1、信息系統安全運維服務資質認證自評估表組織名稱申報級別評估時間評估部門/人員序 號要點條款需提供證明材料自評估 結論證明材料清單符合不 符 合1.采集客戶對信息系統運維服務時間的需 求。運維前的客戶需求調查報告，可結合結合 業務部門，公司高層的戰略規劃，內容必 須有服務時間要求。2.進行信息系統運維預算，定義運維服務。運維前的信息系統運維預算表，內容應包括工作量、人力資源項目經費、項目節點 等。3.準備階段 需求調研與 分析與客戶進行溝通，達成共識并形成記 錄。運維前與客戶溝通的記錄，應有溝通結果雙方達成共識的體現。4.5.僅二級要求：識別與分析信息系統運維 過程中的歷史數據，提出系統運維的保

2、障策略和解決方案。信息系統運維過程中的歷史數據清單； 歷史數據清單的分析報告，內容包含指標完成情況、違例操作、重大事件、重大（失 敗）變更等。根據報告的分析制定的運維策略，及實施萬案；僅二級要求：分析客戶對信息系統安全 服務的需求和類型。客戶需求調查報告，包含信息系統安全服 務的需求和類型；7.僅二級要求：收集與分析信息系統的可 用性指標，明確可用性指標的類型。信息系統的可用性指標清單，如整體指標 或單系統指標等；8.僅二級要求：分析以往服務的數據，提 取出來未來可自動化的服務。以往提供服務的解決方案，對生產的影響 的分析報告；根據以往安全事件的解決效率進行分析， 適宜時提出來未來可自動化的服

3、務。9.僅一級要求：內部團隊之間的安全運營 級別協議應和與安全運維第一方之間的 的服務級別設計保持一致。服務級別設計、安全運營級別協議，兩者 應保持一致。10.僅一級要求：安全組織中要設定安全領 導小組；在采用外包模式的情況下，執 行組還應包含安全運維服務供應商參與 運維的人員。安全組織架構圖及相關運維人員清單，其中應有安全領導小組；外包模式的執行組中應有第三方參與運維的人員。11.僅一級要求：采用基于PDCA的管理模 型，從策劃，實施，監視與評審和持續 改進進行體系化的信息系統安全運維服 務。信息系統安全運維服務有策劃，實施，監 視與評審和持續改進流程。12.僅一級要求：建立安全運維可視化視

4、 圖。基于信息系統安全的生命周期，建 立信息系統安全運維的整體策略。基于 客戶、業務的價值體現，形成安全運維 的整體視圖。安全運維項目施工手冊和作業指導書； 新建系統，建設實施過程應重點關注信息 系統的功能、性能和安全性等方面要求， 應保留與客戶的需求分析記錄； 系統改造中考慮造前技術測試驗證及在 實施失敗后的回退措施；測試驗證中對舊系統的兼容問題，包括網絡兼容、系統兼容、應用兼容等，有驗證 報告。13.準備階段一 運維服務設 計制定安全運維服務目錄，目錄內容包括 但不限于：初始服務、安全設備運維、 日常巡檢服務、健康檢查、安全事件審 計。安全運維服務目錄，內容包含條款要求。14.信息系統相關

5、的IT資產進行識別。IT資產識別清單，內容有IT資產識別的標識、分級、保護和軟件配置建立基礎資 料檔案；有設備和系統的種類、型號、功能、物理 位置、端口對應情況、部署情況等資產詳 細信息。15.對安全設備進行日常維護及監控，并記 錄硬件故障。安全設備的日常維護，狀態檢查，定期查 殺，故障處理、保養、更新、升級、故障 檢測及排除，并對安全設備出現的硬件故 障進行統計的記錄。16.提供安全設備、業務系統的健康檢查服 務，并約定服務方式、檢查頻次和檢查 內容。有安全運維服務使用者約定的服務方式（現場檢杳，遠程檢杳）、檢杳頻次和檢 查的文件記錄。17.采集系統配置、流量信息、系統狀態等 安全信息。安全

6、設備、業務系統的健康檢查服務，應 與安全運維服務使用者約定的服務方式（現場檢杳，遠程檢杳）、檢杳頻次和檢 查的文件的記錄。18.收集與分析網絡及安全設備、服務器、 操作系統、網絡應用的日志。有對網絡及安全設備日志，服務器、操作 系統等日志，網絡應用日志的記錄與分析 報告。19.僅二級要求：對信息安全事件進行統計 與分析。信息安全事件的統計表，分析報告； 信息系統的可用性事件、計劃、報告； 安全運維角色清單。20.僅二級要求：編寫安全運維服務目錄， 目錄內容包括但不限于：運維監控與分 析、終端安全監控、等級保護合規性運 維。安全運維服務目錄， 內容應包含有條款的 要求。21.僅二級要求：建立信息

7、系統安全運維的 問題管理程序。信息系統問題管理程序，已審批并發布。22.僅二級要求：建立知識管理程序及初步 形成知識庫。知識管理程序，已審批并發布。23.僅二級要求：編制信息系統的可用性計 戈監控可用性事件，報告可用性執行， 指導可用性的改進。信息系統的可用性事件、計劃、報告。24.僅二級要求：形成信息安全管理的組織 架構，組織結構的構成要素與安全運維 活動角色相對應。信息安全管理的組織架構表，安全運維角色清單，應與組織的構成要素對應。25.僅一級要求：編制安全運維項目作業指 導書。安全運維項目中各模塊作業指導書。26.僅一級要求：建設實施過程中應關注信 息系統的功能、性能和安全性方面要求。

8、改造過程中應制定測試計劃及回退措 施。有改造過程中的信息系統的測試計劃； 有信息系統的基線、回退的措施文件。27.僅一級要求：編寫安全運維服務目錄， 目錄內容包括但不限于：安全通告及漏 洞分析、應急響應服務。安全運維服務目錄， 內容有條款要求的服 務。28.準備階段一 運維服務導 入收集與建立配置管理數據庫，確保配置 項目的機密性、完整性、可用性。完整的配置數據庫，能初步收集資產與配 置項，并確保配置項目的機密性、 完整性、 可用性。29.專業人員負責安全管理的接口。完整的配置數據庫，能初步收集資產與配 置項，并確保配置項目的機密性、 完整性、 可用性。30.建立服務目錄。安全運維服務目錄。3

9、1.建立事件響應和解決的機制，有基本的安全運維報告模式。安全事件處理與應急響應流程，安全事件處理與上報流程。32.僅二級要求：采用流程化管理方法，基 于安全事件處理流程、安全培訓服務流 程、滲透測試流程進行標準化的信息系 統安全運維工作。滲透測試的計劃和記錄；建立安全事件處理流程，安全培訓服務流 程，滲透測試的流程。33.僅一級要求：基于滲透測試流程管理進 行標準化的信息系統安全運維工作。運維過程中的滲透測試的計劃和記錄。34.僅一級要求：編制信息安全產品和工具 定制開發計劃。信息安全產品和工具定制開發計劃，內容可以應客戶要求或組織自身的能力。35.明確安全事件處理與應急響應流程，流 程包括但

10、不限于：安全事件的分類、安 全事件上報流程、安全事件處理流程、 安全事件的事后處理。建立安全事件處理流程，應急響應流程， 內容應包括條款要求；36.明確安全運維的方式，方式包括但不限 于：駐場值守方式，定期巡檢方式，遠 程值守方式。服務級別協議協議， 其中內容包括運維的 方式。37.僅二級要求：簽訂服務級別協議，建立 信息系統應急事件響應機制和恢復保 障。服務級別協議，內容包括承諾信息系統核 心指標；應急響應計劃、系統恢復計劃。38.準備階段一僅二級要求：建立問題管理程序。信息系統的問題管理程序，已審批并發 布。39.服務協議的 特殊要求僅二級要求：建立信息系統安全的配置 庫及關聯關系信息。配

11、置庫，系統安全配置項之間有關聯信 息。40.僅一級要求：建立信息系統安全運維服 務級別管理程序，簽訂服務級別協議。有已通過審核并發布的信息系統安全運 維服務級別管理程序；查看客戶有服務級別協議。41.僅一級要求：建立信息系統應急事件響 應機制和恢復保障。應急響應計劃、系統恢復計劃的演練記錄；42.僅一級要求：對客戶滿意度進仃趨勢分 析。客戶滿意度調查報告與趨勢分析報告；43.僅一級要求：建立應急響應和災難恢復 機制，形成業務連續性計劃。發布且通過審批的業務連續性計劃。44.服務實施階 段實施初始服務：完成資產識別，定期配 置項的更新和維護，實施相關運維流程。資產識別表，對配置項的更新和維護記

12、錄，實施相關運維流程的記錄。45.實施安全設備運維服務： 完成日常維護， 狀態檢查，定期查殺，故障處理、保養、 更新、升級、故障檢測及排除，并對安 全設備出現的硬件故障進行統計記錄。日常維護，巡檢、狀態檢查，定期查殺， 故障處理、保養、更新、升級、故障檢測 及排除的記錄；46.實施日常巡檢服務：完成安全設備監控； 病毒監測、查殺及網絡防病毒維護，并 有相關記錄。信息安全事件審計報告， 如網絡及安全設 備日志、服務器、操作系統、網絡應用的 日志；47.實施健康檢查服務：完成安全設備、業 務系統的健康檢查服務。安全設備、業務系統的健康檢查服務，主 要工作針對于設備的可用性、持續性，并 提供相應服務

13、記錄。48.實施安全事件審計服務：完成網絡及安 全設備日志、服務器、操作系統、網絡 應用的日志、并且進行記錄。實施安全事件審計服務，內容包含條款中 的要求。49.組建運維服務臺職能，培養服務臺人員 的專業能力。建立服務臺；提供服務臺人員的培訓記錄。50.建立事件管理程序和信息安全服務請求 管理程序。事件管理程序，已審批并發布； 服務請求管理程序，已審批并發布。51.僅二級要求：實施運維監控與分析并形 成記錄。運維監控分析報告，內容以數據來分析各 個指標的趨勢。52.僅二級要求：進行等級保護合規性運 維。針對信息系統安全建立保護等級； 對信息系統分級的標準；53.僅二級要求：實施安全通告及漏洞分

14、析 服務：完成業界動態的通告、收集國家 安全政策及法律法規、漏洞通告、病毒 通告、廠商安全通告及其他安全通告。通告與漏洞分析記錄，內容為業界動態的 通告、收集國家安全政策及法律法規、漏 洞通告、病毒通告、廠商安全通告及其他 安全通告，并生成分析報告。54.僅二級要求：實施應急響應服務：完成 應急響應預案制定，對應急事件及時響 應，并對應急進行演練，形成相關記錄通告與漏洞分析記錄；應急響應服預案，應急演練的記錄； 變更管理程序，已審批并發布； 運維過程中的變更記錄單。55.僅一級要求：建立運維變更管理程序， 對運維頭施過程中方案、資源變更進仃 有效控制，完整記錄變更過程。針對運維有審批并發布的變

15、更管理程序； 運維過程中的變更應有響應的變更記錄。僅一級要求：制定運維應急處置方案和 恢復策略，對運維過程中的應急事件及 時進行響應。有已審批并發布的應急處置方案和恢復 策略；運維過程中的響應時間是否達到方案要 求。56.監視評審階 段應定期收集與分析安全運維報告的數 據，包括但不限于：異常報告及時率、 異常漏報率、維護作業計劃的及時完成 率、故障隱患發現率、異常主動發現率、 問題解決率、漏洞掃描覆蓋率、加固設 備覆蓋率、安全補丁安裝及時率、安全 事件次數。運維數據收集記錄， 內容應包含條款中的 要求。57.對運維實現情況進行監視測量，未能實 現的目標應米取糾正預防措施。安全運維實現情況監視測

16、量清單，如客戶滿意度、投訴建議、 KPI等； 糾正預防措施記錄單。58.建立與分析客戶滿意度調查。客戶滿意度調查報告，內容應包括對滿意度分析。59.僅二級要求：按照計劃的時間間隔執行 內部審核，應至少滿足： 既定標準的要 求、滿足安全運維服務需求和客戶所提 出的SM要求、有效被實施和維護。內部審核的響應文件與記錄；管理評審的響應文件與記錄，內容應包含服務和流程的執行情況和符合性；60.僅二級要求：定期回顧安全運維服務， 確保其持續適用和有效。管理評審的輸 入至少包括：客戶反饋、服務和流程的 執行情況和符合性、當前和預測資源水 平、糾正措施的進展情況、可能影響安 全運維服務的變更、改進的機會。當

17、前和預測資源水平； 糾正措施的進展情況； 可能影響安全運維服務的變更； 改進的機會，如指標為滿足、運維中存在 的問題、服務提升點等。61.僅一級要求：形成體系化的審核機制及 企業文化。內部審核機制形成體系，表現形式如：體 系文件、PDC毓程、第三方認證等； 建立服務監視管理流程62.僅一級要求：體系化的服務監視管理， 形成審核機制。63.僅一級要求：定期評審客戶對安全運維 服務的滿意度。客戶滿意度調查表，包括：定期評審、主 動回訪等。64.安全運維運 維持續改 進應在運維過程和監視過程中識別改進項 目，制定持續改進計劃，計劃應包括對 改進機會的評估標準。安全運維持續改進計劃； 查看改進計劃的評

18、估標準。包括：識別過程、記錄過程、是否有批準 過程、評估、測量和適合的報告機制。65.應有文件化的程序用以識別、記錄、批 準、評估、測量和報告改進措施。66.應采取預防措施，以消除潛在的不符合 項的原因，以防止其發生。安全運維預防措施文件，及其有效性驗證 的記錄。67.僅二級要求：改進機會應劃分優先級， 策劃被批準的改進機會。改進機會分析報告，及其批準證據； 優先級排序的方式不限，但應有合理性。68.僅二級要求：改進活動應進行管理，至 少包括： 設定改進目標、確保批準的改 進活動被實施、報告被實施的改進計劃。改進活動的計劃、實施、有效性測量記錄； 內容包括設定改進目標、 確保批準的改進 活動被實施、報告被實施的改進計劃。69.僅一級要求：持續服務改進，形成持續 服務改進文化和意識。有服務改進的意識以培訓，宣貫的方式傳 達到員工，有相應的記錄。70.僅一級要求：基于運維服務的缺陷，提 出改進策略和方案。對運維的重大