信息安全服務(wù)資質(zhì)證書使用說明

發(fā)布日期：2011年1月
信息安全服務(wù)資質(zhì)證書使用說明

中國信息安全測評(píng)中心（以下簡稱CNITSEC）頒發(fā)的信息安全服務(wù)資質(zhì)證書，是證明證書持有單位符合信息安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則的文件。證書持有單位在使用CNITSEC頒發(fā)的證書時(shí)，應(yīng)遵守以下規(guī)定：
1. 證書使用要求
1.1 證書持有單位可在有效期內(nèi)從事有關(guān)的信息安全服務(wù)工作，并接受CNITSEC的監(jiān)督。
1.2 可將證書復(fù)印件用于資格的證明和宣傳材料上。
1.3 證書持有單位不得發(fā)生以下誤用：
? 將證書轉(zhuǎn)交其它單位使用；
? 使用失效證書。
2. 證書的監(jiān)督確認(rèn)
2.1 在證書有效期內(nèi)接受CNITSEC對證書有效性的確認(rèn)。
3. 證書的維持換證
3.1 在證書有效期屆滿前90天內(nèi)，證書持有單位須向CNITSEC遞交維持換證申請及其證實(shí)材料。
3.2 有申請升級(jí)條件的可遞交更高一級(jí)的資質(zhì)申請。
4. 處置
4.1 獲得CNITSEC信息安全服務(wù)資質(zhì)的單位被暫停、取消或注銷資格時(shí)，應(yīng)立即停止使用CNITSEC證書，必須銷毀標(biāo)有CNITSEC認(rèn)可決定的宣傳材料等文件。對取消或注銷CNITSEC資質(zhì)的信息安全服務(wù)資質(zhì)單位，CNITSEC將收回其資質(zhì)證書。
4.2 對于信息安全服務(wù)資質(zhì)單位資格的暫停、降級(jí)或取消：
屬于暫停資格的單位，應(yīng)立即停止使用資質(zhì)證書；
屬于取消資格的單位，應(yīng)立即停止使用資質(zhì)證書，并銷毀有關(guān)有資格信息的宣傳材料和證實(shí)材料，CNITSEC將收回其資質(zhì)證書。
4.3 CNITSEC所做的處置決定以書面形式通知對方單位，并在相關(guān)媒體上進(jìn)行公告。
5. 解釋權(quán)
CNITSEC負(fù)責(zé)信息安全服務(wù)資質(zhì)證書的管理，并保留解釋權(quán)。

The post 信息安全服務(wù)資質(zhì)證書使用說明 first appeared on 深圳市安信達(dá)咨詢有限公司.

H3 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求
組織申報(bào)一級(jí)資質(zhì)，除滿足二級(jí)能力要求外，還應(yīng)滿足以下要求：
申請一級(jí)資質(zhì)認(rèn)證的單位，至少完成10個(gè)與申請工業(yè)控制領(lǐng)域一致的完整的安全集成和安全運(yùn)
維服務(wù)項(xiàng)目；在技術(shù)和管理方面具備安全服務(wù)的過程管理、風(fēng)險(xiǎn)管理能力；具備針對工業(yè)控制系統(tǒng)
開展風(fēng)險(xiǎn)評(píng)估服務(wù)、應(yīng)急處理服務(wù)的能力；具備安全問題解決的驗(yàn)證和證據(jù)分析、安全服務(wù)不斷提
升改進(jìn)的能力。
H3.1 服務(wù)規(guī)劃階段
H3.1.1 調(diào)研客戶需求
a) 調(diào)研客戶企業(yè)愿景，對工業(yè)控制系統(tǒng)安全業(yè)務(wù)的發(fā)展規(guī)劃和未來幾年業(yè)務(wù)發(fā)展目標(biāo)。
H3.1.2 分析服務(wù)業(yè)務(wù)
a) 對客戶的安全生產(chǎn)和網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行評(píng)估，調(diào)研行業(yè)安全防護(hù)的水平，明確薄弱環(huán)節(jié)。
H3.1.3 編制服務(wù)方案
a) 確定實(shí)施過程的備份機(jī)制和應(yīng)急處理方案，并與客戶充分溝通，預(yù)測應(yīng)急處理方案可能造
成的影響。
H3.1.4 組建服務(wù)團(tuán)隊(duì)
a) 團(tuán)隊(duì)成員必須配備能夠?qū)I(yè)控制系統(tǒng)進(jìn)行應(yīng)急處理的服務(wù)人員。
H3.1.5 實(shí)施準(zhǔn)備
a) 具有根據(jù)工業(yè)控制系統(tǒng)特點(diǎn)，自主開發(fā)專業(yè)檢測工具的能力。
b) 配備有處理網(wǎng)絡(luò)或信息安全事件的工具包，包括常用的系統(tǒng)命令、工具軟件等。
c) 應(yīng)根據(jù)服務(wù)的需求配備必要的服務(wù)質(zhì)量監(jiān)測手段，具備對服務(wù)行為進(jìn)行審計(jì)的能力。
H3.2 服務(wù)實(shí)施階段
H3.2.1 項(xiàng)目實(shí)施
a) 有能力利用客戶的備用設(shè)備或仿真環(huán)境搭建控制系統(tǒng)的模擬環(huán)境，模擬真實(shí)系統(tǒng)的結(jié)果、
配置、數(shù)據(jù)、業(yè)務(wù)流程，在仿真系統(tǒng)中驗(yàn)證服務(wù)內(nèi)容和測試，以保障在運(yùn)系統(tǒng)的安全、穩(wěn)
定運(yùn)行。
b) 建立服務(wù)過程質(zhì)量監(jiān)控機(jī)制，定期開展服務(wù)質(zhì)量評(píng)價(jià)工作，能夠?qū)Χ鄠€(gè)團(tuán)隊(duì)的服務(wù)質(zhì)量的
一致性進(jìn)行把控。
H3.2.2 風(fēng)險(xiǎn)評(píng)估及應(yīng)急處置
a) 能夠?qū)I(yè)控制系統(tǒng)發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行原因分析，采取措施抑制或根除潛在的安全
風(fēng)險(xiǎn)，提交應(yīng)急處置方案。
b) 網(wǎng)絡(luò)與信息安全事件處理記錄應(yīng)具備可追溯性。
H3.2.3 系統(tǒng)運(yùn)行測試
a) 制定系統(tǒng)安全性測試方案，模擬攻擊場景，在模擬環(huán)境中進(jìn)行安全性測試，形成測試報(bào)告。
b) 綜合分析控制系統(tǒng)運(yùn)行狀況，制定安全運(yùn)維、應(yīng)急響應(yīng)方案。
H3.3 服務(wù)總結(jié)階段
H3.3.1 服務(wù)驗(yàn)收
無
H3.3.2 服務(wù)交接
a) 建立應(yīng)急保障團(tuán)隊(duì)，及時(shí)響應(yīng)客戶需求。
H3.3.3 服務(wù)總結(jié)
a) 建立服務(wù)項(xiàng)目知識(shí)庫，積累和匯總不同行業(yè)的業(yè)務(wù)知識(shí)和系統(tǒng)特點(diǎn)。
b) 提供詳實(shí)的網(wǎng)絡(luò)與信息安全事件處理報(bào)告，完整展現(xiàn)應(yīng)急處理服務(wù)的整個(gè)過程

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級(jí)申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.

H2 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求
組織申報(bào)二級(jí)資質(zhì)，除滿足三級(jí)能力要求外，還應(yīng)滿足以下要求：
申請二級(jí)資質(zhì)認(rèn)證的單位，至少完成6個(gè)與申請工業(yè)控制領(lǐng)域一致的完整的安全集成和安全運(yùn)維
服務(wù)項(xiàng)目；在技術(shù)和管理方面具備安全服務(wù)的過程管理、風(fēng)險(xiǎn)管理能力；具備針對工業(yè)控制系統(tǒng)開
展風(fēng)險(xiǎn)評(píng)估服務(wù)的能力；具備安全問題解決的驗(yàn)證和證據(jù)分析、安全服務(wù)不斷提升改進(jìn)的能力。
H2.1 服務(wù)規(guī)劃階段
H2.1.1 調(diào)研客戶需求
a) 調(diào)研客戶工業(yè)控制系統(tǒng)的業(yè)務(wù)邏輯、工作流程，工業(yè)控制系統(tǒng)的設(shè)備組成、網(wǎng)絡(luò)架構(gòu)等。
b) 編制完整的客戶調(diào)研報(bào)告，調(diào)研的內(nèi)容包括組織架構(gòu)、制度列表、業(yè)務(wù)流程、工業(yè)控制系
統(tǒng)資產(chǎn)信息、工業(yè)控制系統(tǒng)相關(guān)的管理人員信息等。
H2.1.2 分析服務(wù)業(yè)務(wù)
a) 了解所屬行業(yè)主管部門對工業(yè)控制系統(tǒng)安全要求。
H2.1.3 編制服務(wù)方案
a) 制定針對人員、設(shè)備、文檔、系統(tǒng)的風(fēng)險(xiǎn)監(jiān)控措施，有效保障工業(yè)控制系統(tǒng)的安全、穩(wěn)定。
b) 對于在運(yùn)工業(yè)控制系統(tǒng)，應(yīng)搭建控制系統(tǒng)的模擬環(huán)境，模擬真實(shí)系統(tǒng)的運(yùn)行情況、配置、
數(shù)據(jù)、業(yè)務(wù)流程，驗(yàn)證方案的有效性。
c) 安全服務(wù)技術(shù)方案和實(shí)施方案應(yīng)經(jīng)過評(píng)審，并與客戶達(dá)成一致。
H2.1.4 組建服務(wù)團(tuán)隊(duì)
a) 團(tuán)隊(duì)成員必須包括所服務(wù)業(yè)務(wù)領(lǐng)域的工業(yè)控制系統(tǒng)專業(yè)人員，熟悉工業(yè)控制系統(tǒng)工作原理、
業(yè)務(wù)流程和操作規(guī)程。
H2.1.5 實(shí)施準(zhǔn)備
a) 應(yīng)根據(jù)服務(wù)的需求準(zhǔn)備必要的工具，具有工具定制研發(fā)的能力。
b) 結(jié)合項(xiàng)目需要，編制安全服務(wù)項(xiàng)目施工手冊和作業(yè)指導(dǎo)書。
c) 對團(tuán)隊(duì)成員進(jìn)行安全服務(wù)技能培訓(xùn)和工業(yè)控制系統(tǒng)原理、組成和操作的培訓(xùn)。
H2.2 服務(wù)實(shí)施階段
H2.2.1 項(xiàng)目實(shí)施
a) 建立服務(wù)過程質(zhì)量監(jiān)控機(jī)制, 監(jiān)督工業(yè)控制系統(tǒng)安全服務(wù)實(shí)施的過程，定期開展工業(yè)控制
系統(tǒng)安全服務(wù)質(zhì)量檢查。
b) 針對工業(yè)控制系統(tǒng)業(yè)務(wù)特點(diǎn)和系統(tǒng)組成，分析系統(tǒng)脆弱性形成原因，識(shí)別跟蹤和驗(yàn)證工業(yè)
控制系統(tǒng)的漏洞，在服務(wù)過程中采取有效措施避免安全風(fēng)險(xiǎn)。
c) 如有遠(yuǎn)程服務(wù)的需求，應(yīng)建立遠(yuǎn)程訪問審批流程，經(jīng)批準(zhǔn)后方能實(shí)施，實(shí)施過程應(yīng)采取必
要的訪問控制策略并對操作過程進(jìn)行安全審計(jì)。
d) 應(yīng)編制服務(wù)過程中發(fā)現(xiàn)的工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)的風(fēng)險(xiǎn)列表。
H2.2.2 風(fēng)險(xiǎn)評(píng)估
a) 識(shí)別工業(yè)控制系統(tǒng)的重要資產(chǎn)、安全威脅、脆弱性，驗(yàn)證已有的安全措施，構(gòu)建風(fēng)險(xiǎn)分析
模型進(jìn)行風(fēng)險(xiǎn)計(jì)算和評(píng)價(jià)，給出風(fēng)險(xiǎn)評(píng)估報(bào)告；
b) 協(xié)助用戶確定風(fēng)險(xiǎn)處置原則，對組織不可接受的風(fēng)險(xiǎn)提出風(fēng)險(xiǎn)處置措施。
c) 對客戶提出完整的風(fēng)險(xiǎn)處置方案，協(xié)助客戶進(jìn)行風(fēng)險(xiǎn)處置，必要時(shí)，對殘余風(fēng)險(xiǎn)進(jìn)行再評(píng)
估。
H2.2.3 系統(tǒng)運(yùn)行測試
a) 制定系統(tǒng)安全性測試方案，在運(yùn)行系統(tǒng)中或模擬環(huán)境中進(jìn)行測試，完整記錄測試過程相關(guān)
信息，形成系統(tǒng)測試報(bào)告。
H2.3 服務(wù)總結(jié)階段
H2.3.1 服務(wù)驗(yàn)收
a) 應(yīng)建立程序，對服務(wù)驗(yàn)收中可能存在的重要分歧或者遺漏及時(shí)更正，并將更正后的驗(yàn)收報(bào)
告提交給用戶方。
H2.3.2 服務(wù)交接
a) 建立客戶滿意度調(diào)查機(jī)制。
H2.3.3 服務(wù)總結(jié)
a) 驗(yàn)證在服務(wù)過程中發(fā)現(xiàn)的工業(yè)控制系統(tǒng)的漏洞，建立管理機(jī)制跟蹤漏洞的消缺情況。

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、信息安全災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)一級(jí)申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)三級(jí)申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.

G3 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求
組織申報(bào)一級(jí)資質(zhì)，除滿足二級(jí)能力要求外，還應(yīng)滿足以下要求：
申請一級(jí)資質(zhì)認(rèn)證的單位，至少完成10個(gè)以上不同行業(yè)（如金融、電信、能源、醫(yī)療、公共部
門等）完整的網(wǎng)絡(luò)安全審計(jì)項(xiàng)目，項(xiàng)目審計(jì)目標(biāo)應(yīng)覆蓋至少合規(guī)、安全、績效等；具備確定審計(jì)目
標(biāo)和范圍、確定審計(jì)依據(jù)的能力；具備實(shí)施現(xiàn)場審計(jì)、報(bào)告審計(jì)發(fā)現(xiàn)和形成審計(jì)結(jié)論的能力；具備
提出審計(jì)建議的能力。
G3.1 審計(jì)對象識(shí)別
G3.1.1 了解被審計(jì)方業(yè)務(wù)和IT情況
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和管理審計(jì)對象庫。
b) 具備為被審計(jì)方提供審計(jì)對象管理工具的能力。
G3.1.2 了解被審計(jì)方組織管理和IT管理情況
應(yīng)建立審計(jì)調(diào)研報(bào)告分級(jí)復(fù)核制度，明確規(guī)定各級(jí)復(fù)核人員的要求和責(zé)任。
G3.2 編制審計(jì)實(shí)施方案
G3.2.1 確定網(wǎng)絡(luò)安全審計(jì)目標(biāo)
無
G3.2.2 確定網(wǎng)絡(luò)安全審計(jì)依據(jù)
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和維護(hù)常用審計(jì)依據(jù)庫，并確保審計(jì)依據(jù)是當(dāng)前適用版本。
b) 具備為被審計(jì)方提供審計(jì)依據(jù)管理工具的能力。
G3.2.3 確定網(wǎng)絡(luò)安全審計(jì)范圍和審計(jì)內(nèi)容
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和維護(hù)審計(jì)范圍、審計(jì)對象、審計(jì)依據(jù)要求項(xiàng)、審計(jì)程序（方
法）、所需資源的對應(yīng)關(guān)系。
b) 具備為被審計(jì)方提供審計(jì)范圍、審計(jì)對象、審計(jì)依據(jù)要求項(xiàng)、審計(jì)程序（方法）、所需資
源等對應(yīng)關(guān)系管理工具的能力。
G3.2.4 組建審計(jì)組
對于特定行業(yè)領(lǐng)域的網(wǎng)絡(luò)安全審計(jì)，應(yīng)具備聘請外部行業(yè)技術(shù)專家作為審計(jì)組成員。
G3.3 審計(jì)取證與評(píng)價(jià)
G3.3.1 審計(jì)取證
a) 應(yīng)至少具備和使用數(shù)據(jù)分析類、漏洞和缺陷掃描類、系統(tǒng)配置和運(yùn)行日志檢查類等類型的
審計(jì)工具取證的能力。
b) 利用審計(jì)工具取證時(shí)，應(yīng)采取措施確保對審計(jì)對象的風(fēng)險(xiǎn)最小化。
G3.3.2 編制審計(jì)工作底稿
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來歸檔和保管審計(jì)工作底稿。
b) 具備為被審計(jì)方提供審計(jì)工作底稿管理工具的能力。
G3.3.3 審計(jì)評(píng)價(jià)
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來管理審計(jì)發(fā)現(xiàn)列表。
b) 具備為被審計(jì)方提供審計(jì)發(fā)現(xiàn)列表管理工具的能力。
G3.4 審計(jì)報(bào)告
G3.4.1 一般原則
應(yīng)利用應(yīng)用系統(tǒng)工具來管理審計(jì)報(bào)告。
G3.4.2 審計(jì)報(bào)告的內(nèi)容
在審計(jì)的任何階段，如果遇到或發(fā)現(xiàn)與審計(jì)目標(biāo)和內(nèi)容有關(guān)的重大問題，如違法違規(guī)問題、重
大安全風(fēng)險(xiǎn)等，應(yīng)出具審計(jì)專報(bào)。
G3.4.3 交付審計(jì)報(bào)告
具備為被審計(jì)方提供審計(jì)報(bào)告管理工具的能力。
G3.5 跟蹤審計(jì)
G3.5.1 一般原則
無
G3.5.2 跟蹤審計(jì)報(bào)告
跟蹤審計(jì)報(bào)告的管理參照G3.4審計(jì)報(bào)告。
G3.6 審計(jì)質(zhì)量控制
G3.6.1 審計(jì)質(zhì)量控制制度
a) 應(yīng)監(jiān)督網(wǎng)絡(luò)安全審計(jì)實(shí)施的過程。
b) 應(yīng)定期開展網(wǎng)絡(luò)安全審計(jì)質(zhì)量檢查。

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)一級(jí)申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.

G2 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求
組織申報(bào)二級(jí)資質(zhì)，除滿足三級(jí)能力要求外，還應(yīng)滿足以下要求：
申請二級(jí)資質(zhì)認(rèn)證的單位，至少完成6個(gè)完整的網(wǎng)絡(luò)安全審計(jì)項(xiàng)目；具備確定審計(jì)目標(biāo)和范圍、
確定審計(jì)依據(jù)的能力；具備實(shí)施現(xiàn)場審計(jì)、報(bào)告審計(jì)發(fā)現(xiàn)和形成審計(jì)結(jié)論的能力；具備提出審計(jì)建
議的能力。
G2.1 審計(jì)對象識(shí)別
G2.1.1 了解被審計(jì)方業(yè)務(wù)和IT情況
a) 編制審計(jì)對象列表，包括審計(jì)對象的數(shù)量、容量、功用、版本等屬性。
b) 梳理被審計(jì)方業(yè)務(wù)邏輯、應(yīng)用系統(tǒng)處理邏輯和IT基礎(chǔ)設(shè)施架構(gòu)。
G2.1.2 了解被審計(jì)方組織管理和IT管理情況
a) 梳理被審計(jì)方規(guī)章制度文件，形成審計(jì)項(xiàng)并編制對應(yīng)檢查表。
b) 編制完整審計(jì)調(diào)研報(bào)告，并說明重點(diǎn)審計(jì)項(xiàng)。
c) 制定審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則，評(píng)價(jià)審計(jì)風(fēng)險(xiǎn)，為確定重點(diǎn)審計(jì)項(xiàng)和明確審計(jì)內(nèi)容提供依據(jù)。
G2.2 編制審計(jì)實(shí)施方案
G2.2.1 確定網(wǎng)絡(luò)安全審計(jì)目標(biāo)
網(wǎng)絡(luò)安全審計(jì)目標(biāo)應(yīng)經(jīng)過評(píng)審，并與被審計(jì)方達(dá)成一致。
G2.2.2 確定網(wǎng)絡(luò)安全審計(jì)依據(jù)
應(yīng)建立并維護(hù)常用審計(jì)依據(jù)庫，并確保審計(jì)依據(jù)是當(dāng)前適用版本。
G2.2.3 確定網(wǎng)絡(luò)安全審計(jì)范圍和審計(jì)內(nèi)容
應(yīng)建立審計(jì)范圍、審計(jì)對象、審計(jì)依據(jù)要求項(xiàng)、審計(jì)程序（方法）、所需資源的對應(yīng)關(guān)系。
G2.2.4 組建審計(jì)組
應(yīng)指定審計(jì)組長、主審和審計(jì)組成員，并明確分配審計(jì)任務(wù)。
G2.3 審計(jì)取證與評(píng)價(jià)
G2.3.1 審計(jì)取證
a) 應(yīng)具備至少利用一種網(wǎng)絡(luò)安全審計(jì)工具執(zhí)行審計(jì)取證的能力。
b) 對電子形式存在的審計(jì)證據(jù)，應(yīng)做好取證記錄，并經(jīng)被審計(jì)方相關(guān)人員確認(rèn)。
c) 應(yīng)采取必要的措施，保護(hù)取證過程中所采集的電子數(shù)據(jù)的安全。
G2.3.2 編制審計(jì)工作底稿
a) 應(yīng)建立審計(jì)工作底稿的分級(jí)復(fù)核制度，明確規(guī)定各級(jí)復(fù)核人員的要求和責(zé)任。
b) 審計(jì)工作底稿的內(nèi)容應(yīng)包括但不限于被審計(jì)部門的名稱，審計(jì)事項(xiàng)及其期間或者截止日期，
審計(jì)程序的執(zhí)行過程及結(jié)果記錄，審計(jì)結(jié)論、意見及建議，審計(jì)人員姓名和審計(jì)日期，復(fù)
核人員姓名、復(fù)核日期和復(fù)核意見，編號(hào)及頁次，被審計(jì)方意見、附件等。
G2.3.3 審計(jì)評(píng)價(jià)
應(yīng)編制審計(jì)發(fā)現(xiàn)列表。
G2.4 審計(jì)報(bào)告
G2.4.1 一般原則
應(yīng)建立審計(jì)報(bào)告分級(jí)復(fù)核制度，明確規(guī)定各級(jí)復(fù)核人員的要求和責(zé)任。
G2.4.2 審計(jì)報(bào)告的內(nèi)容
a) 審計(jì)報(bào)告中應(yīng)提出審計(jì)發(fā)現(xiàn)問題改進(jìn)建議。
b) 應(yīng)建立程序，對已經(jīng)出具的審計(jì)報(bào)告可能存在的重要錯(cuò)誤或者遺漏及時(shí)更正，并將更正后
的審計(jì)報(bào)告提交給原審計(jì)報(bào)告接收者。
G2.4.3 交付審計(jì)報(bào)告
c) 應(yīng)建立審計(jì)報(bào)告歸檔和保管制度。任何組織或者個(gè)人查閱和使用歸檔后的審計(jì)報(bào)告，必須
經(jīng)審計(jì)機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn)，但國家有關(guān)部門依法進(jìn)行查閱的除外。
d) 審計(jì)報(bào)告歸被審計(jì)方所有，被審計(jì)方對審計(jì)報(bào)告的使用、保管等有明確要求的，應(yīng)遵守其
要求。
G2.5 跟蹤審計(jì)
G2.5.1 一般原則
應(yīng)編制跟蹤審計(jì)方案，對后續(xù)審計(jì)做出安排。
G2.5.2 跟蹤審計(jì)報(bào)告
跟蹤審計(jì)報(bào)告的管理參照G2.4審計(jì)報(bào)告。
G2.6 審計(jì)質(zhì)量控制
G2.6.1 審計(jì)質(zhì)量控制制度
a) 應(yīng)建立網(wǎng)絡(luò)安全審計(jì)工作手冊，規(guī)范網(wǎng)絡(luò)安全審計(jì)全生命周期內(nèi)的所有活動(dòng)。
b) 確保審計(jì)質(zhì)量控制制度與網(wǎng)絡(luò)安全審計(jì)工作手冊相適應(yīng)。

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)二級(jí)申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)三級(jí)申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.

F3 信息安全運(yùn)維服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求
組織申報(bào)一級(jí)資質(zhì)，除滿足二級(jí)能力要求外，還應(yīng)滿足以下要求：
F3.1 準(zhǔn)備階段
F3.1.1 需求調(diào)研與分析
a) 內(nèi)部團(tuán)隊(duì)之間的安全運(yùn)營級(jí)別協(xié)議應(yīng)和與安全運(yùn)維第三方之間的服務(wù)級(jí)別設(shè)計(jì)保持一致。
b) 安全組織中要設(shè)定安全領(lǐng)導(dǎo)小組。
F3.2 方案設(shè)計(jì)階段
a) 建立信息系統(tǒng)應(yīng)急事件響應(yīng)機(jī)制和恢復(fù)保障。
b) 編制安全運(yùn)維項(xiàng)目作業(yè)指導(dǎo)書。
c) 建立應(yīng)急響應(yīng)和災(zāi)難恢復(fù)機(jī)制，形成業(yè)務(wù)連續(xù)性計(jì)劃。
d) 基于漏洞發(fā)現(xiàn)與分析進(jìn)行信息系統(tǒng)漏洞的管理工作。
F3.3 服務(wù)實(shí)施階段
a) 實(shí)施安全培訓(xùn)服務(wù)：完成安全意識(shí)、基本安全技術(shù)的培訓(xùn)服務(wù)。
b) 實(shí)施安全通告及漏洞分析服務(wù)：完成業(yè)界動(dòng)態(tài)的通告、收集國家安全政策及法律法規(guī)、漏
洞通告、病毒通告、廠商安全通告及其他安全通告。
c) 實(shí)施應(yīng)急響應(yīng)服務(wù)：完成應(yīng)急響應(yīng)預(yù)案制定，對應(yīng)急事件及時(shí)響應(yīng)，并對應(yīng)急預(yù)案進(jìn)行演
練，形成相關(guān)記錄。
d) 依據(jù)運(yùn)維變更管理程序，對運(yùn)維實(shí)施過程中方案、資源變更進(jìn)行有效控制，完整記錄變更
過程。
e) 制定運(yùn)維應(yīng)急處置方案和恢復(fù)策略，對運(yùn)維過程中的應(yīng)急事件及時(shí)進(jìn)行響應(yīng)。
f) 依據(jù)風(fēng)險(xiǎn)評(píng)估方案與計(jì)劃實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估；依據(jù)滲透測試方案與計(jì)劃實(shí)施信息系統(tǒng)
滲透測試。
g) 依據(jù)漏洞管理方案實(shí)施信息系統(tǒng)漏洞管理工作。
F3.4 運(yùn)維服務(wù)報(bào)告階段
a) 對客戶滿意度進(jìn)行趨勢分析。
b) 對客戶系統(tǒng)的安全態(tài)勢做出分析，并給出安全建議。

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、信息安全運(yùn)維服務(wù)資質(zhì)一級(jí)申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 信息安全運(yùn)維服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.

F2 信息安全運(yùn)維服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求
組織申報(bào)二級(jí)資質(zhì)，除滿足三級(jí)能力要求外，還應(yīng)滿足以下要求：
F2.1 準(zhǔn)備階段
F2.1.1 需求調(diào)研與分析
a) 分析客戶對信息系統(tǒng)安全服務(wù)的需求和類型。
b) 收集與分析信息系統(tǒng)的可用性指標(biāo)。
c) 分析以往服務(wù)的數(shù)據(jù)，提取出來未來可自動(dòng)化的服務(wù)(監(jiān)審時(shí)適用)。
F2.1.2 簽訂服務(wù)協(xié)議
簽訂服務(wù)級(jí)別協(xié)議。
F2.2 方案設(shè)計(jì)階段
a) 編制信息系統(tǒng)的可用性計(jì)劃，監(jiān)控可用性事件，報(bào)告可用性執(zhí)行，指導(dǎo)可用性的改進(jìn)。
b) 識(shí)別與分析信息系統(tǒng)運(yùn)維過程中的歷史數(shù)據(jù)，提出系統(tǒng)運(yùn)維的保障策略和解決方案（監(jiān)審
時(shí)適用）。
c) 編制信息系統(tǒng)的安全基線。
d) 建立信息系統(tǒng)安全的配置庫。
F2.3 服務(wù)實(shí)施階段
a) 收集與建立配置管理數(shù)據(jù)庫，確保配置項(xiàng)目的機(jī)密性、完整性、可用性（專職管理）。
b) 實(shí)施安全設(shè)備、網(wǎng)絡(luò)設(shè)備、中間件、數(shù)據(jù)庫、服務(wù)器等資產(chǎn)的安全配置管理，定期對配置
項(xiàng)進(jìn)行更新和維護(hù)。
c) 根據(jù)制定的安全配置基線，定期進(jìn)行安全配置核查工作。
d) 實(shí)施運(yùn)維監(jiān)控與分析并形成記錄。
F2.4 運(yùn)維服務(wù)報(bào)告階段
a) 應(yīng)定期收集與分析安全運(yùn)維的關(guān)鍵指標(biāo)數(shù)據(jù)，數(shù)據(jù)包括但不限于：異常報(bào)告及時(shí)率、異常
漏報(bào)率、故障隱患發(fā)現(xiàn)率、異常主動(dòng)發(fā)現(xiàn)率、問題解決率、漏洞掃描覆蓋率、加固設(shè)備覆
蓋率、安全補(bǔ)丁安裝及時(shí)率、安全事件次數(shù)。（參照服務(wù)合同）
b) 建立客戶滿意度調(diào)查機(jī)制。

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、信息安全運(yùn)維服務(wù)資質(zhì)二級(jí)申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 信息安全運(yùn)維服務(wù)資質(zhì)二級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、信息安全運(yùn)維服務(wù)資質(zhì)三級(jí)申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 信息安全運(yùn)維服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求 first appeared on 深圳市安信達(dá)咨詢有限公司.