1、ISCCC-QOT-0454-B/1信息系統(tǒng)安全集成服務(wù)資質(zhì)認證自評估表信息系統(tǒng)安全集成服務(wù)資質(zhì)認證自評估表組織名稱申報級別評估時間評估部門/人員序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合1.集成準備-需求調(diào)研與分析調(diào)研客戶背景信息，米集系統(tǒng)建設(shè)需求和建設(shè)目標，明確功能、性能及安全性要求。準備階段控制程序文件，包括明確工作內(nèi)容、流程、方法、文檔模板，內(nèi)容至少包括需求調(diào)研、分析、評審，產(chǎn)品選型，財務(wù)預(yù)算。提供投標文件、項目文檔等證明。2.基于系統(tǒng)建設(shè)需求，提出產(chǎn)品選型方案和建設(shè)預(yù)算。3.結(jié)合系統(tǒng)建設(shè)和安全需求，與客戶、設(shè)計、開發(fā)等充分溝通，達成共識并形成記錄。4.僅二級/一級要求

2、：準確識別和綜合分析系統(tǒng)在保密性、完整性、可用性、可靠性等方面的安全需求，提出系統(tǒng)安全保障策略和建議。系統(tǒng)安全需求分析報告，內(nèi)容應(yīng)覆蓋審核條款要求。5.僅二級/一級要求：基于客戶需求和投第1頁共7頁中國信息安全認證中心序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合入能力，開展需求分析，編制需求分析報告。6.僅一級要求：協(xié)助客戶有效識別系統(tǒng)建設(shè)過程中的政策、法律和約束條件，有效規(guī)避商業(yè)風(fēng)險和泄密事件。安全集成項目風(fēng)險評估程序及風(fēng)險評估報告。7.集成準備-簽訂服務(wù)協(xié)議與客戶、供應(yīng)商簽訂服務(wù)協(xié)議，明確范圍、目標、時間、內(nèi)容、金額、質(zhì)量和輸出等。項目合同管理辦法，項目合同及保密協(xié)議。8.僅

3、一級要求：建立安全集成服務(wù)級別管理程序，簽訂服務(wù)級別協(xié)議。服務(wù)級別管理程序、服務(wù)級別協(xié)議。9.方某設(shè)計根據(jù)系統(tǒng)建設(shè)安全需求，編制安全集成技術(shù)方案。依據(jù)技術(shù)方案,編制安全集成實施方案，明確人員、進度、質(zhì)量、溝通、風(fēng)險等方向要求。項目方案設(shè)計階段控制程序文件，包括明確工作內(nèi)容、流程、文檔模板，內(nèi)容應(yīng)覆蓋審核條款的要求。項目技木方柔、實施方茉。10.僅二級/一級要求：結(jié)合需求分析和客戶在保障系統(tǒng)安全方面的投入能力，提出系統(tǒng)建設(shè)安全設(shè)計說明書，明確系統(tǒng)架構(gòu)、產(chǎn)品選型、產(chǎn)品功能、性能及配置等參數(shù)。項目方案設(shè)計階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款要求。ISCCC-QOT-0454-B/1信息系統(tǒng)安全集成服

4、務(wù)資質(zhì)認證自評估表第2頁共7頁中國信息安全認證中心序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合11.僅二級/一級要求：組織客戶及相關(guān)技術(shù)專家對技術(shù)方案和實施方案進行論證，確認是否滿足系統(tǒng)功能、性能和安全性要求。項目管理評審程序，包括明確工作內(nèi)容、過程、方法、文檔模板，內(nèi)容應(yīng)覆蓋審核條款要求。12.僅二級/一級要求：對項目組及第二方配合人員進行業(yè)務(wù)和技能培訓(xùn)。項目方案設(shè)計階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款要求。13.僅一級/一級要求：依據(jù)技術(shù)方家具體指標要求，制定系統(tǒng)測試計劃。14.僅一級要求：結(jié)合項目需要，編制安全集成項目施工手冊和作業(yè)指導(dǎo)書。項目方案設(shè)計階段控制程序文件，內(nèi)容

5、應(yīng)覆蓋審核條款的要求。15.僅一級要求：新建系統(tǒng)，建設(shè)實施過程應(yīng)重點關(guān)注信息系統(tǒng)的功能、性能和安全性等要求。系統(tǒng)改造，還應(yīng)考慮改造前技術(shù)測試驗證及在實施失敗后的回退措施。技術(shù)測試驗證需要考慮新舊系統(tǒng)兼容問題，包括網(wǎng)絡(luò)兼容、系統(tǒng)兼容、應(yīng)用兼容等。16.方茶設(shè)計僅一級要求：基于安全集成項目需求和進度計劃，編制信息安全產(chǎn)品和工具定制開發(fā)計劃。項目方案設(shè)計階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。組織自主開發(fā)的信息安全產(chǎn)品、平臺和工具清單。ISCCC-QOT-0454-B/1信息系統(tǒng)安全集成服務(wù)資質(zhì)認證自評估表第3頁共7頁中國信息安全認證中心序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合

6、17.建設(shè)實施-實施集成項目實施人員按時提交施工記錄和工程日志，及時向項目經(jīng)理匯報項目進度。項目建設(shè)實施階段控制程序文件，包括工作內(nèi)容、過程、方法、文檔模板，內(nèi)容應(yīng)覆蓋審核條款的要求。項目施工記錄。18.僅二級/一級要求：產(chǎn)品、設(shè)備安裝調(diào)試過程中，應(yīng)完整妥善記錄相關(guān)信息，并提交完工報告。項目建設(shè)實施階段控制程序，覆蓋審核條款要求。查驗安裝調(diào)試記錄、項目完工報告。19.建設(shè)實施-監(jiān)督管理僅二級/一級要求：建立客戶滿意度調(diào)查機制，并對調(diào)查結(jié)果進行分析。項目建設(shè)實施階段控制程序文件，覆蓋審核條款的要求。滿意度調(diào)查記錄。20.僅一級要求：定期對項目實施情況進行評審，采取適當措施，控制項目風(fēng)險。項目管理

7、評審程序，覆蓋審核條款的要求，項目評審與質(zhì)量控制文檔。21.安全保障-系統(tǒng)測試依據(jù)項目技術(shù)方案和測試計劃,對系統(tǒng)進行聯(lián)調(diào)和系統(tǒng)測試。項目安全保障階段控制程序文件，包括明確工作內(nèi)容、過程、方法、文檔模板，內(nèi)容應(yīng)覆蓋審核條款的要求。測試方藩、計劃、記錄。22.僅二級/一級要求：系統(tǒng)測試完成后，制定系統(tǒng)測試報告，并提交客戶。項目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。測試報告、初驗申請與報告。23.僅二級/一級要求：結(jié)合項目需要提出初驗申請，組織客戶及相關(guān)方對項目進行初驗，并提交初驗報告。ISCCC-QOT-0454-B/1信息系統(tǒng)安全集成服務(wù)資質(zhì)認證自評估表第4頁共7頁中國信息安全認證

8、中心序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合24.僅一級要求：基于建設(shè)系統(tǒng)的安全要求，制定系統(tǒng)安全性測試方案，模擬攻擊場景，對系統(tǒng)安全性進行測試。項目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。系統(tǒng)安全性測試方案、測試記錄。25.安全保障-系統(tǒng)試運行為測試系統(tǒng)運行的可靠性和穩(wěn)定性，系統(tǒng)初驗后需進行試運行，并記錄系統(tǒng)運行狀況，試運行周期至少一個月。項目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。系統(tǒng)試運行記錄。26.僅二級/一級要求：試運行結(jié)束后，項目組制定系統(tǒng)試運行報告，并提交客戶。項目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。系統(tǒng)試運行報告。27.

9、僅一級要求：制定系統(tǒng)試運行計劃，建立應(yīng)急響應(yīng)服務(wù)保障團隊，及時應(yīng)對突發(fā)事件。項目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。應(yīng)急預(yù)案、系統(tǒng)運行策略和安全指南、配置管理方案、系統(tǒng)試運行報告。28.僅一級要求：綜合分析系統(tǒng)運行狀態(tài)，建立系統(tǒng)運行策略和安全指南，并對相關(guān)產(chǎn)品和設(shè)備設(shè)施進行配置管理。29.僅一級要求：提供三個月以上的試運行記出和報告。30.安全保障-驗收根據(jù)合同約定，配合組織項目驗收，出具項目驗收報告。項目安全保障階段控制程序文件，內(nèi)容應(yīng)覆蓋審核條款的要求。項目終驗報告。ISCCC-QOT-0454-B/1信息系統(tǒng)安全集成服務(wù)資質(zhì)認證自評估表第5頁共7頁中國信息安全認證中心序號要點條款需提供證明材料自評估結(jié)論證明材料清單符合不符合31.上一年度提出的觀察項跟蹤驗證情況（如有）32.33.34.35.上一年度提出的不符合項跟蹤驗證情況（如有）36.37.ISCCC-QOT-0454-B/1信息系統(tǒng)安全集成服務(wù)資質(zhì)認證自評估表第6頁共7頁中國信息安全認證中心ISCCC-QOT-0454-B/1信息系統(tǒng)安全集成服務(wù)資質(zhì)認證自評估表自評估結(jié)論：經(jīng)自主評估，本