中國信息安全認(rèn)證中心-現(xiàn)場審核表

1、信息平安效勞資質(zhì)認(rèn)證自評估表公共管理填表說明：1 1、申請三級信息平安效勞資質(zhì)認(rèn)證時，僅需填寫該自評估表。2 2、申請一、二級效勞資質(zhì)認(rèn)證時，該自評估表與申報具體的效勞類別自評估一并使用，單個文檔不作為自評估支撐材料。中報多個服 務(wù)類別且級別不同時，按照申請的最高級別效勞資質(zhì)認(rèn)證的管理要求填寫。3 3、表中要求的所有程序文件均已發(fā)布實施。組織名稱效勞類別/級別評估時間評估部門/人員序號要點條款需提供證明材料自評估 結(jié)論證明材料清單符 合不符合1.法律地位 要求僅適用于初次認(rèn)證：在中華人民共和國境內(nèi)注冊的 獨立法人組織，開展歷程清晰， 產(chǎn)權(quán)關(guān)系明確。監(jiān)督如有變化那么重新提供。營業(yè)執(zhí)照/事業(yè)單位登

2、記證，核對注冊 號、法定代表人、注冊資本、注冊地址、 公司類型、經(jīng)營范圍、成立日期、營業(yè) 期限等。如獨立法人實體的一個部門或局部， 經(jīng) 法人批準(zhǔn)成立，法人實體能為申請人開序號要點條款需提供證明材料自評估 結(jié)論證明材料清單符 合不符合展的活動承當(dāng)相關(guān)的法律責(zé)任的文件法人簽字蓋章。提供企業(yè)在國家企業(yè)信用信息公示系統(tǒng):/中的根底信息截圖2.法律地位 要求遵循國家相關(guān)法律法規(guī)、標(biāo)準(zhǔn) 要求，無違法違規(guī)記錄，資信 狀況良好。提供企業(yè)在國家企業(yè)信用信息公示系統(tǒng):/上的企業(yè)信用信息。需要截圖3.財務(wù)資信 要求僅適用于初次認(rèn)證：組織經(jīng)營狀況正常，建立財務(wù) 管理制度，可為平安效勞提

3、供 必要的財務(wù)支持。提供財務(wù)管理制度，包括財務(wù)風(fēng)險管控 制度，必要時年度審計報告作為支撐文 件。4.辦公場所 要求擁有長期固定辦公場所和相適 應(yīng)的辦公條件，能夠滿足機(jī)構(gòu) 設(shè)置及其業(yè)務(wù)需要。監(jiān)督有變化那么提供，無變化那么不提供。房屋產(chǎn)權(quán)證或租房屋賃合同；產(chǎn)權(quán)人/出租人、地址、面積、租期。5.人員能力 要求三級/二級/一級分別要求：組 織負(fù)責(zé)人擁有2/3/42/3/4年以上/ 息技術(shù)領(lǐng)域管理經(jīng)歷。組織負(fù)責(zé)人簡歷及資質(zhì)證書，包括姓名、年齡、職務(wù)、職稱、學(xué)歷、工作經(jīng)歷、信息技術(shù)領(lǐng)域管理年限、資質(zhì)證書。XX市社保部門出具的公司員工社保繳 費證明，單據(jù)號：XXXX出具時間XX序號要點條款需提供證明材料自評

4、估 結(jié)論證明材料清單符 合不符合年沏XX日。三級/二級/一級的負(fù)責(zé)人社保證明至少3個月。需提供社保部門提供的社保繳費證明 或社保系統(tǒng)查詢截圖。6.三級/二級/一級分別要求：技 術(shù)負(fù)責(zé)人具備信息平安效勞與申報類別一致 管理能力，經(jīng)評價合格與申報類別一 致，評價要求見附錄 GoGo技術(shù)負(fù)責(zé)人簡歷及資質(zhì)證書，包括姓 名、年齡、職務(wù)、職稱、學(xué)歷、工作經(jīng) 歷、信息技術(shù)領(lǐng)域工作年限、資質(zhì)證書。 提供技術(shù)負(fù)責(zé)人的信息平安效勞管理 能力證明，包括能力考核結(jié)果與申報 類別一致。三級/二級/一級的技術(shù)負(fù) 責(zé)人社保證明至少3個月。需提供社保部門提供的社保繳費證明 或社保系統(tǒng)查詢截圖。7.三級/二級/一級分別要求：項

5、 目負(fù)責(zé)人、工程工程師具備信 息平安效勞與申報類別一致 技術(shù)能力，經(jīng)評價合格，評價 要求見附錄 GoGo提供工程負(fù)責(zé)人、工程工程師的技術(shù)能 力證明，包括能力核結(jié)果。如，對應(yīng) 崗位職責(zé)、能力自評價、能力評價、項 目經(jīng)歷等證明材料。三級/二級/一級的效勞人社保證明至少3個月。需提供社保部門提供的社保繳費證明或社保系統(tǒng)查詢截圖。8.業(yè)績要求僅適用初次三級/二級/ 一級分別要求： 從 事信息平安效勞與申報類別提供首個信息平安效勞與申報類別一 致工程合同原件，核對工程名稱、合 同簽訂時間、工程驗收時間等。監(jiān)督審核不適用。三級初次申報填寫公司成立時間/或工程開始時間。序號要點條款需提供證明材料自評估 結(jié)論

6、證明材料清單符 合不符合一致至少4個月/3年或取得二 級資質(zhì)1年以上/5年或取得二 級資質(zhì)1年以上。公開招標(biāo)工程需提供中標(biāo)通知書原 件或招標(biāo)網(wǎng)站公示截圖， 非公開招標(biāo)項 目需提供財務(wù)收款憑證。9.僅適用初次二級/一級分別要求： 近3年內(nèi) 簽訂并完成至少6/106/10個信息安 全效勞與申報類別一致項 目。一二級現(xiàn)場隨機(jī)抽查1 1個 工程。監(jiān)督三級/二級/一級監(jiān)督近1年內(nèi)簽訂并完成至少1個/2個/2個信息平安效勞與申報類 別一致工程。提供信息平安效勞工程與申報類別一 致合同及驗收報告原件， 核對工程清 單，確認(rèn)工程名稱、合同金額、簽訂時 間、驗收時間、工程數(shù)量、效勞內(nèi)容與 申報一致。公開招標(biāo)工程

7、需提供中標(biāo)通知書原件或招標(biāo)網(wǎng)站公示截圖， 非公開招標(biāo)項 目需提供財務(wù)收款憑證。三級初次申報不填此項10.效勞管理 要求建立并運行人員管理程序，識 別平安效勞人員的效勞能力要 求，明確平安效勞人員的崗位 職責(zé)、技術(shù)能力要求，并通過 評價證明其能夠勝任其承當(dāng)?shù)?職責(zé)。提供效勞人員管理程序，及平安效勞人 員的崗位職責(zé)、技術(shù)能力要求，并提供 評價證明其能夠勝任其承當(dāng)?shù)穆氊?zé)。11.制定效勞人員能力培養(yǎng)方案， 包括網(wǎng)絡(luò)與信息平安相關(guān)的技 術(shù)、技能、管理、意識等內(nèi)容， 并執(zhí)行方案，確保效勞人員持 續(xù)勝任其承當(dāng)?shù)穆氊?zé)。提供效勞人員能力培養(yǎng)方案，包括網(wǎng)絡(luò) 與信息平安相關(guān)的技術(shù)、技能、管理、 意識等內(nèi)容，并執(zhí)行方

8、案，確保效勞人 員持續(xù)勝任其承當(dāng)?shù)穆氊?zé)。序號要點條款需提供證明材料自評估 結(jié)論證明材料清單符 合不符合12.建立文檔管理程序，包括組織 管理、效勞過程管理、質(zhì)量管 理等內(nèi)容，明確工程產(chǎn)生、發(fā) 布、保存、傳輸、使用包括 交付和內(nèi)部使用、廢棄等環(huán) 節(jié)的文檔控制。文檔管理程序建立及實施情況，提供與 申報類型一致的平安效勞工程過程文 檔，核實是否存在遺失或信息泄露等問 題。13.二級：.6 c c配備檔案室及高 平安性的文件效勞器。提供配備檔案室及高平安性的文件服 務(wù)器的證據(jù)。14.一級：.6 c c配備檔案室及高 平安性的文件效勞器，至少近 兩年的工程在文件管理系統(tǒng)中

9、 進(jìn)行管理。提供配備檔案室及高平安性的文件服 務(wù)器，至少近兩年的工程在文件管理系 統(tǒng)中進(jìn)行管理的證據(jù)。15.建立并運行工程管理程序，明 確效勞工程的組織、方案、實 施、風(fēng)險控制、交付等環(huán)節(jié)的 操作規(guī)程。提供工程管理程序建立及實施情況的證據(jù)，明確效勞工程的組織、方案、實施、風(fēng)險控制、交付等環(huán)節(jié)的操作規(guī)程， 提供工程風(fēng)險管理記錄。16.建立并運行保密管理程序，明 確崗位保密責(zé)任，簽訂保密協(xié) 議，并能夠適時對相關(guān)人員進(jìn) 行保密教育。保密管理程序建立及落實情況，包括保 ,范圍、保密方式、保,時效、保,責(zé) 任主體、罰那么。提供組織與管理層、 技 術(shù)負(fù)責(zé)人及工程實施人員簽訂的保密 協(xié)議。關(guān)鍵崗位離職人員簽

10、訂離職保密 協(xié)議。提供保密教育培訓(xùn)記錄。序號要點條款需提供證明材料自評估 結(jié)論證明材料清單符 合不符合17.三級要求建立與運行供給 商管理程序，確保其供給商滿 足效勞平安要求僅適用于安 全集成、平安運維、災(zāi)難備份 與恢復(fù)、工業(yè)控制系統(tǒng)平安。提供供給商名錄、供給商管理制度的實 施情況，包括供給商選擇、考核與管理 等僅適用于平安集成、平安運維、災(zāi) 難備份與恢復(fù)方向、工業(yè)控制系統(tǒng)安 全18.一、二級要求建立并運行 供給商管理程序，明確供給或 外包過程中的風(fēng)險，對供給商 或承包方的效勞根本資格、服 務(wù)過程控制、效勞質(zhì)量、效勞 交付等進(jìn)行識別，確保其供給 商或承包方滿足效勞平安要求僅適用于平安集成、平安

11、運 維、災(zāi)難備份與恢復(fù)方向、工 業(yè)控制系統(tǒng)平安。提供供給商管理程序，明確供給或外包 過程中的風(fēng)險，對供給商或承包方的服 務(wù)根本資格、效勞過程控制、效勞質(zhì)量、 效勞交付等進(jìn)行識別，確保其供給商或 承包方滿足效勞平安要求僅適用于安 全集成、平安運維、災(zāi)難備份與恢復(fù)方 向、工業(yè)控制系統(tǒng)平安19.建立合同管理程序，制定統(tǒng)一 合同模板，按照合同約定實施 信息平安效勞工程。按照客戶 要求，對于接觸到的客戶敏感 信息和知識產(chǎn)權(quán)信息予以保 護(hù)，并確保效勞方人員了解客 戶的相關(guān)要求。提供合同管理程序、 合同統(tǒng)一模板。提 供效勞工程與申報類別一致合同/協(xié)議中對敏感信息和知識產(chǎn)權(quán)信息保 護(hù)要求的相關(guān)條款。20.一/

12、二級要求：參照國際或國 內(nèi)標(biāo)準(zhǔn)，建立業(yè)務(wù)范圍覆蓋信 息平安效勞的質(zhì)量管理體系，結(jié)合質(zhì)量管理體系文件， 查閱體系運行 記錄，驗證體系運行情況， 至少包括質(zhì) 量管理體系手冊、文件控制程序、記錄序號要點條款需提供證明材料自評估 結(jié)論證明材料清單符 合不符合開有效運行半/一年以上?？刂瞥绦颉⒓m正與預(yù)防控制程序、內(nèi)審 與管評控制程序、平安效勞工作控制程 序；內(nèi)審、管評、外審報告有那么提供； 驗證質(zhì)量管理體系范圍覆蓋與申報類 別一致的信息平安效勞。21.一/一級要求：參照國際或國 內(nèi)標(biāo)準(zhǔn)，建立業(yè)務(wù)范圍覆蓋信 息平安效勞的信息平安管理體 系或信息技術(shù)效勞管理體系，并有效運行半/一年以上。結(jié)合信息平安管理體系

13、文件，查閱體系 運行記錄，驗證體系運行情況， 至少包 括范圍方針文件、事件管理、問題管理、 介質(zhì)管理、業(yè)務(wù)連續(xù)性管理、數(shù)據(jù)平安 管理、內(nèi)審與管評控制程序、內(nèi)審、管 評、外審報告有那么提供風(fēng)險管理程序、適用性聲明及相應(yīng)的控制措施文 件適用于27001適用于20000;業(yè)務(wù)范圍覆蓋與申報類別一致的信息 平安效勞。22.一級要求：建立息平安效勞 目錄與類別相對應(yīng)，簽訂 效勞級別協(xié)議。信息平安效勞目錄與類別相對應(yīng)、 效勞級別協(xié)議。23.技術(shù)工具 要求二級/一級要求：具備獨立的測 試環(huán)境及必要的軟、硬件設(shè)備， 用于技木培訓(xùn)和模擬測試。信息平安效勞的測試環(huán)境，提供設(shè)備清 單、建設(shè)時間、規(guī)模、主要承當(dāng)工作等

14、。24.二級/一級要求：具備承當(dāng)信息 平安效勞與申報類別一致 工程所需的平安工具，并對工 具進(jìn)行管理和版本控制。信息平安效勞的軟、硬件工具清單，工 具管理程序和要求；針對在平安效勞項 目中應(yīng)用自主開發(fā)工具和產(chǎn)品進(jìn)行現(xiàn) 場演示，提供產(chǎn)品銷售許可證或軟件著序號要點條款需提供證明材料自評估 結(jié)論證明材料清單符 合不符合作權(quán)證書。25.效勞技術(shù)僅適用于三級初次建立信息平安效勞與申報類 別一致要求的流程，并按照 流程實施。按照相關(guān)標(biāo)準(zhǔn)建立申報的效勞類別流 程申報多類需要制定相對應(yīng)的效勞流 程。流程圖中應(yīng)包括每個階段對應(yīng)的 職責(zé)、輸入輸出等。26.僅適用于三級初次制定信息平安效勞與申報類 別一致要求的標(biāo)準(zhǔn)

15、標(biāo)準(zhǔn)，并 按照標(biāo)準(zhǔn)實施。制定與申報的信息平安效勞類別標(biāo)準(zhǔn) 并按照標(biāo)準(zhǔn)實施申報多類需要制定相 對應(yīng)的效勞標(biāo)準(zhǔn)。27.效勞過程文檔模板僅適用于三級初次制定信息系統(tǒng)平安集成效勞過程的文檔模板平安集成：（1）集成準(zhǔn)備階段：至少包括需求調(diào)研報告、技術(shù)方家、頭施方茉技術(shù)方案內(nèi)容應(yīng)至少包含工程背景、 設(shè)計依 據(jù)、總體設(shè)計架構(gòu)、信息平安設(shè)計等方 面內(nèi)容，實施方案應(yīng)至少包含工程組織 架構(gòu)及人員安排、進(jìn)度安排、實施內(nèi)容、 工程風(fēng)險管理、工程溝通管理、工程質(zhì) 量管理等方面內(nèi)容；（2）建設(shè)實施階段：至少包括日報/周報；（3）平安保障階段：至少包括測試方案、驗收申請、驗收報告；28.僅適用于三級初次風(fēng)險評估：序號要點條

16、款需提供證明材料自評估 結(jié)論證明材料清單符 合不符合制定信息系統(tǒng)風(fēng)險評估效勞過 程的文檔模板(1)準(zhǔn)備階段：至少包括信息系統(tǒng)根本情況調(diào)研表、 風(fēng)險評估方案(方案 中應(yīng)至少包含被評估對象描述、評估依 據(jù)、評估范圍、評估內(nèi)容、工程組成員、 評傳方案安排、評估工具、評估過程、 評估方法、風(fēng)險評價原那么、風(fēng)險評估模 型、風(fēng)險分析與計算方法等方面內(nèi)容)；(2)風(fēng)險識別階段：至少包括管理 脆弱性檢查表、技術(shù)脆弱性檢查表 (包 含主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、平安設(shè)備、 中間件、應(yīng)用系統(tǒng)等)、威脅調(diào)查表；(3)風(fēng)險分析階段：風(fēng)險評估報告(至少包括評估過程、 評估方法、 評估 結(jié)果、處置建議等內(nèi)容)；29.僅適用于

17、三級初次制定信息平安應(yīng)急處理效勞過程的文檔模板應(yīng)急處理：(1)準(zhǔn)備階段：至少包含工具包、效勞承諾書；(2)檢測階段：至少包含授權(quán)書、應(yīng)急處理方案；(3)抑制階段：至少包含抑制方案；(4)鏟除階段：至少包含鏟除方案；(5)恢復(fù)階段：至少包含恢復(fù)方案、重建系統(tǒng)標(biāo)準(zhǔn)、數(shù)據(jù)備份標(biāo)準(zhǔn)、安序號要點條款需提供證明材料自評估 結(jié)論證明材料清單符 合不符合全配置核查表(可以包含windows類操 作系統(tǒng)女全配置核查表、linux類操作系統(tǒng)平安配置核查表、數(shù)據(jù)庫平安配置 核查表、中間件平安配置核查表)；(6)總結(jié)階段：至少包含總結(jié)報告；備注：應(yīng)急處理方案中可以總體涵蓋 檢測、抑制、鏟除、恢復(fù)方面的內(nèi)容。僅適用于三

18、級初次制定信息系統(tǒng)平安運維效勞過 程的文檔模板平安運維：(1)準(zhǔn)備階段：至少包含需求調(diào)研 報告；(2)方案設(shè)計階段：至少包含平安運維效勞方案；(3)運維效勞實施階段：至少包含平安信息(包含平安配置、流量信息、 平安策略等)巡檢記錄表、狀態(tài)巡檢記 水衣、健康f生檢宜記水太、病是dkzK記 錄表、平安加固標(biāo)準(zhǔn)等；(4)運維效勞報告階段：至少包含運維效勞月報/季報、年度效勞總結(jié)報 告、驗收報告；僅適用于三級初次制定信息系統(tǒng)軟件平安開發(fā)服務(wù)過程的文檔模板軟件平安開發(fā)：(1)準(zhǔn)備階段：至少包含開發(fā)計戈IJ、配置管埋方案、變更記錄單；(2)需求階段：至少包含需求分析序號要點條款需提供證明材料自評估 結(jié)論證

19、明材料清單符 合不符合報告；(3)設(shè)計階段：至少包含概要設(shè)計說明書、詳細(xì)設(shè)計說明書；(4)編碼階段：至少包含編碼規(guī)范；(5)測試階段：至少包含測試方案、測試用例、測試報告；(6)驗收階段：至少包含驗收申請、驗收報告；(7)維保階段：至少包含故障記錄、升級記錄；僅適用于三級初次制定信息系統(tǒng)災(zāi)難恢復(fù)與備份 效勞過程的文檔模板災(zāi)難恢復(fù)與備份(B類)：(1)方某設(shè)計要求： 至少包含需求分析報告、技術(shù)方案、實施方案；(2)系統(tǒng)建設(shè)與管理要求：至少包含工程周/日報；(3)預(yù)案制定與演練要求：至少包 含災(zāi)難恢復(fù)預(yù)案、桌面演練記錄、桌面 演練總結(jié)報告；30.僅適用于三級初次制定網(wǎng)絡(luò)平安審計網(wǎng)絡(luò)平安審 計效勞過

20、程的文檔模板網(wǎng)絡(luò)平安審計網(wǎng)絡(luò)平安審計效勞(1)審計對象調(diào)研至少包括調(diào)研報告(2)審計實施方案編制至少包括實施方案(3)審計取證與評價序號要點條款需提供證明材料自評估 結(jié)論證明材料清單符 合不符合至少包括評價記錄(4)審計報告至少包括審計報告(5)跟蹤審計至少包括跟蹤審計報告(6)審計質(zhì)量控制至少包括質(zhì)里控制要求及記錄31.僅適用于三級初次 制定工業(yè)控制系統(tǒng)效勞過程的 文檔模板(1)業(yè)務(wù)情況和工業(yè)控制系統(tǒng)調(diào)研，至少包括調(diào)研衣模板(2)技術(shù)方家編制至少包括技術(shù)方家 模板(3)實施方案編制 至少包括實施方案 模板(4)實施過程記錄 至少包括實施記錄 模板(5)效勞報告至少包括總結(jié)報告模 板、交接報告模板(6)測試報告，至少