括圍、13.建立并運(yùn)行管理制度，明確崗位責(zé)任。式、時(shí)效、責(zé)任主體、罰則。提供教能夠定期對(duì)相關(guān)人員進(jìn)行教育，并簽訂育培訓(xùn)記錄，提供組織與管理層、技自評(píng)估結(jié)論不證明材料清單符符合合簽訂時(shí)間：驗(yàn)收時(shí)間：2.項(xiàng)目名稱：合同金額：簽訂時(shí)間：驗(yàn)收時(shí)間：提供 XX 公司人力資源控制程序 、培訓(xùn)制度、近三年員工培訓(xùn)計(jì)劃、培訓(xùn)與考核記錄，包括信息安全意識(shí)培訓(xùn)、技術(shù)與管理培訓(xùn)等。 （注：根據(jù)公司具體情況，可提供信息安全意識(shí)培訓(xùn)、技術(shù)與管理培訓(xùn)課件，考核記錄，培訓(xùn)簽到表等）提供 XX 公司文檔控制程序 （按實(shí)際名稱填寫） ，

13、公司對(duì)項(xiàng)目文檔的管理式為：提供 XX 公司項(xiàng)目管理制度制度中包括項(xiàng)目管理貫穿項(xiàng)目從立項(xiàng)到結(jié)項(xiàng)的 XX、 XX 、XX、 XX 、XX 過程。項(xiàng)目風(fēng)險(xiǎn)管理章節(jié)及主要容：提供 XX 管理制度公司教育培訓(xùn)執(zhí)行情況：提供教育培訓(xùn)課件、培訓(xùn)簽到表、考試記錄、會(huì)議紀(jì)要等頁(yè)腳.序要點(diǎn)條款需提供證明材料號(hào)協(xié)議。術(shù)負(fù)責(zé)人及項(xiàng)目實(shí)施人員簽訂的協(xié)議。建立供應(yīng)商管理制度，確保其供應(yīng)商滿提供供應(yīng)商名錄、 供應(yīng)商管理制度的實(shí)施情況，包括供應(yīng)商選擇、考核與足服務(wù)安全要求 （僅適用于安全集成、管理等 （僅適用于安全集成、安全運(yùn)14.安全運(yùn)維、災(zāi)難備份與恢復(fù)向，如存在維、災(zāi)難備份與恢復(fù)向，如存在服務(wù)服務(wù)外包時(shí)，需要重點(diǎn)對(duì)服務(wù)外

14、包項(xiàng)目外包時(shí)， 需要重點(diǎn)對(duì)服務(wù)外包項(xiàng)目過過程及質(zhì)量的管理情況進(jìn)行描述）。程及質(zhì)量的管理情況進(jìn)行描述）。三級(jí)初次非現(xiàn)場(chǎng)必填建立合同管理制度，制定統(tǒng)一合同模提供合同管理制度、合同統(tǒng)一模板。板，按照合同約定實(shí)施信息安全服務(wù)項(xiàng)提供服務(wù)項(xiàng)目（與申報(bào)類別一致）合15.目。按照客戶要求，對(duì)于接觸到的客戶同 / 協(xié)議中對(duì)敏感信息和知識(shí)產(chǎn)權(quán)信敏感信息和知識(shí)產(chǎn)權(quán)信息予以保護(hù)，并息保護(hù)要求的相關(guān)條款。確保服務(wù)人員了解客戶的相關(guān)要求。二級(jí) / 一級(jí)要求：了解客戶及所處的行業(yè)提供針對(duì)具體項(xiàng)目的調(diào)研容， 包括對(duì)16.對(duì)信息安全服務(wù)的特定要求，確定信息客戶所處行業(yè)情況和相關(guān)要求的描安全服務(wù)圍。述。二級(jí)要求： 參照國(guó)際或國(guó)標(biāo)

15、準(zhǔn)， 建立業(yè)結(jié)合質(zhì)量管理體系文件， 查閱體系運(yùn)17.務(wù)圍覆蓋信息安全服務(wù)的質(zhì)量管理體行記錄，驗(yàn)證體系運(yùn)行情況，至少包系，并有效運(yùn)行半年以上。括質(zhì)量管理體系手冊(cè)、文件控制程自評(píng)估結(jié)論不符符合合證明材料清單提供組織負(fù)責(zé)人 XX 、技術(shù)負(fù)責(zé)人 XX、項(xiàng)目實(shí)施人員 XX 等 XX 人簽訂的協(xié)議提供 XX 供應(yīng)商管理制度 、供應(yīng)商名錄及供應(yīng)商考核管理記錄注：新申報(bào)需提供前三個(gè)年度，監(jiān)督審核提供上一年度的相關(guān)記錄提供 XX 合同管理制度 、統(tǒng)一合同模板：提供典型項(xiàng)目（與申報(bào)類一致）合同，其中對(duì)于敏感信息和知識(shí)產(chǎn)權(quán)信息保護(hù)要求的相關(guān)條款為：注：此處按申報(bào)類別分別填寫，一二級(jí)每個(gè)向填寫 2 個(gè)項(xiàng)目的相關(guān)情況提

16、供典型項(xiàng)目（與申報(bào)類一致）合同，服務(wù)圍：提供典型項(xiàng)目（與申報(bào)類一致）調(diào)研報(bào)告，對(duì)客戶所處行業(yè)情況和相關(guān)要求的描述容為：注：此處按申報(bào)類別分別填寫，一二級(jí)每個(gè)向填寫 2 個(gè)項(xiàng)目的相關(guān)情況提供質(zhì)量管理體系文件，包括質(zhì)量管理體系手冊(cè)、文件控制程序、記錄控制程序、糾正與預(yù)防控制程序、審與管評(píng)控制程序、安全服務(wù)工作控制程序等頁(yè)腳序要點(diǎn)條款號(hào)一級(jí)要求： 參照國(guó)際或國(guó)標(biāo)準(zhǔn)，建立業(yè)18.務(wù)圍覆蓋信息安全服務(wù)的質(zhì)量管理體系，并有效運(yùn)行一年以上。二級(jí)要求： 參照國(guó)際或國(guó)標(biāo)準(zhǔn)， 建立業(yè)19.務(wù)圍覆蓋信息安全服務(wù)的信息安全管理體系或信息技術(shù)服務(wù)管理體系，并有.需提供證明材料序、記錄控制程序、糾正與預(yù)防控制程序、審與管

17、評(píng)控制程序、安全服務(wù)工作控制程序；審、管評(píng)、外審報(bào)告（有則提供）；驗(yàn)證質(zhì)量管理體系圍覆蓋與申報(bào)類別一致的信息安全服務(wù)。結(jié)合質(zhì)量管理體系文件， 查閱體系運(yùn)行記錄，驗(yàn)證體系運(yùn)行情況，至少包括質(zhì)量管理體系手冊(cè)、文件控制程序、記錄控制程序、糾正與預(yù)防控制程序、審與管評(píng)控制程序、安全服務(wù)工作控制程序；審、管評(píng)、外審報(bào)告（有則提供）；驗(yàn)證質(zhì)量管理體系圍覆蓋與申報(bào)類別一致的信息安全服務(wù)。結(jié)合信息安全管理體系文件， 查閱體系運(yùn)行記錄，驗(yàn)證體系運(yùn)行情況，至少包括圍針文件、文件控制程序、記自評(píng)估結(jié)論不證明材料清單符符合合提供體系運(yùn)行記錄：審、管評(píng)報(bào)告業(yè)務(wù)覆蓋圍：或提供質(zhì)量管理體系認(rèn)證證書原件：證書編號(hào)：發(fā)證機(jī)構(gòu)：

18、頒證日期：有效期：業(yè)務(wù)圍覆蓋：提供質(zhì)量管理體系文件，包括質(zhì)量管理體系手冊(cè)、文件控制程序、記錄控制程序、糾正與預(yù)防控制程序、審與管評(píng)控制程序、安全服務(wù)工作控制程序等提供體系運(yùn)行記錄：審、管評(píng)報(bào)告業(yè)務(wù)覆蓋圍：或提供質(zhì)量管理體系認(rèn)證證書原件：證書編號(hào)：發(fā)證機(jī)構(gòu)：頒證日期：有效期：業(yè)務(wù)圍覆蓋：提供信息安全管理體系文件，包括圍針文件、文件控制程序、記錄控制程序、糾正與預(yù)防控制程序、審與管評(píng)控制程序、 風(fēng)險(xiǎn)管理程序、適用性聲明及相應(yīng)的控制措頁(yè)腳.自評(píng)估序結(jié)論條款需提供證明材料要點(diǎn)不號(hào)符符合合效運(yùn)行半年以上。錄控制程序、糾正與預(yù)防控制程序、審與管評(píng)控制程序、審、管評(píng)、外審報(bào)告（有則提供） 風(fēng)險(xiǎn)管理程序、適用

19、性聲明及相應(yīng)的控制措施文件（適用于 27001 ）或 服務(wù)等級(jí)管理程序、事件管理程序、問題管理程序、變更和發(fā)布管理程序、 配置管理程序 （適用于 20000 ）；業(yè)務(wù)圍覆蓋與申報(bào)類別一致的信息安全服務(wù)。結(jié)合信息安全管理體系文件， 查閱體系運(yùn)行記錄，驗(yàn)證體系運(yùn)行情況，至少包括圍針文件、文件控制程序、記一級(jí)要求： 參照國(guó)際或國(guó)標(biāo)準(zhǔn)， 建立業(yè)錄控制程序、糾正與預(yù)防控制程序、審與管評(píng)控制程序、審、管評(píng)、外審務(wù)圍覆蓋信息安全服務(wù)的信息安全管20.報(bào)告、 風(fēng)險(xiǎn)管理程序、 適用性聲明及理體系或信息技術(shù)服務(wù)管理體系，并有相應(yīng)的控制措施文件（適用于效運(yùn)行一年以上。27001 ）或 服務(wù)等級(jí)管理程序、事件管理程序

20、、問題管理程序、變更和發(fā)布管理程序、 配置管理程序（適用于20000 ）；業(yè)務(wù)圍覆蓋與申報(bào)類別一證明材料清單施文件 （適用于 27001 ）或 服務(wù)等級(jí)管理程序、事件管理程序、問題管理程序、變更和發(fā)布管理程序、配置管理程序 （適用于 20000 ）體系運(yùn)行記錄：審、管評(píng)報(bào)告業(yè)務(wù)覆蓋圍：或提供信息安全管理體系或信息技術(shù)服務(wù)管理體系認(rèn)證證書原件：證書編號(hào)：發(fā)證機(jī)構(gòu)：頒證日期：有效期：業(yè)務(wù)圍覆蓋：提供信息安全管理體系文件，包括圍針文件、文件控制程序、記錄控制程序、糾正與預(yù)防控制程序、審與管評(píng)控制程序、 風(fēng)險(xiǎn)管理程序、適用性聲明及相應(yīng)的控制措施文件 （適用于 27001 ）或 服務(wù)等級(jí)管理程序、事件管

21、理程序、問題管理程序、變更和發(fā)布管理程序、配置管理程序 （適用于 20000 ）體系運(yùn)行記錄：審、管評(píng)報(bào)告業(yè)務(wù)覆蓋圍：或提供信息安全管理體系或信息技術(shù)服務(wù)管理體系認(rèn)證證書原件：頁(yè)腳.自評(píng)估序結(jié)論條款需提供證明材料要點(diǎn)不號(hào)符符合合致的信息安全服務(wù)。證明材料清單證書編號(hào)：發(fā)證機(jī)構(gòu)：頒證日期：有效期：業(yè)務(wù)圍覆蓋：提供公司的信息安全服務(wù)目錄及服務(wù)級(jí)別協(xié)議：一級(jí)要求： 建立信息安全服務(wù)目錄（與信息安全服務(wù)目錄 （與類別相對(duì)應(yīng)） 、21.類別相對(duì)應(yīng)），簽訂服務(wù)級(jí)別協(xié)議。服務(wù)級(jí)別協(xié)議。二級(jí) / 一級(jí)要求：具備獨(dú)立的測(cè)試環(huán)境及信息安全服務(wù)的測(cè)試環(huán)境， 提供設(shè)備22.必要的軟、硬件設(shè)備，用于技術(shù)培訓(xùn)和清單、建設(shè)

22、時(shí)間、規(guī)模、主要承擔(dān)工模擬測(cè)試。作等。技術(shù)工具信息安全服務(wù)的軟、硬件工具清單，要求二級(jí) / 一級(jí)要求：具備承擔(dān)信息安全服務(wù)工具管理程序和要求； 針對(duì)在安全服23.（與申報(bào)類別一致）項(xiàng)目所需的安全工務(wù)項(xiàng)目中應(yīng)用自主開發(fā)工具和產(chǎn)品具，并對(duì)工具進(jìn)行管理和版本控制。進(jìn)行現(xiàn)場(chǎng)演示， 提供產(chǎn)品銷售可證或軟件著作權(quán)證書。僅適用于三級(jí)初次非現(xiàn)場(chǎng)按照相關(guān)標(biāo)準(zhǔn)建立申報(bào)的服務(wù)類別24.服務(wù)技術(shù)建立信息安全服務(wù)（與申報(bào)類別一致）流程（申報(bào)多類需要制定相對(duì)應(yīng)的服流程。務(wù)流程） 。流程圖中應(yīng)包括每個(gè)階段（在服務(wù)目錄中需明確展示服務(wù)容、服務(wù)形式、服務(wù)價(jià)格、服務(wù)交付成果和服務(wù)級(jí)別等的列表）（在服務(wù)級(jí)別協(xié)議中需對(duì)服務(wù)交付成果明

23、確約定、可測(cè)量和文檔化的一系列服務(wù)指標(biāo)）設(shè)備清單：測(cè)試環(huán)境建設(shè)時(shí)間：規(guī)模：主要承擔(dān)工作：提供安全工具清單：工具管理程序：工具管理和版本更新記錄：自主開發(fā)工具和產(chǎn)品名稱（如有）：產(chǎn)品銷售可證或軟件著作權(quán)證書號(hào)（如有）：自主開發(fā)工具和產(chǎn)品簡(jiǎn)介（如有）：提供信息安全 XXXX 服務(wù)流程（包含 XX 階段、 XX 階段、 XX 階段、 XX 階段），對(duì)每個(gè)階段的目標(biāo)、角色、容、輸出進(jìn)行了說明。頁(yè)腳序要點(diǎn)條款號(hào)僅適用于三級(jí)初次非現(xiàn)場(chǎng)制定信息安全服務(wù)（與申報(bào)類別一致）規(guī)并按照規(guī)實(shí)施。僅適用于三級(jí)初次非現(xiàn)場(chǎng)制定信息系統(tǒng)安全集成服務(wù)過程的文服務(wù)過程 檔模板25.文檔模板僅適用于三級(jí)初次非現(xiàn)場(chǎng)制定信息系統(tǒng)風(fēng)險(xiǎn)評(píng)

24、估服務(wù)過程的文.需提供證明材料對(duì)應(yīng)的職責(zé)、輸入輸出等。制定與申報(bào)的信息安全服務(wù)類別規(guī)并按照規(guī)實(shí)施 （申報(bào)多類需要制定相對(duì)應(yīng)的服務(wù)規(guī)） 。安全集成：（ 1） 集成準(zhǔn)備階段： 至少包括需求調(diào)研報(bào)告、 技術(shù)案、 實(shí)施案 (技術(shù)案容應(yīng)至少包含項(xiàng)目背景、設(shè)計(jì)依據(jù)、總體設(shè)計(jì)架構(gòu)、信息安全設(shè)計(jì)等面容，實(shí)施案應(yīng)至少包含項(xiàng)目組織架構(gòu)及人員安排、進(jìn)度安排、實(shí)施容、項(xiàng)目風(fēng)險(xiǎn)管理、項(xiàng)目溝通管理、項(xiàng)目質(zhì)量管理等面容 )；（ 2） 建設(shè)實(shí)施階段： 至少包括日?qǐng)?bào)/報(bào)；（ 3） 安全保障階段： 至少包括測(cè)試案、驗(yàn)收申請(qǐng)、驗(yàn)收?qǐng)?bào)告；風(fēng)險(xiǎn)評(píng)估：（1）準(zhǔn)備階段： 至少包括信息系自評(píng)估結(jié)論不證明材料清單符符合合1.XX 階段：目標(biāo)：

25、工作容：輸出：提供 XX 公司 XXX 服務(wù)規(guī)，包含 XX 、 XX 、 XX、 XX 等章節(jié)容。提供 XX 、 XX、 XX 、 XX 、 XX 、 XX 等模板文件。提供 XX 、 XX、 XX 、 XX 、 XX 、 XX 等模板文件。頁(yè)腳.序要點(diǎn)條款需提供證明材料號(hào)檔模板統(tǒng)基本情況調(diào)研表、風(fēng)險(xiǎn)評(píng)估案（案中應(yīng)至少包含被評(píng)估對(duì)象描述、評(píng)估依據(jù)、評(píng)估圍、評(píng)估容、 項(xiàng)目組成員、評(píng)估計(jì)劃安排、 評(píng)估工具、 評(píng)估過程、評(píng)估法、風(fēng)險(xiǎn)評(píng)價(jià)原則、風(fēng)險(xiǎn)評(píng)估模型、風(fēng)險(xiǎn)分析與計(jì)算法等面容）；（2）風(fēng)險(xiǎn)識(shí)別階段： 至少包括管理脆弱性檢查表、 技術(shù)脆弱性檢查表（包含主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、中間件、應(yīng)用系

26、統(tǒng)等）、威脅調(diào)查表；（3）風(fēng)險(xiǎn)分析階段： 風(fēng)險(xiǎn)評(píng)估報(bào)告（至少包括評(píng)估過程、評(píng)估法、評(píng)估結(jié)果、處置建議等容）；應(yīng)急處理：（ 1）準(zhǔn)備階段：至少包含工具包、服務(wù)承諾書；僅適用于三級(jí)初次非現(xiàn)場(chǎng)（2）檢測(cè)階段：至少包含授權(quán)制定信息安全應(yīng)急處理服務(wù)過程的文書、應(yīng)急處理案；檔模板（3）抑制階段：至少包含抑制案；（4）根除階段：至少包含根除案；（5）恢復(fù)階段：至少包含恢復(fù)自評(píng)估結(jié)論不證明材料清單符符合合提供 XX 、 XX、 XX 、 XX 、 XX 、 XX 等模板文件。頁(yè)腳.序要點(diǎn)條款需提供證明材料號(hào)案、重建系統(tǒng)規(guī)、數(shù)據(jù)備份規(guī)、安全配置核查表 （可以包含 windows 類操作系統(tǒng)安全配置核查表、lin

27、ux 類操作系統(tǒng)安全配置核查表、數(shù)據(jù)庫(kù)安全配置核查表、中間件安全配置核查表）；（6）總結(jié)階段： 至少包含總結(jié)報(bào)告；自評(píng)估結(jié)論不證明材料清單符符合合備注：應(yīng)急處理案中可以總體涵蓋檢測(cè)、抑制、根除、恢復(fù)面的容。安全運(yùn)維：提供 XX 、 XX、 XX 、 XX 、 XX 、 XX 等模板文件。（1）準(zhǔn)備階段： 至少包含需求調(diào)研報(bào)告；（2）案設(shè)計(jì)階段： 至少包含安全僅適用于三級(jí)初次非現(xiàn)場(chǎng)運(yùn)維服務(wù)案；（3）運(yùn)維服務(wù)實(shí)施階段： 至少包制定信息系統(tǒng)安全運(yùn)維服務(wù)過程的文含安全信息（包含安全配置、流量信檔模板息、安全策略等）巡檢記錄表、狀態(tài)巡檢記錄表、健康性檢查記錄表、病毒查殺記錄表、安全加固規(guī)等；（4）運(yùn)維服

28、務(wù)報(bào)告階段： 至少包含運(yùn)維服務(wù)月報(bào)/ 季報(bào)、年度服務(wù)總結(jié)報(bào)告、驗(yàn)收?qǐng)?bào)告；僅適用于三級(jí)初次非現(xiàn)場(chǎng)軟件安全開發(fā)：提供 XX 、 XX、 XX 、 XX 、 XX 、 XX 等模板文件。制定信息系統(tǒng)軟件安全開發(fā)服務(wù)過程（1）準(zhǔn)備階段： 至少包含開發(fā)計(jì)頁(yè)腳.序要點(diǎn)條款需提供證明材料號(hào)的文檔模板劃、配置管理計(jì)劃、變更記錄單；（2）需求階段： 至少包含需求分析報(bào)告；（3）設(shè)計(jì)階段： 至少包含概要設(shè)計(jì)說明書、詳細(xì)設(shè)計(jì)說明書；（4）編碼階段：至少包含編碼規(guī)；（5）測(cè)試階段：至少包含測(cè)試案、測(cè)試用例、測(cè)試報(bào)告；（6）驗(yàn)收階段： 至少包含驗(yàn)收申請(qǐng)、驗(yàn)收?qǐng)?bào)告；（7）維保階段： 至少包含故障記錄、升級(jí)記錄；災(zāi)難恢復(fù)與備份（ B類）：（1）案設(shè)計(jì)要求： 至少包含需求僅適用于三級(jí)初次非現(xiàn)場(chǎng)分析報(bào)告、技術(shù)案、實(shí)施案；制定信息系統(tǒng)災(zāi)難恢復(fù)與備份服務(wù)過（2）系統(tǒng)建設(shè)與管理要求：至少程的文檔模板包含項(xiàng)目/ 日?qǐng)?bào)；（3）預(yù)案制定與演練要求：至少包含災(zāi)難恢復(fù)預(yù)案