信息系统安全运维服务资质认证自评估表组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.准备阶段—需求调研与分析采集客户对信息系统运维服务时间的需求。运维前的客户需求调查报告,可结合结合业务部门,公司高层的战略规划,内容必须有服务时间要求。2.进行信息系统运维预算 ,定义运维服务。运维前的信息系统运维预算表,内容应包括工作量、人力资源项目经费、项目节点等。3.与客户进行沟通,达成共识并形成记录 。运维前与客户沟通的记录,应有沟通结果双方达成共识的体现。4.仅二级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。信息系统运维过程中的历史数据清单;历史数据清单的分析报告,内容包含指标完成情况、违例操作、重大事件、重大(失败)变更等。根据报告的分析制定的运维策略,及实施方案;仅二级要求:分析客户对信息系统安全服务的需求和类型。客户需求调查报告,包含信息系统安全服务的需求和类型;5.仅二级要求:收集与分析信息系统的可用性指标,明确可用性指标的类型。信息系统的可用性指标清单,如整体指标或单系统指标等;6.仅二级要求:分析以往服务的数据,提取出来未来可自动化的服务。以往提供服务的解决方案,对生产的影响的分析报告;根据以往安全事件的解决效率进行分析,适宜时提出来未来可自动化的服务。7.仅一级要求:内部团队之间的安全运营级别协议应和与安全运维第三方之间的的服务级别设计保持一致。服务级别设计、安全运营级别协议,两者应保持一致。8.仅一级要求:安全组织中要设定安全领导小组;在采纳外包模式的情况下,执行组还应包含安全运维服务供应商参加运维的人员。安全组织架构图及相关运维人员清单,其中应有安全领导小组;外包模式的执行组中应有第三方参加运维的人员。9.仅一级要求:采纳基于 PDCA 的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。信息系统安全运维服务有策划,实施,监视与评审和持续改进流程。10.仅一级要求:建立安全运维可视化视图.基于信息系统安全的生命周期,建安全运维项目施工手册和作业指导书;新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要立信息系统安全运维的整体策略。基于客户、业务的价值体现,形成安全运维的整体视图。求,应保留与客户的需求分析记录;系统改造中考虑造前技术测试验证及在实施失败后的回退措...
