信息安全服務(wù)資質(zhì)公共管理填寫指南

1、信息安全服務(wù)資質(zhì)認(rèn)證自評(píng)估表-公共管理填寫指南填寫要求：1 .當(dāng)條款對(duì)應(yīng)的需提供證明材料為營業(yè)證照、財(cái)務(wù)審計(jì)報(bào)告、房屋產(chǎn)權(quán)證明、租賃合同、人員簡歷、業(yè)績等內(nèi)容時(shí)，在“證明材料清單欄目”中直接按照本文檔中的格式，填寫關(guān)鍵內(nèi)容即可。2 .當(dāng)條款對(duì)應(yīng)的需提供證明材料為制度或項(xiàng)目文檔時(shí)，在“證明材料清單欄目”填寫文檔的完整名稱。例如XX 公司培訓(xùn)管理制度、 XX 公司項(xiàng)目管理制度、 XX 公司測評(píng)工具管理制度等，并概括地介紹制度或項(xiàng)目文檔各章節(jié)的主要內(nèi)容。3 .當(dāng)條款對(duì)應(yīng)的需提供證明材料為記錄文檔時(shí)，在 “證明材料清單欄目”填寫記錄的完整名稱。例如 2016 年 XX 公司培訓(xùn)計(jì)劃、 XX項(xiàng)目人員培訓(xùn)

2、記錄、 XX 公司供應(yīng)商名錄等，并概括地介紹記錄文檔的主要內(nèi)容。4 .當(dāng)條款對(duì)應(yīng)的需提供證明材料為某制度或文檔的某章節(jié)內(nèi)容時(shí)，在“證明材料清單欄目”填寫文檔的完整名稱及對(duì)應(yīng)的章節(jié)編號(hào)。例如 XX 項(xiàng)目調(diào)研報(bào)告第X 章 安全服務(wù)需求分析、 XX 項(xiàng)目合同第X 條 保密要求等，并對(duì)相關(guān)內(nèi)容進(jìn)行總結(jié)概括。5 .所有出現(xiàn)在“證明材料清單”欄目中的文檔，都需提供相應(yīng)的電子版文檔或紙質(zhì)文檔的掃描件作為證明材料，并按照條款的序號(hào)建立文件夾整理歸檔，建立文件夾的格式為“序號(hào) -條款的考核內(nèi)容”，例如“1-營業(yè)執(zhí)照”、 “ 2-審計(jì)報(bào)告”、 “ 5-技術(shù)負(fù)責(zé)人簡歷”、 “ 9-人員管理及培訓(xùn)”等。以下給出了一份

3、填寫樣例，供填報(bào)組織進(jìn)行參考。填報(bào)組織應(yīng)按照填寫樣例的細(xì)粒度，進(jìn)行相關(guān)信息的填報(bào)。組織名稱XX公司（全稱）服務(wù)類別/級(jí)別所申請或維持的資質(zhì)類別 /級(jí)別，例如“風(fēng)險(xiǎn)評(píng)估/二級(jí)”評(píng)估時(shí)間XX年X月X日-X月X日評(píng)估部門/人員XX 部/XX序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符 合不 符 合1.法律地位 要求三級(jí)初次非現(xiàn)場必填僅適用于初次認(rèn)證：在中華人民共和國境內(nèi)注冊的獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。監(jiān)督審核：如有變化則重新提供。營業(yè)執(zhí)照/事業(yè)單位登記證，核對(duì)注冊 號(hào)、法定代表人、注冊資本、公司類 型、經(jīng)營范圍、成立日期、營業(yè)期限 等。（提供企業(yè)在國家企業(yè)信用信息公 示系統(tǒng)

4、 ）提供營業(yè)執(zhí)照/事業(yè)單位登記證原件。注冊號(hào)：法定代表人：注冊資本：公司類型：成立日期：營業(yè)期限：經(jīng)營范圍：注：監(jiān)督檢查如有變化應(yīng)注明變化內(nèi)容2.三級(jí)初次非現(xiàn)場必填遵循國家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求，無 違法違規(guī)記錄，資信狀況良好。提供企業(yè)在國家企業(yè)信用信息公示系統(tǒng)（ ）上的企業(yè)信用信息。提供企業(yè)信用查詢相關(guān)的截圖證據(jù)。3.財(cái)務(wù)資信 要求三級(jí)初次非現(xiàn)場必填僅適用于初次認(rèn)證：近3年經(jīng)營狀況良好，財(cái)務(wù)數(shù)據(jù)真實(shí)可 信，應(yīng)提供在中華人民共和國境內(nèi)登記財(cái)務(wù)審計(jì)報(bào)告或（僅限于三級(jí)）加蓋本單位財(cái)務(wù)章的財(cái)務(wù)報(bào)表 （近3年）。XX年：由XX會(huì)計(jì)師事務(wù)所出具，凈利潤為XX兀；XX年：由XX會(huì)計(jì)師事務(wù)所出具，凈利潤為X

5、X兀；XX年：由XX會(huì)計(jì)師事務(wù)所出具，凈利潤為XX兀；注：如出現(xiàn)虧損，要說明虧損原因及以后的盈利能力。序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符 合不 符 合注冊的會(huì)計(jì)師事務(wù)所出具的近3年財(cái)務(wù)審U報(bào)告。監(jiān)督審核：應(yīng)提供在中華人民共和國境內(nèi)登記注冊的會(huì)計(jì)師事務(wù)所出具的近 1年財(cái)務(wù)審 計(jì)報(bào)告。4.辦公場所 要求三級(jí)初次非現(xiàn)場必填擁后長期固定辦公場所和相適應(yīng)的辦 公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需 要。監(jiān)督審核：有變化則提供，無變化則不提供。房屋產(chǎn)權(quán)證或租房屋賃合同；產(chǎn)權(quán)人/出租人、地址、面積、租期。提供房屋產(chǎn)權(quán)證或租房屋賃合同原件。產(chǎn)權(quán)人/出租人：地址：面積：租期：至XX年XX月XX日

6、5.人員能力 要求三級(jí)初次非現(xiàn)場必填三級(jí)/二級(jí)/ 一級(jí)分別要求：組織負(fù)責(zé)人擁有2/3/4年以上信息技術(shù)領(lǐng)域管理經(jīng) 歷。組織負(fù)責(zé)人簡歷及資質(zhì)證書，包括姓 名、年齡、職務(wù)、職稱、學(xué)歷、工作 經(jīng)歷、資質(zhì)證書。XX：社保部門出具的公司員工社保 繳費(fèi)證明，單據(jù)號(hào)：XXXX出具時(shí)間 XW xxM XX0。三級(jí)/二級(jí)/一級(jí)的負(fù)責(zé)人社保證明 至少（3個(gè)月）。需提供人社部門網(wǎng)站查詢信息的相關(guān)截圖。提供組織負(fù)責(zé)人簡歷及資質(zhì)證書。組織負(fù)責(zé)人XX , XX歲，職務(wù)，職稱，XX年XX月畢 業(yè)于XX大學(xué)XX專業(yè)，學(xué)歷，XX年信息技術(shù)領(lǐng)域管理 經(jīng)歷。畢業(yè)證書號(hào)：職稱證書號(hào)：序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清

7、單符 合不 符 合6.三級(jí)初次非現(xiàn)場必填三級(jí)/二級(jí)/一級(jí)分別要求： 技術(shù)負(fù)責(zé)人具備信息安全服務(wù)（與申報(bào)類別一致） 管理能力，經(jīng)考核合格（與申報(bào)類別一 致）或通過專業(yè)認(rèn)證，考核要求見附錄G。提供技術(shù)負(fù)責(zé)人的信息安全服務(wù)管 理能力證明，包括能力考核結(jié)果（與 申報(bào)類別一致）或?qū)I(yè)認(rèn)證證書。三 級(jí)/二級(jí)/一級(jí)的技術(shù)負(fù)責(zé)人社保證 明至少（3個(gè)月）。需提供人社部門網(wǎng)站查詢信息的相 關(guān)截圖。技術(shù)負(fù)責(zé)人XX,考核或?qū)I(yè)認(rèn)證證書號(hào)：7.三級(jí)初次非現(xiàn)場必填三級(jí)/二級(jí)/一級(jí)分別要求：項(xiàng)目負(fù)責(zé)人、項(xiàng)目工程師具備信息安全服務(wù)（與 申報(bào)類別一致）技術(shù)能力，經(jīng)考核合格 或通過專業(yè)認(rèn)證，考核要求見附錄Go三級(jí)/二級(jí)/一級(jí)分別

8、不少于（2/6/10人）提供項(xiàng)目負(fù)責(zé)人、 項(xiàng)目工程師的技術(shù) 能力證明，包括能力考核結(jié)果或?qū)I(yè) 認(rèn)證證書。三級(jí)/二級(jí)/一級(jí)的服務(wù)人社保證明至少（3個(gè)月）。需提供人社部門網(wǎng)站查詢信息的相 關(guān)截圖。項(xiàng)目工程師XX ,考核或?qū)I(yè)認(rèn)證證書號(hào)：8.業(yè)績要求僅適用初次審核：三級(jí)/二級(jí)/一級(jí)分別要求：從事信息安全服務(wù)（與申報(bào)類別一致） 至少4個(gè)月/3 年或取得三級(jí)資質(zhì)1年以上/5年或取得 二級(jí)資質(zhì)1年以上。提供首個(gè)信息安全服務(wù) （與申報(bào)類別 一致）項(xiàng)目合同原件，核對(duì)項(xiàng)目名稱、 合同簽訂時(shí)間、項(xiàng)目驗(yàn)收時(shí)間等。（可在相應(yīng)招投標(biāo)網(wǎng)站上查詢）。監(jiān)督審核不適用。首個(gè)信息安全服務(wù)（與申報(bào)類別一致）項(xiàng)目合同信息，示例如下（

9、如同時(shí)申請多個(gè)方向的資質(zhì)，需分別填寫）：安全集成項(xiàng)目名稱：項(xiàng)目金額：合同簽訂時(shí)間：項(xiàng)目驗(yàn)收時(shí)間：風(fēng)險(xiǎn)評(píng)估項(xiàng)目名稱：項(xiàng)目金額：序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符 合不 符 合合同簽訂時(shí)間： 項(xiàng)目驗(yàn)收時(shí)間：9.三級(jí)/二級(jí)/一級(jí)分別要求： 近3年內(nèi)簽訂 并完成至少1/6/10個(gè)信息安全服務(wù)（與 申報(bào)類別一致）項(xiàng)目。三級(jí)現(xiàn)場抽查1個(gè)項(xiàng)目，一二級(jí)現(xiàn)場抽查 2個(gè)項(xiàng)目。三級(jí)/二級(jí)/一級(jí)監(jiān)督審核： 近1年內(nèi)簽訂 并完成至少1個(gè)/2個(gè)/2個(gè)信息安全服務(wù) （與申報(bào)類別一致）項(xiàng)目。提供信息安全服務(wù)項(xiàng)目（與申報(bào)類別 一致）合同及驗(yàn)收報(bào)告原件，核對(duì)項(xiàng) 目清單，確認(rèn)項(xiàng)目名稱、合同金額、 簽訂時(shí)間、驗(yàn)收

10、時(shí)間、項(xiàng)目數(shù)量、服 務(wù)內(nèi)容與申報(bào)一致。（可在相應(yīng)招投標(biāo)網(wǎng)站上查詢）。如無項(xiàng)目案例，申請方須承諾（提供加蓋組織公章并由法人簽字確認(rèn)的承諾書）在狀證后6個(gè)月內(nèi)完成該方向的服務(wù)項(xiàng)目并填寫對(duì)應(yīng)方向的自評(píng) 估表提交ISCCC及審核組長。按申報(bào)類別分別填寫，示例如下（填寫的項(xiàng)目數(shù)量需滿足所申請或維持資質(zhì)級(jí)別的最低要求）：安全集成1 .項(xiàng)目名稱：合同金額：簽訂時(shí)間：驗(yàn)收時(shí)間：2 .項(xiàng)目名稱：合同金額：簽訂時(shí)間：驗(yàn)收時(shí)間：風(fēng)險(xiǎn)評(píng)估3 、項(xiàng)目名稱：合同金額：簽訂時(shí)間：序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符 合不 符 合驗(yàn)收時(shí)間：2.項(xiàng)目名稱： 合同金額： 簽訂時(shí)間： 驗(yàn)收時(shí)間：10.服務(wù)管理 要

11、求三級(jí)初次非現(xiàn)場必填建立并運(yùn)行人員管理程序，明確能力考 核指標(biāo)并制定業(yè)務(wù)和技能培訓(xùn)計(jì)劃，定 期對(duì)相關(guān)人員開展培訓(xùn)和考核。人員管理與培訓(xùn)制度、培訓(xùn)與考核記 錄，驗(yàn)證公司人員管理情況（制度及 落實(shí)，包括崗位職責(zé)、人員能力、專 業(yè)方向、考核情況等）。近三年員工 培訓(xùn)計(jì)劃、培訓(xùn)與考核記錄，包括信 息安全意識(shí)培訓(xùn)、技術(shù)與管理培訓(xùn) 等。提供XX公司人力資源控制程序、培訓(xùn)制度、近三 年員工培訓(xùn)計(jì)劃、培訓(xùn)與考核記錄，包括信息安全意識(shí) 培訓(xùn)、技術(shù)與管理培訓(xùn)等。（注：根據(jù)公司具體情況，可 提供信息安全意識(shí)培訓(xùn)、技術(shù)與管理培訓(xùn)課件，考核記 錄，培訓(xùn)簽到表等）11.建立文檔控制程序，明確文檔管理職 責(zé)，任命管理人員，

12、并按照制度執(zhí)行。文檔控制程序建立及實(shí)施情況，提供與申報(bào)類型一致的安全服務(wù)項(xiàng)目過 程文檔，核實(shí)是否存在遺失或信息泄 露等問題。提供XX公司文檔控制程序（按實(shí)際名稱填寫），公司 對(duì)項(xiàng)目文檔的管理方式為：12.三級(jí)初次非現(xiàn)場必填建立項(xiàng)目管理制度，明確項(xiàng)目管理職 責(zé)，任命管理人員，并按照制度執(zhí)行風(fēng) 險(xiǎn)管理。項(xiàng)目管理制度建立及實(shí)施情況，制度中包括項(xiàng)目管理貫穿項(xiàng)目從立項(xiàng)到 結(jié)項(xiàng)的整個(gè)過程，包括項(xiàng)目風(fēng)險(xiǎn)管理 等。提供項(xiàng)目風(fēng)險(xiǎn)管理記錄。提供XX公司項(xiàng)目管理制度制度中包括項(xiàng)目管理貫穿項(xiàng)目從立項(xiàng)到結(jié)項(xiàng)的XX、XX、XX、XX、XX 過程。項(xiàng)目風(fēng)險(xiǎn)管理章節(jié)及主要內(nèi)容：13.三級(jí)初次非現(xiàn)場必填建立并運(yùn)行保密管理制度，

13、明確崗位保 密責(zé)任。能夠定期對(duì)相關(guān)人員進(jìn)行保密 教育，并簽訂保密協(xié)議。保密管理制度建立及落實(shí)情況，包括保密范圍、保密方式、保密時(shí)效、保 密責(zé)任主體、罰則。提供保密教育培 訓(xùn)記錄，提供組織與管理層、技術(shù)負(fù)提供XX保密管理制度公司保密教育培訓(xùn)執(zhí)行情況：提供保密教育培訓(xùn)課件、培訓(xùn)簽到表、考試記錄、會(huì)議紀(jì)要等提供組織負(fù)責(zé)人 XX、技術(shù)負(fù)責(zé)人XX、項(xiàng)目實(shí)施人員XX序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符 合不 符 合責(zé)人及項(xiàng)目實(shí)施人員簽訂的保密協(xié) 議。等XX人簽訂的保密協(xié)議14.建立供應(yīng)商管理制度，確保其供應(yīng)商滿 足服務(wù)安全要求 （僅適用于安全集成、 安全運(yùn)維、災(zāi)難備份與恢復(fù)方向，如存 在

14、服務(wù)外包時(shí)，需要重點(diǎn)對(duì)服務(wù)外包項(xiàng) 目過程及質(zhì)量的管理情況進(jìn)行描述）。提供供應(yīng)商名錄、供應(yīng)商管理制度的 實(shí)施情況，包括供應(yīng)商選擇、考核與 管理等（僅適用于安全集成、安全運(yùn) 維、災(zāi)難備份與恢復(fù)方向，如存在服 務(wù)外包時(shí)，需要重點(diǎn)對(duì)服務(wù)外包項(xiàng)目 過程及質(zhì)量的管理情況進(jìn)行描述）。提供XX供應(yīng)商管理制度、供應(yīng)商名錄及供應(yīng)商考核 管理記錄注：新申報(bào)需提供前三個(gè)年度，監(jiān)督審核提供上一年度 的相關(guān)記錄15.三級(jí)初次非現(xiàn)場必填建立合同管理制度，制定統(tǒng)一合同模 板，按照合同約定實(shí)施信息安全服務(wù)項(xiàng) 目。按照客戶要求，對(duì)于接觸到的客戶 敏感信息和知識(shí)產(chǎn)權(quán)信息予以保護(hù)，并 確保服務(wù)方人員了解客戶的相關(guān)要求。提供合同管理制

15、度、合同統(tǒng)一模板。 提供服務(wù)項(xiàng)目（與申報(bào)類別一致）合 同/協(xié)議中對(duì)敏感信息和知識(shí)產(chǎn)權(quán)信 息保護(hù)要求的相關(guān)條款。提供XX合同管理制度、統(tǒng)一合同模板：提供典型項(xiàng)目（與申報(bào)類一致）合同，其中對(duì)于敏感信息和知識(shí)產(chǎn)權(quán)信息保護(hù)要求的相關(guān)條款為：注：此處按申報(bào)類別分別填寫，一二級(jí)每個(gè)方向填寫2個(gè)項(xiàng)目的相關(guān)情況16.二級(jí)/一級(jí)要求：了解客戶及所處的行業(yè) 對(duì)信息安全服務(wù)的特定要求，確定信息 安全服務(wù)范圍。提供針對(duì)具體項(xiàng)目的調(diào)研內(nèi)容，包括對(duì)客戶所處行業(yè)情況和相關(guān)要求的 描述。提供典型項(xiàng)目（與申報(bào)類一致）合同，服務(wù)范圍：提供典型項(xiàng)目（與申報(bào)類一致）調(diào)研報(bào)告，對(duì)客戶所處行業(yè)情況和相關(guān)要求的描述內(nèi)容為：注：此處按申報(bào)類

16、別分別填寫，一二級(jí)每個(gè)方向填寫2個(gè)項(xiàng)目的相關(guān)情況17.一級(jí)要求：參照國際或國內(nèi)標(biāo)準(zhǔn)， 建立 業(yè)務(wù)范圍覆蓋信息安全服務(wù)的質(zhì)量管 理體系，并有效運(yùn)行半年以上。結(jié)合質(zhì)量管理體系文件，查閱體系運(yùn) 行記錄，驗(yàn)證體系運(yùn)行情況，至少包 括質(zhì)量管理體系手冊、文件控制程 序、記錄控制程序、糾正與預(yù)防控制提供質(zhì)量管理體系文件，包括質(zhì)量管理體系手冊、文件 控制程序、記錄控制程序、糾正與預(yù)防控制程序、內(nèi)審 與管評(píng)控制程序、安全服務(wù)工作控制程序等 提供體系運(yùn)行記錄：內(nèi)審、管評(píng)報(bào)告序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符 合不 符 合程序、內(nèi)審與管評(píng)控制程序、安全服 務(wù)工作控制程序；內(nèi)審、管評(píng)、外審 報(bào)告（

17、有則提供）；驗(yàn)證質(zhì)量管理體 系范圍覆蓋與申報(bào)類別一致的信息 安全服務(wù)。業(yè)務(wù)覆蓋范圍：或提供質(zhì)量管理體系認(rèn)證證書原件：證書編號(hào)：發(fā)證機(jī)構(gòu)：頒證日期：功效期：業(yè)務(wù)范圍覆蓋：18.一級(jí)要求：參照國際或國內(nèi)標(biāo)準(zhǔn)， 建立 業(yè)務(wù)范圍覆蓋信息安全服務(wù)的質(zhì)量管 理體系，并有效運(yùn)石一年以上。結(jié)合質(zhì)量管理體系文件，查閱體系運(yùn) 行記錄，驗(yàn)證體系運(yùn)行情況，至少包 括質(zhì)量管理體系手冊、文件控制程 序、記錄控制程序、糾正與預(yù)防控制 程序、內(nèi)審與管評(píng)控制程序、安全服 務(wù)工作控制程序；內(nèi)審、管評(píng)、外審 報(bào)告（有則提供）；驗(yàn)證質(zhì)量管理體 系范圍覆蓋與申報(bào)類別一致的信息 安全服務(wù)。提供質(zhì)量管理體系文件，包括質(zhì)量管理體系手冊、文件

18、 控制程序、記錄控制程序、糾正與預(yù)防控制程序、內(nèi)審 與管評(píng)控制程序、安全服務(wù)工作控制程序等提供體系運(yùn)行記錄：內(nèi)審、管評(píng)報(bào)告業(yè)務(wù)覆蓋范圍：或提供質(zhì)量管理體系認(rèn)證證書原件：證書編號(hào)：發(fā)證機(jī)構(gòu)：頒證日期：功效期：業(yè)務(wù)范圍覆蓋：19.一級(jí)要求：參照國際或國內(nèi)標(biāo)準(zhǔn)， 建立 業(yè)務(wù)范圍覆蓋信息安全服務(wù)的信息安 全管理體系或信息技術(shù)服務(wù)管理體系， 并有效運(yùn)行半年以上。結(jié)合信息安全管理體系文件，查閱體 系運(yùn)行記錄，驗(yàn)證體系運(yùn)行情況，至 少包括范圍方針文件、文件控制程 序、記錄控制程序、糾正與預(yù)防控制 程序、內(nèi)審與管評(píng)控制程序、內(nèi)審、提供信息安全管理體系文件，包括范圍方針文件、文件 控制程序、記錄控制程序、糾正與

19、預(yù)防控制程序、內(nèi)審 與管評(píng)控制程序、風(fēng)險(xiǎn)管理程序、適用性聲明及相應(yīng)的 控制措施文件（適用于27001）或服務(wù)等級(jí)管理程序、 事件管理程序、問題管理程序、變更和發(fā)布管理程序、序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符 合不 符 合管評(píng)、外審報(bào)告（有則提供）風(fēng)險(xiǎn)管理程序、適用性聲明及相應(yīng)的控制 措施文件（適用于27001）或服務(wù)等 級(jí)管理程序、事件管理程序、問題管 理程序、變更和發(fā)布管理程序、配置 管理程序（適用于20000）;業(yè)務(wù)范 圍覆蓋與申報(bào)類別一致的信息安全 服務(wù)。配置管理程序（適用于20000）體系運(yùn)行記錄：內(nèi)審、管評(píng)報(bào)告業(yè)務(wù)覆蓋范圍：或提供信息安全管理體系或信息技術(shù)服務(wù)管理

20、體系認(rèn)證證書原件：證書編號(hào)：發(fā)證機(jī)構(gòu)：頒證日期：功效期：業(yè)務(wù)范圍覆蓋：20.一級(jí)要求：參照國際或國內(nèi)標(biāo)準(zhǔn)， 建立 業(yè)務(wù)范圍覆蓋信息安全服務(wù)的信息安 全管理體系或信息技術(shù)服務(wù)管理體系， 開有效運(yùn)石一年以上。結(jié)合信息安全管理體系文件，查閱體 系運(yùn)行記錄，驗(yàn)證體系運(yùn)行情況，至 少包括范圍方針文件、文件控制程 序、記錄控制程序、糾正與預(yù)防控制 程序、內(nèi)審與管評(píng)控制程序、內(nèi)審、 管評(píng)、外審報(bào)告、風(fēng)險(xiǎn)管理程序、適 用性聲明及相應(yīng)的控制措施文件 （適 用于27001）或服務(wù)等級(jí)管理程序、 事件管理程序、問題管理程序、變更 和發(fā)布管理程序、配置管理程序（適 附于20000）;業(yè)務(wù)范圍覆蓋與申報(bào) 類別一致的信息

21、安全服務(wù)。提供信息安全管理體系文件，包括范圍方針文件、文件 控制程序、記錄控制程序、糾正與預(yù)防控制程序、內(nèi)審 與管評(píng)控制程序、風(fēng)險(xiǎn)管理程序、適用性聲明及相應(yīng)的 控制措施文件（適用于27001）或服務(wù)等級(jí)管理程序、 事件管理程序、問題管理程序、變更和發(fā)布管理程序、 配置管理程序（適用于20000）體系運(yùn)行記錄：內(nèi)審、管評(píng)報(bào)告業(yè)務(wù)覆蓋范圍：或提供信息安全管理體系或信息技術(shù)服務(wù)管理體系認(rèn)證 證書原件：證書編號(hào)：發(fā)證機(jī)構(gòu)：頒證日期：序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符 合不 符 合后效期：業(yè)務(wù)范圍覆蓋：21.一級(jí)要求：建立信息安全服務(wù)目錄 （與 類別相對(duì)應(yīng)），簽訂服務(wù)級(jí)別協(xié)議。信息安

22、全服務(wù)目錄（與類別相對(duì)應(yīng)）、 服務(wù)級(jí)別協(xié)議。提供公司的信息安全服務(wù)目錄及服務(wù)級(jí)別協(xié)議：（在服務(wù)目錄中需明確展示服務(wù)內(nèi)容、服務(wù)形式、服務(wù) 價(jià)格、服務(wù)交付成果和服務(wù)級(jí)別等的列表）（在服務(wù)級(jí)別協(xié)議中需對(duì)服務(wù)交付成果明確約定、可測 量和文檔化的一系列服務(wù)指標(biāo)）22.技術(shù)工具 要求二級(jí)/一級(jí)要求：具備獨(dú)立的測試環(huán)境及 必要的軟、硬件設(shè)備，用于技木培訓(xùn)和 模擬測試。信息安全服務(wù)的測試環(huán)境，提供設(shè)備 清單、建設(shè)時(shí)間、規(guī)模、主要承擔(dān)工 作等。設(shè)備清單：測試環(huán)境建設(shè)時(shí)間：規(guī)模：主要承擔(dān)工作：23.二級(jí)/一級(jí)要求：具備承擔(dān)信息安全服務(wù) （與申報(bào)類別一致）項(xiàng)目所需的安全工 具，并對(duì)工具進(jìn)行管理和版本控制。信息安全服

23、務(wù)的軟、硬件工具清單， 工具管理程序和要求；針對(duì)在安全服 務(wù)項(xiàng)目中應(yīng)用自主開發(fā)工具和產(chǎn)品 進(jìn)行現(xiàn)場演示，提供產(chǎn)品銷售許可證 或軟件著作權(quán)證書。提供安全工具清單：工具管理程序：工具管理和版本更新記錄：自主開發(fā)工具和產(chǎn)品名稱（如有）：產(chǎn)品銷售許可證或軟件著作權(quán)證書號(hào)（如有）：自主開發(fā)工具和產(chǎn)品簡介（如有）：24.服務(wù)技術(shù)僅適用于三級(jí)初次非現(xiàn)場建立信息安全服務(wù)（與申報(bào)類別一致） 流程。按照相關(guān)標(biāo)準(zhǔn)建立申報(bào)的服務(wù)類別 流程（申報(bào)多類需要制定相對(duì)應(yīng)的服 務(wù)流程）。流程圖中應(yīng)包括每個(gè)階段 對(duì)應(yīng)的職責(zé)、輸入輸出等。提供信息安全 XXXX服務(wù)流程（包含XX階段、XX 階段、XX階段、XX階段），對(duì)每個(gè)階段的目

24、標(biāo)、角色、 內(nèi)容、輸出進(jìn)行了說明。1.XX階段：目標(biāo)：序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符 合不 符 合工作內(nèi)容： 輸出：僅適用于三級(jí)初次非現(xiàn)場制定信息安全服務(wù)(與申報(bào)類別一致) 規(guī)范并按照規(guī)范實(shí)施。制定與申報(bào)的信息安全服務(wù)類別規(guī) 范并按照規(guī)范實(shí)施(申報(bào)多類需要制 定相對(duì)應(yīng)的服務(wù)規(guī)范)。提供XX公司XXX服務(wù)規(guī)范，包含XX、XX、XX、 XX等章節(jié)內(nèi)容。25.服務(wù)過程 文檔模板僅適用于三級(jí)初次非現(xiàn)場制定信息系統(tǒng)安全集成服務(wù)過程的文 檔模板安全集成：(1) 集成準(zhǔn)備階段：至少包括需求調(diào)研報(bào)告、技術(shù)方家、頭施方菜(技 術(shù)方案內(nèi)容應(yīng)至少包含項(xiàng)目背景、 設(shè) 計(jì)依據(jù)、總體設(shè)計(jì)架構(gòu)、信息

25、安全設(shè) 計(jì)等方圓內(nèi)谷， 頭施力某應(yīng)至少包含 項(xiàng)目組織架構(gòu)及人員安排、進(jìn)度安 排、實(shí)施內(nèi)容、項(xiàng)目風(fēng)險(xiǎn)管理、項(xiàng)目 溝通管理、項(xiàng)目質(zhì)量管理等方面內(nèi) 容)；(2) 建設(shè)實(shí)施階段：至少包括日報(bào)/周報(bào)；(3) 安全保障階段：至少包括測試方案、驗(yàn)收申請、驗(yàn)收報(bào)告；提供XX、XX、XX、XX、XX、XX等模板文件。僅適用于三級(jí)初次非現(xiàn)場制定信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估服務(wù)過程的文檔模板風(fēng)險(xiǎn)評(píng)估：(1)準(zhǔn)備階段：至少包括信息系統(tǒng)基本情況調(diào)研表、風(fēng)險(xiǎn)評(píng)估方案(方案中應(yīng)至少包含被評(píng)估對(duì)象描提供XX、XX、XX、XX、XX、XX等模板文件。序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符 合不 符 合述、評(píng)估依據(jù)、評(píng)估范圍

26、、評(píng)估內(nèi)容、 項(xiàng)目組成員、評(píng)估計(jì)劃安排、評(píng)估工 具、評(píng)估過程、評(píng)估方法、風(fēng)險(xiǎn)評(píng)價(jià) 原則、風(fēng)險(xiǎn)評(píng)估模型、風(fēng)險(xiǎn)分析與計(jì) 算方法等方面內(nèi)容)；(2) 風(fēng)險(xiǎn)識(shí)別階段：至少包括管理脆弱性檢查表、技術(shù)脆弱性檢查表(包含主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安 全設(shè)備、中間件、應(yīng)用系統(tǒng)等)、威 脅調(diào)查表；(3) 風(fēng)險(xiǎn)分析階段：風(fēng)險(xiǎn)評(píng)估報(bào)告(至少包括評(píng)估過程、評(píng)估方法、 評(píng)估結(jié)果、處置建議等內(nèi)容)；僅適用于三級(jí)初次非現(xiàn)場制定信息安全應(yīng)急處理服務(wù)過程的文 檔模板應(yīng)急處理：(1) 準(zhǔn)備階段：至少包含工具包、服務(wù)承諾書；(2) 檢測階段：至少包含授權(quán)書、應(yīng)急處理方案；(3) 抑制階段：至少包含抑制方案；(4) 根除階段：至少包含

27、根除方案；(5) 恢復(fù)階段：至少包含恢復(fù)方案、重建系統(tǒng)規(guī)范、數(shù)據(jù)備份規(guī)范、 安全配置核查表(可以包含windows提供XX、XX、XX、XX、XX、XX等模板文件。序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符 合不 符 合類操作系統(tǒng)女全配置核查表、 linux 類操作系統(tǒng)安全配置核查表、數(shù)據(jù)庫 安全配置核查表、中間件安全配置核 查表)；(6)總結(jié)階段：至少包含總結(jié)報(bào)告；備注：應(yīng)急處理方案中可以總體涵 蓋檢測、抑制、根除、恢復(fù)方面的 內(nèi)容。僅適用于三級(jí)初次非現(xiàn)場制定信息系統(tǒng)安全運(yùn)維服務(wù)過程的文檔模板安全運(yùn)維：(1) 準(zhǔn)備階段：至少包含需求調(diào)研報(bào)告；(2) 方案設(shè)計(jì)階段：至少包含安全運(yùn)維

28、服務(wù)方案；(3) 運(yùn)維服務(wù)實(shí)施階段： 至少包含安全信息(包含安全配置、流量信 息、安全策略等)巡檢記錄表、狀態(tài) 巡檢記水表、健康f生檢查匯水表、病 毒查殺記錄表、安全加固規(guī)范等；(4) 運(yùn)維服務(wù)報(bào)告階段： 至少包含運(yùn)維服務(wù)月報(bào)/季報(bào)、年度服務(wù)總 結(jié)報(bào)告、驗(yàn)收報(bào)告；提供XX、XX、XX、XX、XX、XX等模板文件。僅適用于三級(jí)初次非現(xiàn)場制定信息系統(tǒng)軟件安全開發(fā)服務(wù)過程 的文檔模板軟件安全開發(fā)：(1)準(zhǔn)備階段：至少包含開發(fā)計(jì)戈IJ、配置管埋計(jì)劃、變更記錄單；提供XX、XX、XX、XX、XX、XX等模板文件。序 號(hào)要點(diǎn)條款需提供證明材料自評(píng)估 結(jié)論證明材料清單符 合不 符 合(2) 需求階段：至少包含需求分析報(bào)告；(3) 設(shè)計(jì)階段：至少包含概要設(shè)計(jì)說明書、詳細(xì)設(shè)計(jì)說明書；(4) 編碼階段：至少包含編碼規(guī)范；(5) 測試階段：至少包含測試方案、測試用例、測試報(bào)告；(6) 驗(yàn)收階段：至少包含驗(yàn)收申請、驗(yàn)收報(bào)告；(7) 維保階段：至少包含故障記錄、升級(jí)記錄；僅適用于三級(jí)初次非現(xiàn)場制定信息系統(tǒng)災(zāi)難恢復(fù)與備份服務(wù)過程的文檔模板災(zāi)難恢復(fù)與備份(B類)：(1) 方某設(shè)計(jì)要求：至少包含需求分析報(bào)告、技術(shù)方案、實(shí)施方案；(2) 系統(tǒng)建設(shè)