信息系统安全运维服务资质认证自评估表.doc

信息系统平安运维效劳资质认证自评估表组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.准备阶段—需求调研与分析采集客户对信息系统运维效劳时间的需求运维前的客户需求调查报告，可结合结合业务部门，公司高层的战略规划，容必须有效劳时间要求2.进展信息系统运维预算，定义运维效劳运维前的信息系统运维预算表,容应包括工作量、人力资源工程经费、工程节点等3.与客户进展沟通，达成共识并形成记录运维前与客户沟通的记录，应有沟通结果双方达成共识的表达4.仅二级要求：识别与分析信息系统运维过程中的历史数据，提出系统运维的保障策略和解决方案信息系统运维过程中的历史数据清单；历史数据清单的分析报告，容包含指标完成情况、违例操作、重大事件、重大〔失败〕变更等根据报告的分析制定的运维策略，及实施方案；仅二级要求：分析客户对信息系统平安效劳的需求和类型客户需求调查报告，包含信息系统平安效劳的需求和类型；5.仅二级要求：收集与分析信息系统的可用性指标，明确可用性指标的类型信息系统的可用性指标清单，如整体指标或单系统指标等；6.仅二级要求：分析以往效劳的数据，提取出来未来可自动化的效劳。

以往提供效劳的解决方案，对生产的影响的分析报告；根据以往平安事件的解决效率进展分析，适宜时提出来未来可自动化的效劳7.仅一级要求：部团队之间的平安运营级别协议应和与平安运维第三方之间的的效劳级别设计保持一致效劳级别设计、平安运营级别协议，两者应保持一致8.仅一级要求：平安组织中要设定平安领导小组；在采用外包模式的情况下，执行组还应包含平安运维效劳供给商参与运维的人员平安组织架构图及相关运维人员清单，其中应有平安领导小组；外包模式的执行组中应有第三方参与运维的人员9.仅一级要求：采用基于PDCA的管理模型，从筹划，实施，监视与评审和持续改良进展体系化的信息系统平安运维效劳信息系统平安运维效劳有筹划，实施，监视与评审和持续改良流程10.仅一级要求：建立平安运维可视化视图基于信息系统平安的生命周期，建立信息系统平安运维的整体策略基于客户、业务的价值表达，形成平安运维的整体视图平安运维工程施工手册和作业指导书；新建系统，建立实施过程应重点关注信息系统的功能、性能和平安性等方面要求，应保存与客户的需求分析记录；系统改造中考虑造前技术测试验证及在实施失败后的回退措施；测试验证中对旧系统的兼容问题，包括网络兼容、系统兼容、应用兼容等，有验证报告。

11.准备阶段—运维效劳设计制定平安运维效劳目录，目录容包括但不限于：初始效劳、平安设备运维、日常巡检效劳、安康检查、平安事件审计平安运维效劳目录，容包含条款要求12.信息系统相关的IT资产进展识别IT资产识别清单，容有IT资产识别的标识、分级、保护和软件配置建立根底资料档案；有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息13.对平安设备进展日常维护及监控，并记录硬件故障平安设备的日常维护，状态检查，定期查杀，故障处理、保养、更新、升级、故障检测及排除，并对平安设备出现的硬件故障进展统计的记录14.提供平安设备、业务系统的安康检查效劳，并约定效劳方式、检查频次和检查容有平安运维效劳使用者约定的效劳方式〔现场检查，远程检查〕、检查频次和检查的文件记录15.采集系统配置、流量信息、系统状态等平安信息平安设备、业务系统的安康检查效劳，应与平安运维效劳使用者约定的效劳方式〔现场检查，远程检查〕、检查频次和检查的文件的记录16.收集与分析网络及平安设备、效劳器、操作系统、网络应用的日志有对网络及平安设备日志，效劳器、操作系统等日志，网络应用日志的记录与分析报告17.仅二级要求：对信息平安事件进展统计与分析。

信息平安事件的统计表，分析报告；信息系统的可用性事件、方案、报告；平安运维角色清单18.仅二级要求：编写平安运维效劳目录，目录容包括但不限于：运维监控与分析、终端平安监控、等级保护合规性运维平安运维效劳目录，容应包含有条款的要求19.仅二级要求：建立信息系统平安运维的问题管理程序信息系统问题管理程序，已审批并发布20.仅二级要求：建立知识管理程序及初步形成知识库知识管理程序，已审批并发布21.仅二级要求：编制信息系统的可用性方案，监控可用性事件，报告可用性执行，指导可用性的改良信息系统的可用性事件、方案、报告22.仅二级要求：形成信息平安管理的组织架构，组织构造的构成要素与平安运维活动角色相对应信息平安管理的组织架构表，平安运维角色清单，应与组织的构成要素对应23.仅一级要求：编制平安运维工程作业指导书平安运维工程中各模块作业指导书24.仅一级要求：建立实施过程中应关注信息系统的功能、性能和平安性方面要求改造过程中应制定测试方案及回退措施有改造过程中的信息系统的测试方案；有信息系统的基线、回退的措施文件25.仅一级要求：编写平安运维效劳目录，目录容包括但不限于：平安通告及漏洞分析、应急响应效劳。

平安运维效劳目录，容有条款要求的效劳26.准备阶段—运维效劳导入收集与建立配置管理数据库，确保配置工程的性、完整性、可用性完整的配置数据库，能初步收集资产与配置项，并确保配置工程的性、完整性、可用性27.专业人员负责平安管理的接口完整的配置数据库，能初步收集资产与配置项，并确保配置工程的性、完整性、可用性28.建立效劳目录平安运维效劳目录29.建立事件响应和解决的机制,有根本的平安运维报告模式平安事件处理与应急响应流程，平安事件处理与上报流程30.仅二级要求：采用流程化管理方法，基于平安事件处理流程、平安培训效劳流程、渗透测试流程进展标准化的信息系统平安运维工作渗透测试的方案和记录；建立平安事件处理流程，平安培训效劳流程，渗透测试的流程31.仅一级要求：基于渗透测试流程管理进展标准化的信息系统平安运维工作运维过程中的渗透测试的方案和记录32.仅一级要求：编制信息平安产品和工具定制开发方案信息平安产品和工具定制开发方案，容可以应客户要求或组织自身的能力33.准备阶段—效劳协议的特殊要求明确平安事件处理与应急响应流程，流程包括但不限于：平安事件的分类、平安事件上报流程、平安事件处理流程、平安事件的事后处理。

建立平安事件处理流程，应急响应流程，容应包括条款要求；34.明确平安运维的方式，方式包括但不限于：驻场值守方式，定期巡检方式，远程值守方式效劳级别协议协议，其中容包括运维的方式35.仅二级要求：签订效劳级别协议,建立信息系统应急事件响应机制和恢复保障效劳级别协议，容包括承诺信息系统核心指标；应急响应方案、系统恢复方案36.仅二级要求：建立问题管理程序信息系统的问题管理程序，已审批并发布37.仅二级要求：建立信息系统平安的配置库及关联关系信息配置库，系统平安配置项之间有关联信息38.仅一级要求：建立信息系统平安运维效劳级别管理程序，签订效劳级别协议有已通过审核并发布的信息系统平安运维效劳级别管理程序；查看客户有效劳级别协议39.仅一级要求：建立信息系统应急事件响应机制和恢复保障应急响应方案、系统恢复方案的演练记录；40.仅一级要求：对客户满意度进展趋势分析客户满意度调查报告与趋势分析报告；41.仅一级要求：建立应急响应和灾难恢复机制，形成业务连续性方案发布且通过审批的业务连续性方案42.效劳实施阶段实施初始效劳：完成资产识别，定期配置项的更新和维护，实施相关运维流程资产识别表，对配置项的更新和维护记录，实施相关运维流程的记录。

43.实施平安设备运维效劳：完成日常维护，状态检查，定期查杀，故障处理、保养、更新、升级、故障检测及排除，并对平安设备出现的硬件故障进展统计记录日常维护，巡检、状态检查，定期查杀，故障处理、保养、更新、升级、故障检测及排除的记录；44.实施日常巡检效劳：完成平安设备监控；病毒监测、查杀及网络防病毒维护，并有相关记录信息平安事件审计报告，如网络及平安设备日志、效劳器、操作系统、网络应用的日志；45.实施安康检查效劳：完成平安设备、业务系统的安康检查效劳平安设备、业务系统的安康检查效劳，主要工作针对于设备的可用性、持续性，并提供相应效劳记录46.实施平安事件审计效劳：完成网络及平安设备日志、效劳器、操作系统、网络应用的日志、并且进展记录实施平安事件审计效劳，容包含条款中的要求47.组建运维效劳台职能，培养效劳台人员的专业能力建立效劳台；提供效劳台人员的培训记录48.建立事件管理程序和信息平安效劳请求管理程序事件管理程序，已审批并发布；效劳请求管理程序，已审批并发布49.仅二级要求：实施运维监控与分析并形成记录运维监控分析报告，容以数据来分析各个指标的趋势50.仅二级要求：进展等级保护合规性运维。

针对信息系统平安建立保护等级；对信息系统分级的标准；51.仅二级要求：实施平安通告及漏洞分析效劳：完成业界动态的通告、收集国家平安政策及法律法规、漏洞通告、病毒通告、厂商平安通告及其他平安通告通告与漏洞分析记录，容为业界动态的通告、收集国家平安政策及法律法规、漏洞通告、病毒通告、厂商平安通告及其他平安通告，并生成分析报告52.仅二级要求：实施应急响应效劳：完成应急响应预案制定，对应急事件及时响应，并对应急进展演练，形成相关记录通告与漏洞分析记录；应急响应服预案，应急演练的记录；变更管理程序，已审批并发布；运维过程中的变更记录单53.仅一级要求：建立运维变更管理程序，对运维实施过程中方案、资源变更进展有效控制，完整记录变更过程针对运维有审批并发布的变更管理程序；运维过程中的变更应有响应的变更记录仅一级要求：制定运维应急处置方案和恢复策略，对运维过程中的应急事件及时进展响应有已审批并发布的应急处置方案和恢复策略；运维过程中的响应时间是否到达方案要求54.监视评审阶段应定期收集与分析平安运维报告的数据，包括但不限于：异常报告及时率、异常漏报率、维护作业方案的及时完成率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆盖率、。