CCRC信息安全服务资质认证自评估表填写规范
1、目的:对自评估表填写进行规范,确保申请组织的自评价材料基本信息清晰明了。
2、适用范围:适用于所有信息安全服务资质申请企业。
3、职责:申请组织相关人员填写自评估表。
4、CCRC信息安全服务资质认证自评估表填写过程
4.1 公共管理自评估表填写规范
4.1.1、财务资信填写内容包含以下信息: 所提供的财务审计或者财务报告的年份,对于财务审核报告需填写所出具的会计事务所名称,需填写收入、净利润等信息。
4.1.2、办公场所填写内容包含以下信息: 房屋产权证或房屋租赁合同;产权人/出租人、地址、面积、租期。
4.1.3、人员能力填写内容包含以下信息:
1)填写组织负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
2)填写技术负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
3)填写财务负责人姓名、年龄、职务、职称、学历、工作经历、资质证书。
4)填写信息安全服务人员数量,养老保险证明出具单位及出具时间,劳动合同的签订时 间及有效期。
5)信息安全专业保障人员认证证书,填写获证人员名称、证书编号、发证日期、有效期。
6)填写项目经理人员数量,人员的名称、证书名称、证书编号等。
4.1.4、业绩填写内容包含以下信息:
1)填写首个信息安全服务(与申报类别一致)项目名称、合同签订时间、项目验收时间。
2)填写近三年信息安全服务项目(与申报类别一致)名称、合同金额、合同签订时间、 验收时间、项目服务内容等。
4.1.5、服务管理填写内容包含以下信息:
1)填写人员管理程序,内容应包含岗位职责,人员任前、中、后的监督、考核、评价、 奖惩方式,信息安全服务相关技术岗位的能力指标。提供人员培训制度(可并入人员管理制度)。内容包含培训需求、计划、实施和记录要求,以及对应的记录模板,同时提供近三年的人员培 训计划与培训记录,培训计划与记录至少应包含信息安全意识、技术、保密等方面的内容。
2)填写文档控制程序,内容包括但不限于管理文档、项目文档、控制方式(起草、审批、 修改、发布、销毁、归档、借阅、外来文件管理)。并填写具体的文档管理人员名称及其职责。
3)填写项目管理制度,制度内容包括项目从立项到结项的整个过程,同时应包括项目风 险管理内容。
4)填写保密管理制度,内容包括但不限于保密范围(至少包含公司人员和客户信息)、保密方式、保密时效、保密责任主体、罚则;填写公司与管理层、技术负责人及具体项目人员签订的保密协议。
5)填写供应商管理制度,内容包括供应商遴选、管理与考核措施;填写供应商名录(包 含的供应商名称),填写供应商考核记录信息。
6) 填写合同管理制度,提供服务项目(与申报类别一致)合同/协议中对敏感信息和知识 产权信息保护要求的相关条款;填写针对具体项目的调研内容,例如客户所处行业情况、对信 息安全服务的特定要求、以及客户当前存在的安全隐患问题等;
7)填写质量管理体系手册、内审、管评、外审管控程序及报告、安全服务工作控制程序 等质量体系文件,并提供内审、外审、管理评审的相关记录文件。
8)填写信息安全管理体系范围方针文件、文件控制程序、记录控制程序、纠正与预防控 制程序、内审与管评控制程序、内审、管评、外审管控程序及报告、风险管理程序、适用性声 明及相应的控制措施文件(适用于 27001)或服务等级管理程序、事件管理程序、问题管理程 序、变更和发布管理程序、配置管理程序(适用于 20000),并提供信息安全管理体系或信息 技术服务管理体系的内审、外审、管理评审的相关记录文件。
4.1.6、技术工具填写内容包含以下信息:
1)填写实验环境的主要设备名称、型号、用途,填写实验环境建设时间、规模、承担业 务、培训内容等。
2)填写工具管理程序主要内容,填写工具管理相关记录。
3)填写渗透测试、漏洞扫描等工具的名称、型号、用途等信息。
4)填写自研发信息安全工具的软件著作权证书信息(包含证书编号、发证日期)或者销 售许可(销售许可编号)。
公共管理部分自评估表填写的方式、填写的细粒度可参考《ISCCC-QOG-0427 信息安全服务资质自评估表-公共管理填写指南》
4.2 技术自评估表填写规范
4.2.1、服务技术填写内容包含以下信息:
1)填写流程图,填写流程图中包含的安全服务类型划分的阶段名称、各阶段的工作职责、 阶段的输入文档、阶段的输出文档。 如:参考规则中的四个阶段,提供申请单位实际的安全集成整个服务过程阶段,在每个阶 段中涉及到的部门、输入文档、输出文档等。
2)填写安全服务的规范,服务规范应对安全服务的详细服务过程、内容以及方法进行描 述。
4.2.2 技术自评估表填写通用要求
1)当条款对应的需提供证明材料为制度或项目文档时,需填写文档的完整名称。例如《XX 公司信息安全风险评估服务规范》、《XX 项目信息安全风险评估实施方案》、《XX 公司风评工具管 理制度》、《XX 项目资产清单》、《XX 项目信息安全风险评估报告》等,并简要介绍该制度或项目 文档的主要内容、结构、发布时间等信息。
2) 当条款对应的需提供证明材料为记录文档时,需填写记录的完整名称。例如《工具适 用性测试记录》、《XX 项目人员培训记录》、《XX 项目专家评审意见》等。
3)当条款对应的需提供证明材料为某文档的某章节内容时,需填写文档的完整名称及对 应的章节编号。例如《XX 项目信息安全风险评估实施方案》第 X 章 项目团队介绍、《XX 项目信 息安全风险评估报告》第 X 章 脆弱性分析等。 技术部分自评估表填写的方式、填写的细粒度可参考《ISCCC-QOG-0408 信息安全服务资 质自评估表-风险管理类填写指南》、《ISCCC-QOG-0409 信息安全服务资质自评估表-安全集成 类填写指南》、《ISCCC-QOG-0410 信息安全服务资质自评估表-应急处理类填写指南》、 《ISCCC-QOG-0411 信息安全服务资质自评估表-灾难备份与恢复类填写指南》、 《ISCCC-QOG-0412 信息安全服务资质自评估表-软件安全开发类填写指南》、 《ISCCC-QOG-0413 信息安全服务资质自评估表-安全运维类填写指南》。
4.3 注意事项
1、在自评估表中应填写完整公司名称、申请的类型及级别、自评估日期、自评估人员等信息。
2、申请三级服务资质时,仅仅填写自评估表中与三级相关的额条款(具体分两种情况:1、 标明适用于三级的;2、未标明属于哪个条款的。);申请二级服务资质时,除了填写标明适用 于二级的条款之外,还应填写完所有属于三级要求的条款;申请一级服务资质时,填写全部条款。
3、所有出现在“证明材料清单”栏目中的文档,都需提供相应的电子版文档或纸质文档 的扫描件作为证明材料,并按照条款的序号建立文件夹整理归档后,制作 U 盘或刻录光盘,作为自评估表的附件一同提交。
4.3 自评估表填写指南见附件 1-7。
5、支持文件 ISCCC-ISV-C01:2017 信息安全服务资质认证规范
6、相关记录
ISCCC-QOT-0428 信息安全服务资质自评估表-风险评估类
ISCCC-QOT-0429 信息安全服务资质自评估表-安全集成类
ISCCC-QOT-0430 信息安全服务资质自评估表-应急处理类
ISCCC-QOT-0431 信息安全服务资质自评估表-灾难备份与恢复类
ISCCC-QOT-0432 信息安全服务资质自评估表-公共管理
ISCCC-QOT-0433 信息安全服务资质自评估表-软件安全开发类
ISCCC-QOT-0434 信息安全服务资质自评估表-安全运维类
ISCCC-QOG-0428 信息安全服务资质自评估表-风险管理类填写指南
ISCCC-QOG-0429 信息安全服务资质自评估表-安全集成类填写指南
ISCCC-QOG-0430 信息安全服务资质自评估表-应急处理类填写指南
ISCCC-QOG-0431 信息安全服务资质自评估表-灾难备份与恢复类填写指南
ISCCC-QOG-0427 信息安全服务资质自评估表-公共管理类填写指南
ISCCC-QOG-0432 信息安全服务资质自评估表-软件安全开发类填写指南
ISCCC-QOG-0433 信息安全服务资质自评估表-安全运维类填写指南