信息安全服务资质认证自评估表-公共管理.doc

信息安全服务资质认证自评估表-公共管理 填表说明：该自评估表与申报具体的服务类别自评估一并使用，单个文档不作为自评估支撑材料。申报多个服务类别且级别不同时，按照申请的最高级别服务资质认证的管理要求填写。 组织名称 服务类别/级别 评估时间 评估部门/人员 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 财务资信要求 仅适用于初次认证 近3年经状况良好，财务数据真实可信近年 监督审核： 近1年 办公场所要求 拥有长期固定办公场所和相适应的办公条件，能满足机构设置及其业务需要。 审核： 变化则提供，则不提供。 人员素质与资质要求 三级/二级/一级分别要求：组织负责人拥有2/3/4年以上信息技术领域管理经历。 组织负责人简历及资质证书，包括姓名、年龄、职务、职称、学历、工作经历、资质证书。 三级/二级/一级分别要求：技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称，且从事信息安全技术工作2/5/8年以上。 技术负责人简历及资质证书，包括姓名、年龄、职务、职称、学历、工作经历、资质证书。 三级/二级/一级分别要求：财务负责人具有财务系列初级/中级/高级或取得中级8年以上职称。 财务负责人简历及资质证书，包括姓名、年龄、职务、职称、学历、工作经历、资质证书。 三级/二级/一级分别要求：从事信息安全服务人员10/30/50名以上。 信息安全服务人员清单，养老保险证明或劳动合同。 （初次认证审核时，如申请单位未取得CISAW资格，则需列出人员认证计划，监督审核时该单位须取得该方向人员资格） 三级/二级/一级分别要求：拥有信息安全专业认证（与申报类别一致）人员2/6/10名以上。 信息安全专业保障人员认证证书（与申报类别一致）。 （仅适用于安全集成方向） 技术工具要求 仅二级/一级要求：具备独立的测试环境及必要的软、硬件设备，用于技术培训和模拟测试。 介绍信息安全服务的测试环境，包括主要设备设施清单、建设时间、规模、承担业务、培训内容等。 技术工具要求 一/二级要求：具备承担信息安全服务（与申报类别一致）项目所需的安全工具，并对工具进行管理和版本控制。 用于信息安全服务的主要软、硬件工具清单；工具管理程序和要求；有自主开发产品或工具，并在安全服务项目中实际应用，需详细介绍，提供产品销售许可证或软件著作权证书。 仅一级要求：具备承担信息安全服务（与申报类别一致）项目所需的安全工具，如漏洞扫描工具、渗透测试工具、协议分析仪等。 业绩要求 （适用于方向的初次申请）从事信息安全服务年 三级/二级/一级分别要求：近年内完成信息安全服务 仅适用监督审核： 三级/二级/一级分别要求：近年内完成/3个信息安全服务 服务管理要求 遵循国家相关法律法规、标准要求，无违法违规记录，资信状况良好。 遵循国家法律法规、标准要求，无违法违规记录，资信状况良好承诺书。 仅二级要求：参照国际或国内标准，建立业务范围覆盖信息安全服务的质量管理体系，并有效运行。 质量管理体系文件及运行记录，包括但不限于质量管理体系手册、内审、管评、外审管控程序及报告、安全服务工作控制程序；范围覆盖与申报类别一致的信息安全服务。 服务管理要求 仅一级要求：参照国际、国内标准，建立业务范围覆盖信息安全服务的质量管理体系，并提供有效运行的相关证明。 质量管理体系认证证书，包括但不限于证书编号、认证范围、颁证日期、有效期，范围覆盖与申报类别一致的信息安全服务。 一/二级要求：参照国际或国家标准，建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系，并有效运行。 结合信息安全管理体系文件，查阅体系运行记录，验证体系运行情况，至少包括范围方针文件、文件控制程序、记录控制程序、纠正与预防控制程序、内审与管评控制程序、内审、管评、外审管控程序及报告、[风险管理程序、适用性声明及相应的控制措施文件]（适用于27001）或[服务等级管理程序、事件管理程序、问题管理程序、变更和发布管理程序、配置管理程序]（适用于20000）。范围覆盖与申报类别一致的信息安全服务。 仅一级要求：参照国际、国家标准，建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系，并提供有效运行的相关证明。 信息安全管理或信息技术服务管理体系认证证书，包括证书编号、认证范围、颁证日期、有效期,范围覆盖与申报类别一致的信息安全服务。 建立人员管理程序和能力考核指标；制定业务和技能培训计划，定期对相关人员开展培训和考核。 人员管理程序，明确岗位职责，人员任前、中、后的监督、