信息安全服務資質(zhì)認證自評估表

1、信息安全服務資質(zhì)認證自評估表 -公共管理 填表說明： 1、該自評估表與申報具體的服務類別自評估一并使用，單個文檔不作為自評估支撐材料。申報多個服務類別且級別不同時，按照申請 的最高級別服務資質(zhì)認證的管理要求填寫。 2、表中要求的所有程序文件均已發(fā)布實施 組織名稱 服務類別/級別 評估時間 評估部門/人員 序號 要點 條款 需提供證明材料 自評估 結論 證明材料清單 符 合 不 符 合 1. 法律地位 要求 僅適用于初次認證： 在中華人民共和國境內(nèi)注冊的 獨立法人組織，發(fā)展歷程清晰， 產(chǎn)權關系明確。 監(jiān)督審核： 如有變化則重新提供。 營業(yè)執(zhí)照/事業(yè)單位登記證，核對注冊 號、法定代表人、注冊資本、

2、注冊地址、 公司類型、經(jīng)營范圍、成立日期、營業(yè) 期限等。 如獨立法人實體的一個部門或部分，經(jīng) 序號 要點 條款 需提供證明材料 自評估 結論 證明材料清單 符 合 不 符 合 法人批準成立，法人實體能為申請人開 展的活動承擔相關的法律責任的文件 （法人簽字蓋章）。 （提供企業(yè)在國家企業(yè)信用信息公示 系統(tǒng)*中的基礎信息截圖） 2. 法律地位 要求 遵循國家相關法律法規(guī)、標準 要求，無違法違規(guī)記錄，資信 狀況良好。 提供企業(yè)在國家企業(yè)信用信息公示系 統(tǒng)（*）上的企業(yè)信用信息。 需要截圖 3. 財務資信 要求 僅適用于初次認證： 組織經(jīng)營狀況正常，建立財務 管理制度，可為安全服務提供 必要的財務支持

3、。 提供財務管理制度，包括財務風險管控 制度，必要時年度審計報告作為支撐文 件。 4. 辦公場所 要求 擁有長期固定辦公場所和相適 應的辦公條件，能夠滿足機構 設置及其業(yè)務需要。 監(jiān)督審核： 有變化則提供，無變化則不提 供。 房屋產(chǎn)權證或租房屋賃合同； 產(chǎn)權人/出租人、地址、面積、租期。 5. 人員能力 要求 三級/二級/ 一級分別要求：組 織負責人擁有 2/3/4年以上信 息技術領域管理經(jīng)歷。 組織負責人簡歷及資質(zhì)證書，包括姓 名、年齡、職務、職稱、學歷、工作經(jīng) 歷、信息技術領域管理年限、資質(zhì)證書。 序號 要點 條款 需提供證明材料 自評估 結論 證明材料清單 符 合 不 符 合 XX市社保

4、部門出具的公司員工社保繳 費證明，單據(jù)號：XXXX出具時間XX年 XX月 XX 日。 三級/二級/一級的負責人社保證明至 少（3個月）。 需提供社保部門提供的社保繳費證明 或社保系統(tǒng)查詢截圖。 6. 三級/二級/ 一級分別要求：技 術負責人具備信息安全服務 （與申報類別一致）管理能力， 經(jīng)評價合格（與申報類別一 致）。 技術負責人簡歷及資質(zhì)證書，包括姓 名、年齡、職務、職稱、學歷、工作經(jīng) 歷、信息技術領域工作年限、資質(zhì)證書。 提供技術負責人的信息安全服務管理 能力證明，包括能力考核結果（與申報 類別一致）。三級/二級/ 一級的技術負 責人社保證明至少3個月。 需提供社保部門提供的社保繳費證明

5、或社保系統(tǒng)查詢截圖。 7. 三級/二級/ 一級分別要求：項 目負責人、項目工程師具備信 息安全服務（與申報類別一致） 技術能力，經(jīng)評價合格。 提供項目負責人、項目工程師的技術能 力證明，包括能力考核結果。女口，對應 崗位職責、能力自評價、能力評價、項 目經(jīng)歷等證明材料。 三級/二級/一級的服務人員的社保證 明至少3個月。 需提供社保部門提供的社保繳費證明 或社保系統(tǒng)查詢截圖。 序號 要點 條款 需提供證明材料 自評估 結論 證明材料清單 符 合 不 符 合 8. 業(yè)績要求 僅適用初次審核： 三級/二級/ 一級分別要求： 從 事信息安全服務（與申報類別 一致）至少4個月/3年或取得三 級資質(zhì)1年

6、以上/5年或取得二 級資質(zhì)1年以上。 提供首個信息安全服務（與申報類別一 致）項目合同原件，核對項目名稱、合 同簽訂時間、項目驗收時間等。 （公開招標項目需提供中標通知書原 件或招標網(wǎng)站公示截圖， 非公開招標項 目需提供財務收款憑證）。 監(jiān)督審核不適用。 三級初次申報填寫公司成立時間/或項目開 始時間。 9. 業(yè)績要求 僅適用初次審核： 三級/二級/一級分別要求： 近3 年內(nèi)簽訂并完成至少 1個/6個 /10個信息安全服務（與申報類 別一致）項目。 現(xiàn)場隨機抽查 1個項目。 監(jiān)督審核： 三級/二級/一級監(jiān)督審核： 近1 年內(nèi)簽訂并完成至少 1個/2個 /2個信息安全服務（與申報類 別一致）項目

7、。 現(xiàn)場隨機抽查 1個項目。 提供信息安全服務項目（與申報類別一 致）合同及驗收報告原件， 核對項目清 單，確認項目名稱、合同金額、簽訂時 間、驗收時間、項目數(shù)量、服務內(nèi)容與 申報一致。 （公開招標項目需提供中標通知書原 件或招標網(wǎng)站公示截圖， 非公開招標項 目需提供財務收款憑證）。 10. 服務管理 要求 建立并運行人員管理程序，識 別安全服務人員的服務能力要 求，明確安全服務人員的崗位 職責、技術能力要求，并通過 評價證明其能夠勝任其承擔的 職責。 提供服務人員管理程序，及安全服務人 員的崗位職責、技術能力要求，并提供 評價證明其能夠勝任其承擔的職責。 序號 要點 條款 需提供證明材料 自

8、評估 結論 證明材料清單 符 合 不 符 合 11. 制定服務人員能力培養(yǎng)計劃， 包括網(wǎng)絡與信息安全相關的技 術、技能、管理、意識等內(nèi)容， 并執(zhí)行計劃，確保服務人員持 續(xù)勝任其承擔的職責。 提供服務人員能力培養(yǎng)計劃，包括網(wǎng)絡 與信息安全相關的技術、技能、管理、 意識等內(nèi)容，并執(zhí)行計劃，確保服務人 員持續(xù)勝任其承擔的職責。 12. 建立文檔管理程序，包括組織 管理、服務過程管理、質(zhì)量管 理等內(nèi)容，明確項目產(chǎn)生、發(fā) 布、保存、傳輸、使用（包括 交付和內(nèi)部使用）、廢棄等環(huán)節(jié) 的文檔控制。 文檔管理程序建立及實施情況，提供與 申報類型一致的安全服務項目過程文 檔，核實是否存在遺失或信息泄露等問 題。

9、13. 二級：426 c）配備檔案室及高 安全性的文件服務器。 提供配備檔案室及高安全性的文件服 務器的證據(jù)。 14. 一級：436 c）配備檔案室及高 安全性的文件服務器，至少近 兩年的項目在文件管理系統(tǒng)中 進行管理。 提供配備檔案室及高安全性的文件服 務器，至少近兩年的項目在文件管理系 統(tǒng)中進行管理的證據(jù)。 15. 建立并運行項目管理程序，明 確服務項目的組織、計劃、實 施、風險控制、交付等環(huán)節(jié)的 操作規(guī)程。 提供項目管理程序建立及實施情況的 證據(jù)，明確服務項目的組織、計劃、實 施、風險控制、交付等環(huán)節(jié)的操作規(guī)程， 提供項目風險管理記錄。 序號 要點 條款 需提供證明材料 自評估 結論 證

10、明材料清單 符 合 不 符 合 16. 建立并運行保密管理程序，明 確崗位保密責任，簽訂保密協(xié) 議，并能夠適時對相關人員進 行保密教育。 保密管理程序建立及落實情況，包括保 密范圍、保密方式、保密時效、保密責 任主體、罰則。提供組織與管理層、 技 術負責人及項目實施人員簽訂的保密 協(xié)議。關鍵崗位離職人員簽訂離職保密 協(xié)議。提供保密教育培訓記錄。 17. （三級要求）建立與運行供應 商管理程序，確保其供應商滿 足服務安全要求（僅適用于安 全集成、安全運維、災難備份 與恢復）。 提供供應商名錄、供應商管理制度的實 施情況，包括供應商選擇、考核與管理 等（僅適用于安全集成、安全運維、災 難備份與恢復

11、方向） 18. （一、二級要求）建立并運行 供應商管理程序，明確供應或 外包過程中的風險，對供應商 或承包方的服務基本資格、服 務過程控制、服務質(zhì)量、服務 交付等進行識別，確保其供應 商或承包方滿足服務安全要求 （僅適用于安全集成、安全運 維、災難備份與恢復方向）。 提供供應商管理程序，明確供應或外包 過程中的風險，對供應商或承包方的服 務基本資格、服務過程控制、服務質(zhì)量、 服務交付等進行識別，確保其供應商或 承包方滿足服務安全要求（僅適用于安 全集成、安全運維、災難備份與恢復方 向） 19. 建立合同管理程序，制定統(tǒng)一 合同模板，按照合同約定實施 信息安全服務項目。按照客戶 要求，對于接觸到

12、的客戶敏感 提供合同管理程序、 合同統(tǒng)一模板。提 供服務項目（與申報類別一致）合同/協(xié) 議中對敏感信息和知識產(chǎn)權信息保護 要求的相關條款。 序號 要點 條款 需提供證明材料 自評估 結論 證明材料清單 符 合 不 符 合 信息和知識產(chǎn)權信息予以保 護，并確保服務方人員了解客 戶的相關要求。 20. 二級/一級要求：參照國際或 國內(nèi)標準，建立業(yè)務范圍覆蓋 信息安全服務的質(zhì)量管理體 系，并有效運行半/ 一年以上。 結合質(zhì)量管理體系文件，查閱體系運行 記錄，驗證體系運行情況， 至少包括質(zhì) 量管理體系手冊、文件控制程序、記錄 控制程序、糾正與預防控制程序、內(nèi)審 與管評控制程序、安全服務工作控制程 序；

13、內(nèi)審、管評、外審報告（有則提供）； 驗證質(zhì)量管理體系范圍覆蓋與申報類 別一致的信息安全服務。 21. 二級/一級要求：參照國際或 國內(nèi)標準，建立業(yè)務范圍覆蓋 信息安全服務的信息安全管理 體系或信息技術服務管理體 系，并有效運行半/ 一年以上。 結合信息安全管理體系文件，查閱體系 運行記錄，驗證體系運行情況， 至少包 括范圍方針文件、事件管理、問題管理、 介質(zhì)管理、業(yè)務連續(xù)性管理、數(shù)據(jù)安全 管理、內(nèi)審與管評控制程序、內(nèi)審、管 評、外審報告（有則提供）風險管理 程序、適用性聲明及相應的控制措施文 件（適用于27001）（適用于20000）；業(yè) 務范圍覆蓋與申報類別一致的信息安 全服務。 22. 一

14、級要求：建立信息安全服務 目錄（與類別相對應），簽訂服 信息安全服務目錄（與類別相對應）、 服務級別協(xié)議。 序號 要點 條款 需提供證明材料 自評估 結論 證明材料清單 符 合 不 符 合 務級別協(xié)議（僅適用于安全運 維、應急處理方向）。 23. 技術工具 要求 二級/一級要求：具備獨立的測 試環(huán)境及必要的軟、硬件設備， 用于技術培訓和模擬測試。 信息安全服務的測試環(huán)境，提供設備清 單、建設時間、規(guī)模、主要承擔工作等。 24. 二級/一級要求：具備承擔信息 安全服務（與申報類別一致） 項目所需的安全工具，并對工 具進行管理和版本控制。 信息安全服務的軟、硬件工具清單，工 具管理程序和要求；針對

15、在安全服務項 目中應用自主開發(fā)工具和產(chǎn)品進行現(xiàn) 場演示，提供產(chǎn)品銷售許可證或軟件著 作權證書。 25. 申請二級 資質(zhì)條件 可根據(jù)條件直接申請，或獲得 三級資質(zhì)（與申報類別一致） 一年以上，且服務管理程序文 件需建立并運行半年以上。 信息安全服務（與申報類別一致）三級 資質(zhì)證書。服務管理程序文件及運行時 間。 26. 申請一級 資質(zhì)條件 需獲得信息安全服務（與申報 類別一致）二級資質(zhì)一年以上， 且服務管理程序文件需建立并 運行一年以上。 信息安全服務（與申報類別一致）二級 資質(zhì)證書。服務管理程序文件及運行時 間。 以下內(nèi)容適用于年度監(jiān)督 27. 業(yè)績情況 業(yè)績情況 近一年業(yè)務發(fā)展情況，簽訂、完成的項 目數(shù)量及情況，項目經(jīng)驗及教訓等 序號 要點 條款 需提供證明材料 自評估 結論 證明材料清單 符 合 不 符 合 28. 組織變更 情況 組織變更情況 組織變更情況，包括法人、資本注冊、 股東變更、組織負責人、服務負責人、 組織架構等變化情況。 29. 證書及標 志使用情 況 證書及標志使用情況 證書及標志使用情況。 30. 客戶投訴 制度建立 及執(zhí)行情