ISCCC信息系統(tǒng)安全集成服務資質認證現(xiàn)場審核表

1、ISCCC-QOT-0462-B/1信息系統(tǒng)安全集成服務資質認證現(xiàn)場審核表信息系統(tǒng)安全集成服務資質認證現(xiàn)場審核表組織名稱深圳市脈山龍信息技術股份有限公司申請類另I/級另I安全集成/一級審核時間2015.9.8-9.9受審核部門/人員集成服務部/李青、杰，綜合管理中心/李婷序號要點條款需提供證明材料審核結果審核記錄符合不符合需觀察1.集成準備-需求調研與分析B1.1.1a）調研客戶背景信息，采集系統(tǒng)建設需求和建設目標，明確功能、性能及安全性要求。抽查項目案例，驗證準備階段控制程序文件的落實情況，包括明確工作內容、流程、方法、文檔模板，內容至少包括需求調研、分析、審核，產品選型，財務預算。提供投標

2、文件、項目文檔等證明。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的設計方案里，調研了用戶背景信息、總體設計目標、明確了功能、性能及安全性的要求。2.B1.1.1b）基于系統(tǒng)建設需求，提出產品選型方案和建設預算。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的設計方案及投標書里，基于系統(tǒng)建設需求，提出了入侵防御系統(tǒng)、郵件安全網(wǎng)關和服務器選型等內容，并有項目投標報價。3.B1.1.1c）結合系統(tǒng)建設和安全需求，與客戶、設計、開發(fā)等充分溝通，達成共識并形成記錄。V7查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目，公司通過郵件形式與客戶進行方案設計等方面的溝通。審查員簽

3、名：日期：第1頁共8頁中國信息安全認證中心序號要點條款需提供證明材料審核結果審核記錄符合不符合需觀察4.B2.1.1a）僅二級/一級要求：準確識別和綜合分析系統(tǒng)在保密性、完整性、可用性、可靠性等方面的安全需求，提出系統(tǒng)安全保障策略和建議。查驗項目案例中系統(tǒng)安全需求分析報告，驗證內容是否覆蓋審核條款要求。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的設計方案里，提出項目的可擴充性、可管理性、高安全性、高性能等方卸的要求。5.B2.1.1b）僅一級/一級要求：基于客戶需求和投入能力，開展需求分析，編制需求分析報告。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的設計方案中包括

4、了需求分析的內容。6.B3.1.1僅一級要求：協(xié)助客戶有效識別系統(tǒng)建設過程中的政策、法律和約束條件,后效規(guī)避商業(yè)風險和泄密事件。結合項目案例，查驗安全集成項目風險控制要求。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目設計方案，方案中通過培訓協(xié)助客戶認識系統(tǒng)建設過程中的信息安全方面的相關知識培訓，但對有效規(guī)避商業(yè)風險和泄密事件的內咨小完者。7.集成準備-簽訂服務協(xié)議B1.1.2a）與客戶、供應商簽訂服務協(xié)議，明確范圍、目標、時間、內容、金額、質量和輸出等。驗證項目合同管理辦法，抽查項目合同及保密協(xié)議。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的合同，明確了項目范圍、時間

5、、內容、金額、質量和輸出。8.B3.1.2僅一級要求：建立安全集成服務級別管理程序，簽訂服務級別協(xié)議。結合案例抽查，驗證服務級別管理程序、服務級別協(xié)議。V查閱了長城基金IT運維及遠程監(jiān)視服務項目，簽訂了服務級別協(xié)議。9.方茶設計B1.2a/b）根據(jù)系統(tǒng)建設安全需求，編制安全集成技術方案。依據(jù)技術方案,編制安全集成實施方案，明確人員、進度、抽查實際案例，驗證項目方案設計階段控制程序文件的落實情況，包括明確工作內容、流程、文檔模板，內容V7查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的設計方案和實施方案，明確了人員、進度、質量、溝通、風險ISCCC-QOT-0462-B/1信息系統(tǒng)安全集

6、成服務資質認證現(xiàn)場審核表審查員簽名：日期：第2頁共8頁中國信息安全認證中心序號要點條款需提供證明材料審核結果審核記錄符合不符合需觀察質量、溝通、風險等方卸要求。應覆蓋審核條款的要求。項目技術方案、實施方案。方卸的要求。10.B2.2a）僅二級/一級要求：結合需求分析和客戶在保障系統(tǒng)安全方面的投入能力，提出系統(tǒng)建設安全設計說明書，明確系統(tǒng)架構、產品選型、產品功能、性能及配置等參數(shù)。驗證項目方案設計階段控制程序文件，內容應覆蓋審核條款要求。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的投標書里明確了系統(tǒng)架構、產品選型、產品功能、性能及配置等參數(shù)。11.B2.2b）僅二級/一級要求：組織

7、客戶及相關技術專家對技術方案和實施方案進行論證，確認是否滿足系統(tǒng)功能、性能和安全性要求。驗證項目管理審核程序，包括明確工作內容、過程、方法、文檔模板，內容應覆蓋審核條款要求。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的項目方案探討會會議紀要，與客戶和客戶方的技術專家確認了項目方案的方案、性能和安全方面的要求。12.B2.2c）僅二級/一級要求：對項目組及第三方配合人員進行業(yè)務和技能培訓。驗證項目方案設計階段控制程序文件，內容應覆蓋審核條款要求。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的工程項目培訓記錄，對項目組成員進行了業(yè)務和技能培訓。13.B2.2d）僅一級/一

8、級要求：依據(jù)技術方案具體指標要求，制定系統(tǒng)測試計劃。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目，根據(jù)技術方案制定了測試計劃。14.B3.2a）僅一級要求：結合項目需要，編制安全集成項目施工手冊和作業(yè)指導書。驗證項目方案設計階段控制程序文件，內容應覆蓋審核條款的要求。V7查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目，根據(jù)控制程序文件制定了項目實施方案。ISCCC-QOT-0462-B/1信息系統(tǒng)安全集成服務資質認證現(xiàn)場審核表審查員簽名：日期：第3頁共8頁中國信息安全認證中心序號要點條款需提供證明材料審核結果審核記錄符合不符合需觀察15.B3.2b）僅一級要求：新建系統(tǒng)，建

9、設實施過程應重點關注信息系統(tǒng)的功能、性能和安全性等要求。系統(tǒng)改造，還應考慮改造前技術測試驗證及在實施失敗后的回退措施。技術測試驗證需要考慮新舊系統(tǒng)兼容問題，包括網(wǎng)絡兼容、系統(tǒng)兼容、應用兼容等。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的測試報告中對項目中用到的網(wǎng)絡、防火墻、服務器存儲和負載均衡等設備都進行了兼容性測試。16.方茶設計B3.2c）僅一級要求：基于安全集成項目需求和進度計劃，編制信息安全產品和工具定制開發(fā)計劃。驗證項目方案設計階段控制程序文件，內容應覆蓋審核條款的要求。組織自主開發(fā)的信息安全產品、平臺和工具清單。V查閱了長城基金IT運維及遠程監(jiān)視服務項目中運用了公司自

10、主開發(fā)的脈山龍數(shù)據(jù)中心遠程智能運維平臺。17.建設實施-實施集成B1.3.1b）項目實施人員按時提交施工記錄和工程日志，及時向項目經(jīng)理匯報項目進度。驗證項目建設實施階段控制程序文件，包括工作內容、過程、方法、文檔模板，內容應覆蓋審核條款的要求。項目施工記錄。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目，公司的工程師通過會議及郵件方式匯報項目進度。18.B2.3.1a/b）僅二級/一級要求：產品、設備安裝調試過程中，應完整妥善記錄相關信息，并提交完工報告。驗證項目建設實施階段控制程序，覆蓋審核條款要求。查驗安裝調試記錄、項目完工報告。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采

11、購項目中的安裝調試記錄表，記錄了項目設備的調試時間、人員等內容。但記錄人員無簽字確認。19.建設實施-監(jiān)督管理B2.3.2僅二級/一級要求：建立客戶滿意度調查機制，并對調查結果進行分析。驗證項目建設實施階段控制程序文件，覆蓋審核條款的要求。滿意度調V7查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目及數(shù)據(jù)收集與分析ISCCC-QOT-0462-B/1信息系統(tǒng)安全集成服務資質認證現(xiàn)場審核表審查員簽名：日期：第4頁共8頁中國信息安全認證中心序號要點條款需提供證明材料審核結果審核記錄符合不符合需觀察查記錄。程序，針對每個項目有滿意度調查表，并根據(jù)程序文件定期統(tǒng)計分析。20.B3.3.2僅一級要

12、求：定期對項目實施情況進行審核，采取適當措施，控制項目風險。驗證項目管理審核程序，覆蓋審核條款的要求，項目審核與質量控制文檔。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的項目風險管理文檔，對項目制定了相應的措施控制風險，但內容不夠細化。21.安全保障-系統(tǒng)測試B1.4.1a）依據(jù)項目技術方案和測試計戈|J,對系統(tǒng)進行聯(lián)調和系統(tǒng)測試。驗證項目安全保障階段控制程序文件，包括明確工作內容、過程、方法、文檔模板，內容應覆蓋審核條款的要求。測試方藩、計劃、記錄。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目依據(jù)項目方案和測試計劃對系統(tǒng)中所運用到的設備進行聯(lián)調和系統(tǒng)測試。22.B2

13、.4.1a）僅二級/一級要求：系統(tǒng)測試完成后，制定系統(tǒng)測試報告，并提交客戶。驗證項目安全保障階段控制程序文件，內容應覆蓋審核條款的要求。測試報告、初驗申請與報告。V查閱了深圳文化產權父易所有公司數(shù)據(jù)中心硬件設備采購項目的測試報告通過郵件形式提交給客戶。23.B2.4.1b）僅二級/一級要求：結合項目需要提出初驗申請，組織客戶及相關方對項目進行初驗，并提交初驗報告。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目組織客戶項目進行初驗并形成了初驗報告。24.B3.4.1僅一級要求：基于建設系統(tǒng)的安全要求，制定系統(tǒng)安全性測試方案，模擬攻擊場景，對系統(tǒng)安全性進行測試。驗證項目安全保障階段控制程

14、序文件，內容應覆蓋審核條款的要求。系統(tǒng)安全性測試方案、測試記錄。V7查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的安全性測試方案和記錄，對系統(tǒng)安全性的進行了測試。ISCCC-QOT-0462-B/1信息系統(tǒng)安全集成服務資質認證現(xiàn)場審核表審查員簽名：日期：第5頁共8頁中國信息安全認證中心序號要點條款需提供證明材料審核結果審核記錄符合不符合需觀察25.安全保障-系統(tǒng)試運行B1.4.2a）為測試系統(tǒng)運行的可靠性和穩(wěn)定性，系統(tǒng)初驗后需進行試運行，并記錄系統(tǒng)運行狀況，試運行周期至少一個月。驗證項目安全保障階段控制程序文件，內容應覆蓋審核條款的要求。系統(tǒng)試運行記錄。V查閱了深圳文化產權交易所有公

15、司數(shù)據(jù)中心硬件設備采購項目的試運行報告，記錄了系統(tǒng)運行狀況，試運行周期為3個月26.B2.4.2僅二級/一級要求：試運行結束后，項目組制定系統(tǒng)試運行報告，并提交客戶。驗證項目安全保障階段控制程序文件，內容應覆蓋審核條款的要求。系統(tǒng)試運行報告。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的試運行報告，以郵件形式提交給客戶。27.B3.4.2a）僅一級要求：制定系統(tǒng)試運行計劃，建立應急響應服務保障團隊，及時應對突發(fā)事件。驗證項目安全保障階段控制程序文件，內容應覆蓋審核條款的要求。應急預案、系統(tǒng)運行策略和安全指南、配置管理方案、系統(tǒng)試運行報告。V查閱了事件與服務請求管理流程，制定了突發(fā)事

16、件的優(yōu)先級、負責人、處理流程及響應時間等內容。28.B3.4.2b）僅一級要求：綜合分析系統(tǒng)運行狀態(tài)，建立系統(tǒng)運行策略和安全指南，并對相關產品和設備設施進行配置管理。V查閱了配置管理流程策略和配置管理流程手冊，制定了系統(tǒng)運行策略和配置管理方案、系統(tǒng)試運行報告等內容，但配置管理流程制定的不夠完善。29.B3.4.2c）僅一級要求：提供三個月以上的試運行記錄和報告。V查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的試運行報告和記錄，周期為3個月。30.安全保障-驗收B1.4.3b）根據(jù)合同約定，配合組織項目驗收，出具項目驗收報告。驗證項目安全保障階段控制程序文件，內容應覆蓋審核條款的要求。驗證項目終驗報告。V7查閱了深圳文化產權交易所有公司數(shù)據(jù)中心硬件設備采購項目的項目驗收報告，ISCCC-QOT-0462-B/1信息系統(tǒng)安全集成服務資質認證現(xiàn)場審核表審查員簽名：日期：第6頁共8頁中國信息安全認證中心序號要點條款需提供證明材料審核結果審核記錄符合不符合需觀察31.上一年度提出的觀察項跟蹤驗證情況（如有）32.33.34.35.上一年度提出的不符合項跟蹤驗證情況（如有）36.37.ISCCC-QOT-0462-