信息系統(tǒng)安全系統(tǒng)運維服務資質認證自評價與衡量表

1、實用標準文案信息系統(tǒng)平安運維效勞資質認證自評估表組織名稱申報級別評估時間評估部門/人員序 號要點條款需提供證實材料自評估 結論證實材料清單符 合不 符 合1.準備階段一 需求調研與 分析采集客戶對信息系統(tǒng)運維效勞時間的需 求.運維前的客戶需求調查報告,可結合結合業(yè)務部門,公司局層的戰(zhàn)略規(guī)劃,內容必 須有效勞時間要求.2.進行信息系統(tǒng)運維預算,定義運維效勞.運維前的信息系統(tǒng)運維預算表,內容應包 括工作量、人力資源工程經費、工程節(jié)點 等.3.與客戶進行溝通,達成共識并形成記 錄.運維前與客戶溝通的記錄,應有溝通結果 雙方達成共識的表達.4.僅二級要求：識別與分析信息系統(tǒng)運維 過程中的歷史數據,提出

2、系統(tǒng)運維的保 障策略和解決方案.信息系統(tǒng)運維過程中的歷史數據清單； 歷史數據清單的分析報告,內容包含指標完成情況、違例操作、重大事件、重大失 敗艾更等.根據報告的分析制定的運維策略,及實施文檔實用標準文案力殺；僅二級要求：分析客戶對信息系統(tǒng)平安 效勞的需求和類型.客戶需求調查報告,包含信息系統(tǒng)平安服 務的需求和類型；5.僅二級要求：收集與分析信息系統(tǒng)的可 用性指標,明確可用性指標的類型.信息系統(tǒng)的可用性指標清單,如整體指標 或單系統(tǒng)指標等；6.僅二級要求：分析以往效勞的數據,提 取出米未米口自動化的效勞.以往提供效勞的解決方案, 對生產的影響的分析報告；根據以往平安事件的解決效率進行分析, 適

3、宜時提出來未來可自動化的效勞.7.僅一級要求：內部團隊之間的平安運營 級別協議應和與平安運維第三方之間的 的效勞級別設計保持一致.效勞級別設計、平安運營級別協議,兩者 應保持一致.8.僅一級要求：平安組織中要設定平安領 導小組；在采用外包模式的情況下,執(zhí) 行組還應包含平安運維效勞供給商參與 運維的人員.平安組織架構圖及相關運維人員清單,其中應有平安領導小組；外包模式的執(zhí)行組中應有第三方參與運維的人員.9.僅一級要求：米用基于PDCA的治理模 型,從籌劃,實施,監(jiān)視與評審和持續(xù) 改良進行體系化的信息系統(tǒng)平安運維服務.信息系統(tǒng)平安運維效勞有籌劃,實施,監(jiān) 視與評審和持續(xù)改良流程.文檔實用標準文案1

4、0.僅一級要求：建立平安運維可視化視 圖.基于信息系統(tǒng)平安的生命周期,建 立信息系統(tǒng)平安運維的整體策略.基于 客戶、業(yè)務的價值表達,形成平安運維 的整體視圖.平安運維工程施工手冊和作業(yè)指導書；新建系統(tǒng),建設實施過程應重點關注信息 系統(tǒng)的功能、性能和平安性等方面要求, 應保存與客戶的需求分析記錄；系統(tǒng)改造中考慮造前技術測試驗證及在實施失敗后的回退舉措；測試驗證中對舊系統(tǒng)的兼容問題,包括網絡兼容、系統(tǒng)兼容、應用兼容等,有驗證 報告.11.準備階段一 運維效勞設計制定平安運維效勞目錄,目錄內容包括 但不限于：初始效勞、平安設備運維、 日常巡檢效勞、健康檢查、平安事件審 計.平安運維效勞目錄,內容包含

5、條款要求.12.信息系統(tǒng)相關的IT資產進行識別.IT資產識別清單,內容有 IT資產識別的 標識、分級、保護和軟件配置建立根底資 料檔案；有設備和系統(tǒng)的種類、型號、功能、物理 位置、端口對應情況、部署情況等資產詳 細信息.13.對平安設備進行日常維護及監(jiān)控,并記 錄硬件故障.平安設備的日常維護,狀態(tài)檢查,定期查 殺,故障處理、保養(yǎng)、更新、升級、故障 檢測及排除,并對平安設備出現的硬件故 障進行統(tǒng)計的記錄.14.提供平安設備、業(yè)務系統(tǒng)的健康檢查服 務,并約定效勞方式、檢查頻次和檢查 內容.有平安運維效勞使用者約定的效勞方式 現場檢查,遠程檢查、檢查頻次和檢查的文件記錄.15.采集系統(tǒng)配置、流量信息

6、、系統(tǒng)狀態(tài)等 平安信息.平安設備、業(yè)務系統(tǒng)的健康檢查效勞,應與平安運維效勞使用者約定的效勞方式現場檢查,遠程檢查、檢查頻次和檢 查的文件的記錄.文檔實用標準文案16.收集與分析網絡及平安設備、效勞器、 操作系統(tǒng)、網絡應用的日志.有對網絡及平安設備日志,效勞器、操作 系統(tǒng)等日志,網絡應用日志的記錄與分析 報告.17.僅二級要求：對信息平安事件進行統(tǒng)計 與分析.信息平安事件的統(tǒng)計表,分析報告； 信息系統(tǒng)的可用性事件、方案、報告； 平安運維角色清單.18.僅二級要求：編寫平安運維效勞目錄, 目錄內容包括但不限于：運維監(jiān)控與分 析、終端平安監(jiān)控、等級保護合規(guī)性運 維.平安運維效勞目錄, 內容應包含有條

7、款的 要求.19.僅二級要求：建立信息系統(tǒng)平安運維的 問題治理程序.信息系統(tǒng)問題治理程序,已審批并發(fā)布.20.僅二級要求：建立知識治理程序及初步 形成知識庫.知識治理程序,已審批并發(fā)布.21.僅二級要求：編制信息系統(tǒng)的可用,住計 戈IJ,監(jiān)控引用性事件,報告引用性執(zhí)行, 指導可用性的改良.信息系統(tǒng)的可用性事件、方案、報告.22.僅二級要求：形成信息平安治理的組織 架構,組織結構的構成要素與平安運維 活動角色相對應.信息平安治理的組織架構表,平安運維角色清單,應與組織的構成要素對應.23.僅一級要求：編制平安運維工程作業(yè)指 導書.平安運維工程中各模塊作業(yè)指導書.文檔實用標準文案24.僅一級要求：

8、建設實施過程中應關注信 息系統(tǒng)的功能、性能和平安性方面要求. 改造過程中應制定測試方案及回退措施.有改造過程中的信息系統(tǒng)的測試方案； 有信息系統(tǒng)的基線、回退的舉措文件.25.僅一級要求：編寫平安運維效勞目錄, 目錄內容包括但不限于：平安通告及漏 洞分析、應急響應效勞.平安運維效勞目錄, 內容有條款要求的服 務.26.準備階段一 運維效勞導 入收集與建立配置治理數據庫,保證配置 工程的機密性、完整性、可用性.完整的配置數據庫,能初步收集資產與配 置項,并保證配置工程的機密性、 完整性、 可用性.27.專業(yè)人員負責平安治理的接口.完整的配置數據庫,能初步收集資產與配 置項,并保證配置工程的機密性、

9、 完整性、 可用性.28.建立效勞目錄.平安運維效勞目錄.29.建立事件響應和解決的機制,足根本的平安運維報告模式.平安事件處理與應急響應流程,平安事件處理與上報流程.30.僅二級要求：采用流程化治理方法,基 于平安事件處理流程、平安培訓效勞流 程、滲透測試流程進行標準化的信息系 統(tǒng)平安運維工作.滲透測試的方案和記錄；建立平安事件處理流程,平安培訓效勞流 程,滲透測試的流程.31.僅一級要求：基于滲透測試流程治理進 行標準化的信息系統(tǒng)平安運維工作.運維過程中的滲透測試的方案和記錄.32.僅一級要求：編制信息平安產品和工具 定制開發(fā)方案.信息平安產品和工具定制開發(fā)方案,內容可以應客戶要求或組織自

10、身的水平.文檔實用標準文案33.準備階段一 效勞協議的 特殊要求明確平安事件處理與應急響應流程,流 程包括但不限于：平安事件的分類、安 全事件上報流程、平安事件處理流程、 平安事件的事后處理.建立平安事件處理流程,應急響應流程, 內容應包括條款要求；34.明確平安運維的方式,方式包括但不限 于：駐場值守方式,定期巡檢方式,遠 程值守方式.效勞級別協議協議, 其中內容包括運維的 力式.35.僅二級要求：簽訂效勞級別協議,建立 信息系統(tǒng)應急事件響應機制和恢復保障.效勞級別協議,內容包括承諾信息系統(tǒng)核心指標；應急響應方案、系統(tǒng)恢復方案.36.僅二級要求：建立問題治理程序.信息系統(tǒng)的問題治理程序,已審

11、批并發(fā) 布.37.僅二級要求：建立息系統(tǒng)平安的配置 庫及關聯關系信息.配置庫,系統(tǒng)平安配置項之間有關聯信 息.38.僅一級要求：建立信息系統(tǒng)平安運維服 務級別治理程序,簽訂效勞級別協議.有已通過審核并發(fā)布的信息系統(tǒng)平安運 維效勞級別治理程序； 查看客戶有效勞級別協議.39.僅一級要求：建立信息系統(tǒng)應急事件響 應機制和恢復保證.應急響應方案、系統(tǒng)恢復方案的演練記 錄；40.僅一級要求：對客戶滿意度進行趨勢分 析.客戶滿意度調查報告與趨勢分析報告；41.僅一級要求：建立應急響應和災難恢復 機制,形成業(yè)務連續(xù),性方案.發(fā)布且通過審批的業(yè)務連續(xù),住方案.42.效勞實施階 段實施初始效勞：完成資產識別,

12、定期配 置項的更新加維護,實施相關運維流程.資產識別表,對配置項的更新和維護記 錄,實施相關運維流程的記錄.文檔實用標準文案43.實施平安設備運維效勞：完成日常維護,狀態(tài)檢查,定期查殺,故障處理、保養(yǎng)、 更新、升級、故障檢測及排除,并對安 全設備出現的硬件故障進行統(tǒng)計記錄.日常維護,巡檢、狀態(tài)檢查,定期查殺, 故障處理、保養(yǎng)、更新、升級、故障檢測 及排除的記錄；44.實施日常巡檢效勞：完成平安設備監(jiān)控； 病毒監(jiān)測、查殺及網絡防病毒維護,并 有相關記錄.信息平安事件審計報告,如網絡及平安設備日志、效勞器、操作系統(tǒng)、網絡應用的 日志；45.實施健康檢查效勞：完成平安設備、業(yè) 務系統(tǒng)的健康檢查效勞.

13、平安設備、業(yè)務系統(tǒng)的健康檢查效勞,主 要,作針對于設備的可用性、持續(xù)性,并 提供相應效勞記錄.46.實施平安事件審計效勞：完成網絡及安 全設備日志、效勞器、操作系統(tǒng)、網絡 應用的日志、并且進行記錄.實施平安事件審計效勞,內容包含條款中 的要求.47.組建運維效勞臺職能,培養(yǎng)效勞臺人員 的專業(yè)水平.建立效勞臺；提供效勞臺人員的培訓記錄.48.建立事件治理程序和信息平安效勞請求 治理程序.事件治理程序,已審批并發(fā)布； 效勞請求治理程序,已審批并發(fā)布.49.僅二級要求：實施運維監(jiān)控與分析并形 成記錄.運維監(jiān)控分析報告,內容以數據來分析各 個指標的趨勢.50.僅二級要求：進行等級保護合規(guī)性運 維.針對

14、信息系統(tǒng)平安建立保護等級； 對信息系統(tǒng)分級的標準；文檔實用標準文案51.僅二級要求：實施平安通告及漏洞分析 效勞：完成業(yè)界動態(tài)的通告、收集國家 平安政策及法律法規(guī)、漏洞通告、病毒 通告、廠商平安通告及其他平安通告.通告與漏洞分析記錄,內容為業(yè)界動態(tài)的 通告、收集國家平安政策及法律法規(guī)、漏 洞通告、病毒通告、廠商平安通告及其他 平安通告,并生成分析報告.52.僅二級要求：實施應急響應效勞：完成 應急響應預案制定,對應急事件及時響 應,并對應急進行演練,形成相關記錄通告與漏洞分析記錄；應急響應服預案,應急演練的記錄； 變更治理程序,已審批并發(fā)布； 運維過程中的變更記錄單.53.僅一級要求：建立運維

15、變更治理程序, 對運維實施過程中方案、資源變更進行 有效限制,完整記錄變更過程.針對運維有審批并發(fā)布的變更治理程序； 運維過程中的變更應用晌應的變更記錄.僅一級要求：制定運維應急處置方案和 恢復策略,對運維過程中的應急事件及 時進行響應.有已審批并發(fā)布的應急處置方案和恢復 策略；運維過程中的響應時間是否到達方案要 求.54.監(jiān)視評審階 段應定期收集與分析平安運維報告的數 據,包括但不限于：異常報告及時率、 異常漏報率、維護作業(yè)方案的及時完成 率、故障隱患發(fā)現率、異常主動發(fā)現率、 問題解決率、漏洞掃描覆蓋率、加固設 備覆蓋率、平安補丁安裝及時率、平安 事件次數.運維數據收集記錄, 內容應包含條款

16、中的 要求.55.對運維實現情況進行監(jiān)視測量,未能實 現的目標應采取糾止預防舉措.平安運維實現情況監(jiān)視測量清單,如客戶滿意度、投訴建議、KPI等；糾止預防舉措記錄單.56.建立與分析客戶滿意度調查.客戶滿意度調查報告, 內容應包括對滿意 度分析.文檔實用標準文案57.僅二級要求：根據方案的時間間隔執(zhí)行 內部審核,應至少滿足： 既定標準的要 求、滿足平安運維效勞需求和客戶所提 出的SM要求、有效被實施和維護.內部審核的響應文件與記錄；治理評審的響應義件與記錄,內容應包含效勞和流程的執(zhí)行情況和符合性；58.僅二級要求：定期回憶平安運維效勞, 保證其持續(xù)適用和有效.治理評審的輸 入至少包括：客戶反應

17、、效勞和流程的 執(zhí)行情況和符合性、當前和預測資源水 平、糾正舉措的進展情況、可能影響安 全運維效勞的艾更、改良的時機.當前和預測資源水平；糾正舉措的進展情況；可能影響平安運維效勞的變更；改良的時機,如指標為滿足、運維中存在 的問題、效勞提升點等.59.僅一級要求：形成體系化的審核機制及 企業(yè)文化.內部審核機制形成體系,表現形式如：體 系文件、PDC戰(zhàn)程、第三方認證等； 建立效勞監(jiān)視治理流程60.僅一級要求：體系化的效勞監(jiān)視治理, 形成審核機制.61.僅一級要求：定期評審客戶對平安運維 效勞的滿意度.客戶滿意度調查表,包括：定期評審、主 動回訪等.62.平安運維運 一維持續(xù)改 進應在運維過程和監(jiān)

18、視過程中識別改良項 目,制定持續(xù)改良方案,方案應包括對 改良時機的評估標準.平安運維持續(xù)改良方案；查看改良方案的評估標準.包括：識別過程、記錄過程、是否有批準 過程、評估、測量和適合的報告機制.63.應有文件化的程序用以識別、記錄、批 準、評估、測量和報告改良舉措.64.應采取預防舉措,以消除潛在的不符合 項的原因,以預防其發(fā)生.平安運維預防舉措文件,及其有效性驗證 的記錄.65.僅二級要求：改良時機應劃分優(yōu)先級, 籌劃被批準的改良時機.改良時機分析報告,及其批準證據；優(yōu)先級排序的方式不限,但應有合理性.文檔實用標準文案66.僅二級要求：改良活動應進行治理,至 少包括： 設定改良目標、保證批準的改 進活動被實施、報告被實施的改良方案.改良活動的方案、實施、有效性測量記錄； 內容包括設定改良目標、 保證批準的改良 活動被實施、報告被實施的改良方案.67.僅一級要求：持續(xù)效勞改良,形成持續(xù) 效勞改良文化和意識.有效勞改良的意識以培訓, 宣貫的方式傳 到達員工,有相應的記錄.68.僅一級要求：基于運維效勞的缺陷,提 出改良策略和方案.對運維的重大事件、失敗變更、效