您現在所在位置:首頁 > 資質認證中心 > 信息系統集成資質

信息安全服務資質認證自評估表-公共管理

文章出處:原創 人氣:1371 發表時間:2017-10-25

填表說明:該自評估表與申報具體的服務類別自評估一并使用,單個文檔不作為自評估支撐材料。申報多個服務類別且級別不同時,按照申請的最高級別服務資質認證的管理要求填寫。


組織名稱

 

服務類別/級別

 

評估時間

 

評估部門/人員


序號

要點

條款

需提供證明材料

自評估結論

證明材料清單

符合

不符合

財務資信要求

僅適用于初次認證
近3年經營狀況良好,財務數據真實可信,應提供在中華人民共和國境內登記注冊的會計師事務所出具的近3年財務審計報告。
監督審核
應提供在中華人民共和國境內登記注冊的會計師事務所出具的近1年財務審計報告。

財務審計報告或(僅限于三級)加蓋本單位公章的財務報表(近3年)。

 

 

 

辦公場所要求

擁有長期固定辦公場所和相適應的辦公條件,能夠滿足機構設置及其業務需要。
監督審核:
有變化則提供,無變化則不提供。

房屋產權證或租房屋賃合同;
產權人/出租人、地址、面積、租期。

 

 

 

人員素質與資質要求

三級/二級/一級分別要求:組織負責人擁有2/3/4年以上信息技術領域管理經歷。

組織負責人簡歷及資質證書,包括姓名、年齡、職務、職稱、學歷、工作經歷、資質證書。

 

 

 

三級/二級/一級分別要求:技術負責人獲得信息安全相關專業碩士及以上學位或電子信息技術類中級職稱,且從事信息安全技術工作2/5/8年以上。

技術負責人簡歷及資質證書,包括姓名、年齡、職務、職稱、學歷、工作經歷、資質證書。

 

 

 

三級/二級/一級分別要求:財務負責人具有財務系列初級/中級/高級或取得中級8年以上職稱。

財務負責人簡歷及資質證書,包括姓名、年齡、職務、職稱、學歷、工作經歷、資質證書。

 

 

 

三級/二級/一級分別要求:從事信息安全服務人員10/30/50名以上。

信息安全服務人員清單,養老保險證明或勞動合同。

 

 

 

(初次認證審核時,如申請單位未取得CISAW資格,則需列出人員認證計劃,監督審核時該單位須取得該方向人員資格)
三級/二級/一級分別要求:擁有信息安全專業認證(與申報類別一致)人員2/6/10名以上。

信息安全專業保障人員認證證書(與申報類別一致)。

 

 

 

(僅適用于安全集成方向)
三級/二級/一級分別要求:擁有項目管理資格證書人員1/2/5名以上。

項目經理資格證書,包括PMP、IPMP、項目經理證等。

 

 

 

技術工具要求

僅二級/一級要求:具備獨立的測試環境及必要的軟、硬件設備,用于技術培訓和模擬測試。

介紹信息安全服務的測試環境,包括主要設備設施清單、建設時間、規模、承擔業務、培訓內容等。

 

 

 

技術工具要求

/二級要求:具備承擔信息安全服務(與申報類別一致)項目所需的安全工具,并對工具進行管理和版本控制。

用于信息安全服務的主要軟、硬件工具清單;工具管理程序和要求;有自主開發產品或工具,并在安全服務項目中實際應用,需詳細介紹,提供產品銷售許可證或軟件著作權證書。

 

 

 

僅一級要求:具備承擔信息安全服務(與申報類別一致)項目所需的安全工具,如漏洞掃描工具、滲透測試工具、協議分析儀等。

 

 

 

業績要求

適用于所有方向的初次申請)
三級/二級/一級分別要求:從事信息安全服務(與申報類別一致)至少1/3年或取得三級1年以上/5年

提供首個信息安全服務(與申報類別一致)項目合同,其中包括但不限于項目名稱、合同簽訂時間、項目驗收時間。

 

 

 

三級/二級/一級分別要求:近3年內簽訂并完成至少1/6/10個信息安全服務(與申報類別一致)項目。
僅適用監督審核:
三級/二級/一級分別要求:近1年內至少完成1/2/3信息安全服務(與申報類別一致)項目。

信息安全服務項目(與申報類別一致)合同及驗收報告,項目清單包括但不限于項目名稱、合同金額、簽訂時間、驗收時間、項目數量、服務內容等,提交申請書時間為截止時間。

 

 

 

服務管理要求

遵循國家相關法律法規、標準要求,無違法違規記錄,資信狀況良好。

遵循國家法律法規、標準要求,無違法違規記錄,資信狀況良好承諾書。

 

 

 

僅二級要求:參照國際或國內標準,建立業務范圍覆蓋信息安全服務的質量管理體系,并有效運行。

質量管理體系文件及運行記錄,包括但不限于質量管理體系手冊、內審、管評、外審管控程序及報告、安全服務工作控制程序;范圍覆蓋與申報類別一致的信息安全服務。

 

 

 

服務管理要求

僅一級要求:參照國際、國內標準,建立業務范圍覆蓋信息安全服務的質量管理體系,并提供有效運行的相關證明。

質量管理體系認證證書,包括但不限于證書編號、認證范圍、頒證日期、有效期,范圍覆蓋與申報類別一致的信息安全服務。

 

 

 

一/二級要求:參照國際或國家標準,建立業務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系,并有效運行。

結合信息安全管理體系文件,查閱體系運行記錄,驗證體系運行情況,至少包括范圍方針文件、文件控制程序、記錄控制程序、糾正與預防控制程序、內審與管評控制程序、內審、管評、外審管控程序及報告、[風險管理程序、適用性聲明及相應的控制措施文件](適用于27001)或[服務等級管理程序、事件管理程序、問題管理程序、變更和發布管理程序、配置管理程序](適用于20000)。范圍覆蓋與申報類別一致的信息安全服務。

 

 

 

僅一級要求:參照國際、國家標準,建立業務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系,并提供有效運行的相關證明。

信息安全管理或信息技術服務管理體系認證證書,包括證書編號、認證范圍、頒證日期、有效期,范圍覆蓋與申報類別一致的信息安全服務。

 

 

 

建立人員管理程序和能力考核指標;制定業務和技能培訓計劃,定期對相關人員開展培訓和考核。

人員管理程序,明確崗位職責,人員任前、中、后的監督、考核、評價、獎懲方式,信息安全服務相關技術崗位的能力指標。人員培訓制度(可并入人員管理制度),明確培訓需求、計劃、實施和記錄要求,以及對應的記錄模板。

 

 

 

服務管理要求

建立文檔控制程序,明確文檔管理職責,任命管理人員,確保項目文檔資料妥善保管。

文檔控制程序,范圍包括但不限于管理文檔、項目文檔、控制方式(起草、審批、修改、發布、銷毀、歸檔、借閱、外來文件管理)。項目文檔管理人員職責。

 

 

 

建立項目管理制度,并按照制度執行。

建立項目管理制度,制度中包括項目管理貫穿項目從立項到結項的整個過程,包括項目風險管理等。

 

 

 

提供資源,確保信息安全服務項目的實施。

提供項目過程文檔、項目組人員清單。

 

 

 

服務合同要求

了解客戶及所處的行業對信息安全服務的特定要求。

提供針對具體項目的調研內容,包括對客戶所處行業情況和相關要求。

 

 

 

確定信息安全服務范圍。

提供的信息安全服務項目(與申報類別一致)合同/協議中明確了具體范圍。

 

 

 

應簽訂信息安全服務合同或協議。

提供信息安全服務項目(與申報類別一致)合同/協議。

 

 

 

僅二級/一級要求:合同應明確信息安全服務的行為規范。

提供信息安全服務項目(與申報類別一致)合同/協議,其中需明確針對信息安全服務的行為規范。

 

 

 

僅一級要求:合同應明確信息安全服務的安全要求。

提供信息安全服務項目(與申報類別一致)合同/協議,其中需明確服務安全要求。

 

 

 

服務安全要求

滿足法律法規對服務安全的要求。

驗證信息安全服務投標書、調研報告等中是否明確符合相關法律法規的安全要求。

 

 

 

滿足與客戶簽訂服務合同中的安全要求。

驗證與客戶簽訂信息安全服務(與申報類別一致)合同中是否包含保障服務安全的相應條款和要求。

 

 

 

制定保密管理制度,明確崗位保密責任。

保密管理制度,包括但不限于保密范圍(至少包含公司人員和客戶信息)、保密方式、保密時效、保密責任主體、罰則。

 

 

 

按照客戶要求,對于接觸到的客戶敏感信息和知識產權信息予以保護,并確保服務方人員了解客戶的相關要求。

與客戶簽訂合同(模板)中對保護客戶敏感信息和知識產權的相關條款和要求。

 

 

 

與相關人員簽訂保密協議,并進行保密教育。

公司與管理、技術及具體項目人員簽訂的保密協議。

 

 

 

確保其供應商滿足上述服務安全要求。

供應商管理要求,包括供應商遴選、管理與考核措施;提供供應商名錄,考核記錄。

 

 

 

服務技術要求

多個類別需提供對應的流程:
建立信息安全服務(與申報類別一致)流程。

按照相關標準建立申報的服務類別流程(申報多類需要制定相對應的服務流程)。流程圖中應包括每個階段對應的職責、輸入輸出等。

 

 

 

多個類別需提供對應的規范:
制定信息安全服務(與申報類別一致)規范并按照規范實施。

制定與申報的信息安全服務類別規范并按照規范實施(申報多類需要制定相對應的服務規范)。

 

 

 

申請一級資質條件

取得信息安全服務(與申報類別一致)二級資質1年以上。

信息安全服務(與申報類別一致)二級資質證書。

 

 

 

以下內容適用于年度監督

業績情況

業績情況

近一年業務發展情況,簽訂、完成的項目數量及情況,項目經驗及教訓等。

 

 

 

組織變更情況

組織變更情況

組織變更情況,包括法人、資本注冊、股東變更、組織負責人、服務負責人、組織架構等變化情況。

 

 

 

證書及標志使用情況

證書及標志使用情況

證書及標志使用情況

 

 

 

證書及標志使用情況

客戶投訴制度建設,投訴及處理情況

客戶投訴情況,包括客戶投訴制度,投訴及處理情況。

 

 

 

上一年度提出的觀察項跟蹤驗證情況(如有)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

上一年度提出的不符合項跟蹤驗證情況(如有)

 

 

 

 

 

 

 

 

 

 

 




本文TAG:

相關資訊

版權所有:湖南省電子信息產業研究院
電話:0731-84117318
湘ICP備17020036號-1   技術支持:競網智贏 

网络棋牌频道直播 北京快3骗局全过程揭秘 宁夏11选5下载 黑龙江p62几号开奖结果查询 麻将技巧 长沙麻将怎么打的 股票下跌图片 刘伯温精选一肖一码 青海快三走势图手机买 内蒙古11选5平台 德国pk10计划6码软件 包钢股票行情分析 腾讯分分彩刷量技巧 陕西星悦麻将 JJ斗地主推倒胡麻将得分规则 快乐飞艇有国家官网吗 今天黑龙江福彩22选5