信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證自表復(fù)習(xí)過程

1、信息系統(tǒng)安全集成服務(wù)資質(zhì)認(rèn)證自評(píng)估表組織名稱申報(bào)級(jí)別評(píng)估時(shí)間評(píng)估部門/人員序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符合不 符 合1.技術(shù)服務(wù) 要求建立信息系統(tǒng)安全集成服務(wù)流程。信息系統(tǒng)安全集成服務(wù)流程，流程圖 中應(yīng)包括每個(gè)階段對(duì)應(yīng)的職責(zé)、 輸入 輸出等。2.制定信息系統(tǒng)安全集成服務(wù)規(guī)范并按 照規(guī)范實(shí)施。信息系統(tǒng)安全集成服務(wù)規(guī)范。3.集成準(zhǔn)備- 需求調(diào)研 與分析調(diào)研客戶背景信息，米集系統(tǒng)建設(shè)需求 和建設(shè)目標(biāo)，明確系統(tǒng)功能、性能及安 全性要求。準(zhǔn)備階段控制程序文件，包括明確工 作內(nèi)容、流程、方法、文檔模板，內(nèi) 容至少包括需求調(diào)研、分析、評(píng)審， 產(chǎn)品選型，財(cái)務(wù)預(yù)算。提供投標(biāo)文件、 項(xiàng)目文

2、檔等證明。4.基于系統(tǒng)建設(shè)需求，提出產(chǎn)品選型方案 和建設(shè)預(yù)算。序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符合不 符 合5.結(jié)合系統(tǒng)建設(shè)和安全需求，與客戶、設(shè) 計(jì)、開發(fā)等人員充分溝通，達(dá)成共識(shí)并 形成記錄。6.僅二級(jí)/ 一級(jí)要求：準(zhǔn)確識(shí)別和綜合分 析系統(tǒng)在信息安全特性方面相適應(yīng)的 安全需求。系統(tǒng)安全需求分析報(bào)告，內(nèi)容應(yīng)覆蓋 審核條款要求。7.僅二級(jí)/一級(jí)要求：基于客戶需求和投 入能力，開展需求分析，編制需求分析 報(bào)告。8.僅一級(jí)要求：協(xié)助客戶有效識(shí)別系統(tǒng)建 設(shè)過程中的政策、法律和約束條件，有 效規(guī)避商業(yè)風(fēng)險(xiǎn)和泄密事件。安全集成項(xiàng)目風(fēng)險(xiǎn)評(píng)估程序及風(fēng)險(xiǎn) 評(píng)估報(bào)告。9.集成準(zhǔn)備- 方案設(shè)計(jì)根

3、據(jù)系統(tǒng)建設(shè)安全需求，編制安全集成 技術(shù)方案。項(xiàng)目方案設(shè)計(jì)階段控制程序文件，包括明確工作內(nèi)容、流程、文檔模板， 內(nèi)容應(yīng)覆蓋審核條款的要求。項(xiàng)目技 術(shù)方案、實(shí)施方案、溝通記錄。10.依據(jù)技術(shù)方案，編制安全集成實(shí)施方 案，明確項(xiàng)目人員、進(jìn)度、質(zhì)量、溝通、 風(fēng)險(xiǎn)等方面要求。11.結(jié)合技術(shù)方案和實(shí)施方案，與客戶進(jìn)行 溝通，獲得客戶認(rèn)可。12.僅二級(jí)/一級(jí)要求：結(jié)合需求分析和客 戶在保障系統(tǒng)安全方面的投入能力，提 出系統(tǒng)建設(shè)安全設(shè)計(jì)說明書，明確系統(tǒng)項(xiàng)目方案設(shè)計(jì)階段控制程序文件， 內(nèi) 容應(yīng)覆蓋審核條款要求。提供系統(tǒng)建 設(shè)安全設(shè)計(jì)說明書。序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符合不 符 合架構(gòu)、

4、產(chǎn)品選型、產(chǎn)品功能、性能及配 置等參數(shù)。13.僅二級(jí)/一級(jí)要求：組織客戶及相關(guān)技 術(shù)專家對(duì)技術(shù)方案和實(shí)施方案進(jìn)行論 證，確認(rèn)是否滿足系統(tǒng)功能、性能和安 全性要求。項(xiàng)目管理評(píng)審程序， 包括明確工作內(nèi) 容、過程、方法、文檔模板，內(nèi)容應(yīng) 覆蓋審核條款要求。提供專家對(duì)項(xiàng)目 技術(shù)方案、實(shí)施方案的評(píng)審論證意 見。14.僅二級(jí)/ 一級(jí)要求：結(jié)合技術(shù)方案，對(duì) 項(xiàng)目組及第三方配合人員進(jìn)行業(yè)務(wù)和 技能培訓(xùn)。項(xiàng)目方案設(shè)計(jì)階段控制程序文件， 內(nèi) 容應(yīng)覆蓋審核條款要求。提供業(yè)務(wù)和 技能的相關(guān)培訓(xùn)記錄。15.僅一級(jí)要求：結(jié)合項(xiàng)目需要，編制安全 集成項(xiàng)目施工手冊(cè)和作業(yè)指導(dǎo)書。項(xiàng)目方案設(shè)計(jì)階段控制程序文件， 內(nèi) 容應(yīng)覆蓋審核

5、條款的要求。提供安全 集成項(xiàng)目施工手冊(cè)和作業(yè)指導(dǎo)書。16.僅一級(jí)要求：對(duì)于新建系統(tǒng)，建設(shè)實(shí)施 過程應(yīng)重點(diǎn)關(guān)注信息系統(tǒng)的功能、性能 和安全性等方面要求。對(duì)于系統(tǒng)改造， 還應(yīng)考慮改造前技術(shù)測(cè)試驗(yàn)證及在實(shí) 施失敗后的回退措施。技術(shù)測(cè)試驗(yàn)證需 要考慮新舊系統(tǒng)的兼容冋題，包括網(wǎng)絡(luò) 兼容、系統(tǒng)兼容、應(yīng)用兼容等。序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符合不 符 合17.僅一級(jí)要求：基于安全集成項(xiàng)目需求和 進(jìn)度計(jì)劃，編制信息安全產(chǎn)品和工具定 制開發(fā)計(jì)劃。項(xiàng)目方案設(shè)計(jì)階段控制程序文件， 內(nèi) 容應(yīng)覆蓋審核條款的要求。 提供自主 開發(fā)的信息安全產(chǎn)品、平臺(tái)和工具清 單。18.建設(shè)實(shí)施- 實(shí)施集成依據(jù)已確

6、認(rèn)的安全集成項(xiàng)目技術(shù)方案 和實(shí)施方案，按照時(shí)間和質(zhì)量要求進(jìn)行 系統(tǒng)建設(shè)。項(xiàng)目建設(shè)實(shí)施階段控制程序文件，包括工作內(nèi)容、過程、方法、文檔模板， 內(nèi)容應(yīng)覆蓋審核條款的要求。提供項(xiàng) 目施工記錄。19.項(xiàng)目實(shí)施人員按時(shí)提交施工記錄和工 程日志，及時(shí)向項(xiàng)目經(jīng)理匯報(bào)項(xiàng)目進(jìn) 度。20.建立安全集成項(xiàng)目協(xié)調(diào)機(jī)制，明確責(zé)任 人，暢通信息溝通渠道，保障各相關(guān)方 在項(xiàng)目實(shí)施過程中能夠有效充分的溝 通。項(xiàng)目建設(shè)實(shí)施階段控制程序，覆蓋審核條款要求。提供溝通方案。21.僅二級(jí)/一級(jí)要求：產(chǎn)品、設(shè)備安裝調(diào) 試過程中，應(yīng)完整妥善記錄相關(guān)信息。項(xiàng)目建設(shè)實(shí)施階段控制程序，覆蓋審核條款要求。提供安裝調(diào)試記錄、項(xiàng) 目完工報(bào)告。22.僅

7、二級(jí)/一級(jí)要求：項(xiàng)目建設(shè)施工完成 后，需向客戶提交完工報(bào)告。23.僅二級(jí)/ 一級(jí)要求：項(xiàng)目實(shí)施完成后， 相關(guān)過程記錄及時(shí)歸檔，并統(tǒng)一保管。項(xiàng)目建設(shè)實(shí)施階段控制程序， 覆蓋審 核條款要求。提供項(xiàng)目過程文檔歸檔序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符合不 符 合方式及歸檔記錄。24.僅一級(jí)要求：建立項(xiàng)目變更管理程序， 對(duì)項(xiàng)目實(shí)施過程中方案、資源變更進(jìn)行 有效控制，完整記錄變更過程。項(xiàng)目建設(shè)實(shí)施階段控制程序，覆蓋審核條款要求。提供變更管理程序、變 更記錄。25.僅一級(jí)要求：制定項(xiàng)目應(yīng)急處置方案和 恢復(fù)策略，對(duì)項(xiàng)目過程中的應(yīng)急事件及 時(shí)進(jìn)行響應(yīng)。項(xiàng)目建設(shè)實(shí)施階段控制程序， 覆蓋審 核條款

8、要求。提供應(yīng)急處置方案、恢 復(fù)策略、處置記錄。26.建設(shè)實(shí)施-監(jiān)督管理僅一級(jí)要求：定期對(duì)項(xiàng)目實(shí)施情況進(jìn)行 評(píng)審，采取適當(dāng)措施，控制項(xiàng)目風(fēng)險(xiǎn)。項(xiàng)目管理評(píng)審程序， 覆蓋審核條款的 要求。提供項(xiàng)目評(píng)審與質(zhì)量控制文 檔。27.安全保障-系統(tǒng)測(cè)試依據(jù)項(xiàng)目技術(shù)方案和測(cè)試計(jì)劃，對(duì)系統(tǒng) 進(jìn)行聯(lián)調(diào)和系統(tǒng)測(cè)試，完整記錄測(cè)試過 程相關(guān)信息。項(xiàng)目安全保障階段控制程序文件，包括明確工作內(nèi)容、過程、方法、文檔 模板，內(nèi)容應(yīng)覆蓋審核條款的要求。提供測(cè)試方案、計(jì)劃、記錄。28.對(duì)于新建系統(tǒng)重點(diǎn)測(cè)試系統(tǒng)的功能、性 能和安全性等；對(duì)于系統(tǒng)改造或升級(jí)項(xiàng) 目，還需進(jìn)行兼容性測(cè)試。29.僅二級(jí)/一級(jí)要求：系統(tǒng)測(cè)試完成后， 制定系統(tǒng)測(cè)試

9、報(bào)告，并提交客戶。項(xiàng)目安全保障階段控制程序文件， 內(nèi) 容應(yīng)覆蓋審核條款的要求。提供測(cè)試 報(bào)告、初驗(yàn)申請(qǐng)與報(bào)告。30.僅二級(jí)/ 一級(jí)要求：結(jié)合項(xiàng)目需要提出 初驗(yàn)申請(qǐng)，組織客戶及相關(guān)方對(duì)項(xiàng)目進(jìn) 行初驗(yàn)，并提交初驗(yàn)報(bào)告。序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符合不 符 合31.僅一級(jí)要求：基于建設(shè)系統(tǒng)的安全要 求，制定系統(tǒng)安全性測(cè)試方案，模擬攻 擊場(chǎng)景，對(duì)系統(tǒng)安全性進(jìn)行測(cè)試。項(xiàng)目安全保障階段控制程序文件， 內(nèi) 容應(yīng)覆蓋審核條款的要求。提供系統(tǒng) 安全性測(cè)試方案、測(cè)試記錄。32.安全保障- 系統(tǒng)試運(yùn) 行為測(cè)試系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，系 統(tǒng)初驗(yàn)后需進(jìn)行試運(yùn)行，并記錄系統(tǒng)運(yùn) 行狀況。項(xiàng)目安全

10、保障階段控制程序文件， 內(nèi) 容應(yīng)覆蓋審核條款的要求。提供系統(tǒng) 試運(yùn)行記錄、設(shè)備調(diào)整維護(hù)記錄。33.基于系統(tǒng)運(yùn)行相關(guān)記錄，及時(shí)對(duì)系統(tǒng)設(shè) 備進(jìn)行調(diào)整和維護(hù)。34.僅二級(jí)/ 一級(jí)要求：系統(tǒng)試運(yùn)行周期至 少一個(gè)月。項(xiàng)目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。提供系統(tǒng) 試運(yùn)行方案、系統(tǒng)試運(yùn)行記錄、系統(tǒng) 試運(yùn)行報(bào)告。35.僅二級(jí)/一級(jí)要求：試運(yùn)行結(jié)束后，項(xiàng) 目組制定系統(tǒng)試運(yùn)行報(bào)告，并提交客 戶。項(xiàng)目安全保障階段控制程序文件， 內(nèi) 容應(yīng)覆蓋審核條款的要求。提供系統(tǒng) 試運(yùn)行報(bào)告。36.僅一級(jí)要求：制定系統(tǒng)試運(yùn)行計(jì)劃，建 立應(yīng)急響應(yīng)服務(wù)保障團(tuán)隊(duì)，及時(shí)應(yīng)對(duì)突 發(fā)事件。項(xiàng)目安全保障階段控制程序文件， 內(nèi)

11、 容應(yīng)覆蓋審核條款的要求。提供應(yīng)急 預(yù)案、系統(tǒng)運(yùn)行策略和安全指南、配序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符合不 符 合37.僅一級(jí)要求：綜合分析系統(tǒng)運(yùn)行狀態(tài)， 建立系統(tǒng)運(yùn)行策略和安全指南，并對(duì)相 關(guān)產(chǎn)品和設(shè)備設(shè)施進(jìn)行配置管理。置管理方案、系統(tǒng)試運(yùn)行報(bào)告。38.僅一級(jí)要求：提供三個(gè)月以上的試運(yùn)行 記錄和報(bào)告。39.安全保障- 驗(yàn)收根據(jù)合同約定，向客戶提交完整的項(xiàng)目 資料及交付物，并提出終驗(yàn)申請(qǐng)。項(xiàng)目安全保障階段控制程序文件， 內(nèi) 容應(yīng)覆蓋審核條款的要求。提供項(xiàng)目 終驗(yàn)申請(qǐng)、項(xiàng)目終驗(yàn)報(bào)告。40.根據(jù)合同約定，配合組織項(xiàng)目驗(yàn)收，出 具項(xiàng)目驗(yàn)收?qǐng)?bào)告41.安全保障- 運(yùn)行維護(hù)根據(jù)合同約定，向客戶提供維保服務(wù)， 并形成維保記錄。項(xiàng)目安全保障階段控制程序文件， 內(nèi) 容應(yīng)覆蓋審核條款的要求。提供系統(tǒng) 維護(hù)記錄。42.僅二級(jí)/一級(jí)要求：建立客戶滿意度調(diào) 查機(jī)制，并對(duì)調(diào)查結(jié)果進(jìn)行分析。項(xiàng)目建設(shè)實(shí)施階段控制程序文件，覆蓋審核條款的要求。提供滿意度調(diào)查 記錄。43.僅一級(jí)要求：建立維保流程，制定維保 方案，并按方案實(shí)施維保。項(xiàng)目安全保障階段控制程序文件， 內(nèi) 容應(yīng)覆蓋審核條款的要求。提供系統(tǒng) 維護(hù)方案。44.上一年度提出的