一級評價要求
申請方須獲得二級資質(zhì)一年以上可提出相同類別的一級申請，且服務管理程序文件需建立、發(fā) 布并運行一年以上。

法律地位要求
a) 在中華人民共和國境內(nèi)注冊的獨立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。
b) 遵循國家相關(guān)法律法規(guī)、標準要求，無違法違規(guī)記錄，資信狀況良好。

財務資信要求
組織經(jīng)營狀況正常，具有財務管理制度，可為服務提供必要的財務支持。

辦公場所要求
擁有長期固定辦公場所和相適應的辦公條件，能夠滿足機構(gòu)設置及其業(yè)務需要。

人員素質(zhì)與資質(zhì)要求
a) 組織負責人擁有4年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。
b) 技術(shù)負責人具備信息安全服務（與申報類別一致）管理能力，經(jīng)評價合格（與申報類別一 致），評價要求見附錄I。
c) 項目負責人、項目工程師具備信息安全服務（與申報類別一致）技術(shù)能力，經(jīng)評價合格（與 申報類別一致），評價要求見附錄I。

業(yè)績要求
a) 從事信息安全服務（與申報類別一致）5年以上。
b) 近三年內(nèi)簽訂并完成至少10個信息安全服務（與申報類別一致）項目。

服務管理要求
a) 建立并運行人員管理程序，識別安全服務人員的服務能力要求，明確安全服務人員的崗位 職責、技術(shù)能力要求，并通過評價證明其能夠勝任其承擔的職責。
b) 制定服務人員能力培養(yǎng)計劃，包括網(wǎng)絡與信息安全相關(guān)的技術(shù)、管理、意識等內(nèi)容，并執(zhí) 行計劃，確保服務人員持續(xù)勝任其承擔的職責。
c) 建立并運行文檔管理程序，包括組織管理、服務過程管理、質(zhì)量管理等內(nèi)容，明確產(chǎn)生、 發(fā)布、保存、傳輸、使用（包括交付和內(nèi)部使用）、廢棄等環(huán)節(jié)的控制。配備檔案室及高 安全性的文件服務器，至少近兩年的項目在文件管理系統(tǒng)中進行管理。
d) 建立并運行項目管理程序，明確服務項目的組織、計劃、實施、風險控制、交付等環(huán)節(jié)的 操作規(guī)程。
e) 建立并運行保密管理程序，明確崗位保密責任，簽訂保密協(xié)議，并能夠適時對相關(guān)人員進 行保密教育。
f) 建立與運行供應商管理程序，明確供應商和（或）外包過程中的風險，對供應商和（或） 承包方的服務基本資格、人員、服務過程控制、服務質(zhì)量、服務交付、服務安全性等進行 識別，確保其供應商或承包方滿足服務安全要求（僅適用于安全集成、安全運維、災難備 份與恢復、工業(yè)控制系統(tǒng)安全方向）。
g) 建立合同管理程序，制定統(tǒng)一合同模板，按照合同約定實施信息安全服務項目。按照客戶 要求，對于接觸到的客戶敏感信息和知識產(chǎn)權(quán)信息予以保護，并確保服務方人員了解客戶 的相關(guān)要求。
h) 參照國際或國內(nèi)標準，建立業(yè)務范圍覆蓋信息安全服務（與申報類別一致）的質(zhì)量管理體 系，并有效運行一年以上。
i) 參照國際或國內(nèi)標準，建立業(yè)務范圍覆蓋信息安全服務（與申報類別一致）的信息安全管 理體系或信息技術(shù)服務管理體系，并有效運行一年以上。
j) 建立信息安全服務目錄，簽訂服務級別協(xié)議。

技術(shù)工具要求
a) 具備獨立的測試環(huán)境及必要的軟、硬件設備，用于技術(shù)培訓和模擬測試。
b) 具備承擔信息安全服務（與申報類別一致）項目所需的安全工具，并對工具進行管理和版 本控制。

服務技術(shù)要求
a) 建立信息安全服務（與申報類別一致）要求的流程，并按照流程實施。
b) 制定信息安全服務（與申報類別一致）要求的規(guī)范標準，并按照規(guī)范實施。

安信達咨詢可為您提供專業(yè)周到的CCRC信息安全服務資質(zhì)認證申請服務，我們承諾不通過不收費。歡迎廣大有需要的企業(yè)與我們聯(lián)系。電話：0755-82800197、 13418611761（微信）孫經(jīng)理。

The post CCRC一級資質(zhì)評價要求 first appeared on 深圳市安信達咨詢有限公司.

申請方可根據(jù)條件直接申請，或獲得三級資質(zhì)一年以上可提出二級申請，服務管理程序文 件需建立、發(fā)布并運行半年以上。

法律地位要求
a) 在中華人民共和國境內(nèi)注冊的獨立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。
b) 遵循國家相關(guān)法律法規(guī)、標準要求，無違法違規(guī)記錄，資信狀況良好。

財務資信要求
組織經(jīng)營狀況正常，制定并執(zhí)行財務管理制度，可為服務提供必要的財務支持。

辦公場所要求
擁有長期固定辦公場所和相適應的辦公條件，能夠滿足機構(gòu)設置及其業(yè)務需要。

人員能力要求
a) 組織負責人擁有3年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。
b) 技術(shù)負責人具備信息安全服務（與申報類別一致）管理能力，經(jīng)評價合格（與申報類別一 致），評價要求見附錄I。
c) 項目負責人、項目工程師具備信息安全服務（與申報類別一致）技術(shù)能力，經(jīng)評價合格（與 申報類別一致），評價要求見附錄I。

業(yè)績要求
a) 從事信息安全服務（與申報類別一致）3年以上，或取得信息安全服務（與申報類別一致） 三級資質(zhì)1年以上。
b) 近三年內(nèi)簽訂并完成至少6個信息安全服務（與申報類別一致）項目。

服務管理要求
a) 建立并運行人員管理程序，識別安全服務人員的服務能力要求，明確安全服務人員的崗位 職責、技術(shù)能力要求，并通過評價證明其能夠勝任其承擔的職責。
b) 制定服務人員能力培養(yǎng)計劃，包括網(wǎng)絡與信息安全相關(guān)的技術(shù)、管理、意識等內(nèi)容，并執(zhí) 行計劃，確保服務人員持續(xù)勝任其承擔的職責。
c) 建立并運行文檔管理程序，包括組織管理、服務過程管理、質(zhì)量管理等內(nèi)容，明確產(chǎn)生、 發(fā)布、保存、傳輸、使用（包括交付和內(nèi)部使用）、廢棄等環(huán)節(jié)的文檔控制。配備檔案室 及高安全性的文件服務器。
d) 建立并運行項目管理程序，明確服務項目的組織、計劃、實施、風險控制、交付等環(huán)節(jié)的 操作規(guī)程。
e) 建立并運行保密管理程序，明確崗位保密責任，簽訂保密協(xié)議，并能夠適時對相關(guān)人員進 行保密教育。
f) 建立與運行供應商管理程序，明確供應和（或）外包過程中的風險，對供應商和（或）承 包方的服務基本資格、服務過程控制、服務質(zhì)量、服務交付等進行識別，確保其供應商或 承包方滿足服務安全要求（僅適用于安全集成、安全運維、災難備份與恢復方向、工業(yè)控 制系統(tǒng)安全方向）。
g) 建立合同管理程序，制定統(tǒng)一合同模板，按照合同約定實施信息安全服務項目。按照客戶 要求，對于接觸到的客戶敏感信息和知識產(chǎn)權(quán)信息予以保護，并確保服務方人員了解客戶 的相關(guān)要求。
h) 參照國際或國內(nèi)標準，建立業(yè)務范圍覆蓋信息安全服務（與申報類別一致）的質(zhì)量管理體 系，并有效運行半年以上。
i) 參照國際或國內(nèi)標準，建立業(yè)務范圍覆蓋信息安全服務（與申報類別一致）的信息安全管 理體系或信息技術(shù)服務管理體系，并有效運行半年以上。

技術(shù)工具要求
a) 具備獨立的測試環(huán)境及必要的軟、硬件設備，用于技術(shù)培訓和模擬測試。
b) 具備承擔信息安全服務（與申報類別一致）項目所需的安全工具，并對工具進行管理和版 本控制。

服務技術(shù)要求
a) 建立信息安全服務（與申報類別一致）要求的流程，并按照流程實施。
b) 制定信息安全服務（與申報類別一致）要求的規(guī)范標準，并按照規(guī)范實施。

安信達咨詢可為您提供專業(yè)周到的CCRC信息安全服務資質(zhì)認證申請服務，我們承諾不通過不收費。歡迎廣大有需要的企業(yè)與我們聯(lián)系。電話：0755-82800197、 13418611761（微信）孫經(jīng)理。

The post CCRC二級資質(zhì)評價要求 first appeared on 深圳市安信達咨詢有限公司.

法律地位要求
a) 在中華人民共和國境內(nèi)注冊的獨立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。
b) 遵循國家相關(guān)法律法規(guī)、標準要求，無違法違規(guī)記錄，資信狀況良好。

財務資信要求
組織經(jīng)營狀況正常，建立財務管理制度，可為安全服務提供必要的財務支持。

辦公場所要求
擁有長期固定辦公場所和相適應的辦公條件，能夠滿足機構(gòu)設置及其業(yè)務需要。

人員能力要求
a) 組織負責人擁有2年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。
b) 技術(shù)負責人具備信息安全服務（與申報類別一致）管理能力，經(jīng)評價合格（與申報類別一 致），評價要求見附錄I。
c) 項目負責人、項目工程師具備信息安全服務（與申報類別一致）技術(shù)能力，經(jīng)評價合格， 評價要求見附錄I。

業(yè)績要求
a) 從事信息安全服務（與申報類別一致）4個月以上。
b) （監(jiān)督審核時）近1年內(nèi)簽訂并完成至少1個信息安全服務（與申報類別一致）項目。

服務管理要求
a) 建立并運行人員管理程序，識別安全服務人員的服務能力要求，明確安全服務人員的崗位 職責、技術(shù)能力要求，并通過評價證明其能夠勝任其承擔的職責。
b) 制定服務人員能力培養(yǎng)計劃，包括網(wǎng)絡與信息安全相關(guān)的技術(shù)、技能、管理、意識等內(nèi)容， 并執(zhí)行計劃，確保服務人員持續(xù)勝任其承擔的職責。
c) 建立并運行文檔管理程序，包括組織管理、服務過程管理、質(zhì)量管理等內(nèi)容，明確項目產(chǎn) 生、發(fā)布、保存、傳輸、使用（包括交付和內(nèi)部使用）、廢棄等環(huán)節(jié)的文檔控制。
d) 建立并運行項目管理程序，明確服務項目的組織、計劃、實施、風險控制、交付等環(huán)節(jié)的 操作規(guī)程，提供項目風險管理記錄。
e) 建立并運行保密管理程序，明確崗位保密責任，簽訂保密協(xié)議，并能夠適時對相關(guān)人員進 行保密教育。
f) 建立與運行供應商管理程序，確保其供應商滿足服務安全要求（僅適用于安全集成、安全 運維、災難備份與恢復方向）。
g) 建立合同管理程序，制定統(tǒng)一合同模板，按照合同約定實施信息安全服務項目。按照客戶 要求，對于接觸到的客戶敏感信息和知識產(chǎn)權(quán)信息予以保護，并確保服務方人員了解客戶 的相關(guān)要求。

?服務技術(shù)要求
a) 建立信息安全服務（與申報類別一致）要求的流程，并按照流程實施。
b) 制定信息安全服務（與申報類別一致）要求的規(guī)范標準，并按照規(guī)范實施。

安信達咨詢可為您提供專業(yè)周到的CCRC信息安全服務資質(zhì)認證申請服務，我們承諾不通過不收費。歡迎廣大有需要的企業(yè)與我們聯(lián)系。電話：0755-82800197、 13418611761（微信）孫經(jīng)理。

The post CCRC三級資質(zhì)評價要求 first appeared on 深圳市安信達咨詢有限公司.

H3 工業(yè)控制系統(tǒng)安全服務資質(zhì)一級評價要求
組織申報一級資質(zhì)，除滿足二級能力要求外，還應滿足以下要求：
申請一級資質(zhì)認證的單位，至少完成10個與申請工業(yè)控制領(lǐng)域一致的完整的安全集成和安全運
維服務項目；在技術(shù)和管理方面具備安全服務的過程管理、風險管理能力；具備針對工業(yè)控制系統(tǒng)
開展風險評估服務、應急處理服務的能力；具備安全問題解決的驗證和證據(jù)分析、安全服務不斷提
升改進的能力。
H3.1 服務規(guī)劃階段
H3.1.1 調(diào)研客戶需求
a) 調(diào)研客戶企業(yè)愿景，對工業(yè)控制系統(tǒng)安全業(yè)務的發(fā)展規(guī)劃和未來幾年業(yè)務發(fā)展目標。
H3.1.2 分析服務業(yè)務
a) 對客戶的安全生產(chǎn)和網(wǎng)絡安全現(xiàn)狀進行評估，調(diào)研行業(yè)安全防護的水平，明確薄弱環(huán)節(jié)。
H3.1.3 編制服務方案
a) 確定實施過程的備份機制和應急處理方案，并與客戶充分溝通，預測應急處理方案可能造
成的影響。
H3.1.4 組建服務團隊
a) 團隊成員必須配備能夠?qū)I(yè)控制系統(tǒng)進行應急處理的服務人員。
H3.1.5 實施準備
a) 具有根據(jù)工業(yè)控制系統(tǒng)特點，自主開發(fā)專業(yè)檢測工具的能力。
b) 配備有處理網(wǎng)絡或信息安全事件的工具包，包括常用的系統(tǒng)命令、工具軟件等。
c) 應根據(jù)服務的需求配備必要的服務質(zhì)量監(jiān)測手段，具備對服務行為進行審計的能力。
H3.2 服務實施階段
H3.2.1 項目實施
a) 有能力利用客戶的備用設備或仿真環(huán)境搭建控制系統(tǒng)的模擬環(huán)境，模擬真實系統(tǒng)的結(jié)果、
配置、數(shù)據(jù)、業(yè)務流程，在仿真系統(tǒng)中驗證服務內(nèi)容和測試，以保障在運系統(tǒng)的安全、穩(wěn)
定運行。
b) 建立服務過程質(zhì)量監(jiān)控機制，定期開展服務質(zhì)量評價工作，能夠?qū)Χ鄠€團隊的服務質(zhì)量的
一致性進行把控。
H3.2.2 風險評估及應急處置
a) 能夠?qū)I(yè)控制系統(tǒng)發(fā)生的網(wǎng)絡安全事件進行原因分析，采取措施抑制或根除潛在的安全
風險，提交應急處置方案。
b) 網(wǎng)絡與信息安全事件處理記錄應具備可追溯性。
H3.2.3 系統(tǒng)運行測試
a) 制定系統(tǒng)安全性測試方案，模擬攻擊場景，在模擬環(huán)境中進行安全性測試，形成測試報告。
b) 綜合分析控制系統(tǒng)運行狀況，制定安全運維、應急響應方案。
H3.3 服務總結(jié)階段
H3.3.1 服務驗收
無
H3.3.2 服務交接
a) 建立應急保障團隊，及時響應客戶需求。
H3.3.3 服務總結(jié)
a) 建立服務項目知識庫，積累和匯總不同行業(yè)的業(yè)務知識和系統(tǒng)特點。
b) 提供詳實的網(wǎng)絡與信息安全事件處理報告，完整展現(xiàn)應急處理服務的整個過程

安信達咨詢可為您提供專業(yè)周到的信息安全服務資質(zhì)、CCRC資質(zhì)、工業(yè)控制系統(tǒng)安全服務資質(zhì)一級申請咨詢與代辦服務，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 工業(yè)控制系統(tǒng)安全服務資質(zhì)一級評價要求 first appeared on 深圳市安信達咨詢有限公司.

H2 工業(yè)控制系統(tǒng)安全服務資質(zhì)二級評價要求
組織申報二級資質(zhì)，除滿足三級能力要求外，還應滿足以下要求：
申請二級資質(zhì)認證的單位，至少完成6個與申請工業(yè)控制領(lǐng)域一致的完整的安全集成和安全運維
服務項目；在技術(shù)和管理方面具備安全服務的過程管理、風險管理能力；具備針對工業(yè)控制系統(tǒng)開
展風險評估服務的能力；具備安全問題解決的驗證和證據(jù)分析、安全服務不斷提升改進的能力。
H2.1 服務規(guī)劃階段
H2.1.1 調(diào)研客戶需求
a) 調(diào)研客戶工業(yè)控制系統(tǒng)的業(yè)務邏輯、工作流程，工業(yè)控制系統(tǒng)的設備組成、網(wǎng)絡架構(gòu)等。
b) 編制完整的客戶調(diào)研報告，調(diào)研的內(nèi)容包括組織架構(gòu)、制度列表、業(yè)務流程、工業(yè)控制系
統(tǒng)資產(chǎn)信息、工業(yè)控制系統(tǒng)相關(guān)的管理人員信息等。
H2.1.2 分析服務業(yè)務
a) 了解所屬行業(yè)主管部門對工業(yè)控制系統(tǒng)安全要求。
H2.1.3 編制服務方案
a) 制定針對人員、設備、文檔、系統(tǒng)的風險監(jiān)控措施，有效保障工業(yè)控制系統(tǒng)的安全、穩(wěn)定。
b) 對于在運工業(yè)控制系統(tǒng)，應搭建控制系統(tǒng)的模擬環(huán)境，模擬真實系統(tǒng)的運行情況、配置、
數(shù)據(jù)、業(yè)務流程，驗證方案的有效性。
c) 安全服務技術(shù)方案和實施方案應經(jīng)過評審，并與客戶達成一致。
H2.1.4 組建服務團隊
a) 團隊成員必須包括所服務業(yè)務領(lǐng)域的工業(yè)控制系統(tǒng)專業(yè)人員，熟悉工業(yè)控制系統(tǒng)工作原理、
業(yè)務流程和操作規(guī)程。
H2.1.5 實施準備
a) 應根據(jù)服務的需求準備必要的工具，具有工具定制研發(fā)的能力。
b) 結(jié)合項目需要，編制安全服務項目施工手冊和作業(yè)指導書。
c) 對團隊成員進行安全服務技能培訓和工業(yè)控制系統(tǒng)原理、組成和操作的培訓。
H2.2 服務實施階段
H2.2.1 項目實施
a) 建立服務過程質(zhì)量監(jiān)控機制, 監(jiān)督工業(yè)控制系統(tǒng)安全服務實施的過程，定期開展工業(yè)控制
系統(tǒng)安全服務質(zhì)量檢查。
b) 針對工業(yè)控制系統(tǒng)業(yè)務特點和系統(tǒng)組成，分析系統(tǒng)脆弱性形成原因，識別跟蹤和驗證工業(yè)
控制系統(tǒng)的漏洞，在服務過程中采取有效措施避免安全風險。
c) 如有遠程服務的需求，應建立遠程訪問審批流程，經(jīng)批準后方能實施，實施過程應采取必
要的訪問控制策略并對操作過程進行安全審計。
d) 應編制服務過程中發(fā)現(xiàn)的工業(yè)控制系統(tǒng)安全風險的風險列表。
H2.2.2 風險評估
a) 識別工業(yè)控制系統(tǒng)的重要資產(chǎn)、安全威脅、脆弱性，驗證已有的安全措施，構(gòu)建風險分析
模型進行風險計算和評價，給出風險評估報告；
b) 協(xié)助用戶確定風險處置原則，對組織不可接受的風險提出風險處置措施。
c) 對客戶提出完整的風險處置方案，協(xié)助客戶進行風險處置，必要時，對殘余風險進行再評
估。
H2.2.3 系統(tǒng)運行測試
a) 制定系統(tǒng)安全性測試方案，在運行系統(tǒng)中或模擬環(huán)境中進行測試，完整記錄測試過程相關(guān)
信息，形成系統(tǒng)測試報告。
H2.3 服務總結(jié)階段
H2.3.1 服務驗收
a) 應建立程序，對服務驗收中可能存在的重要分歧或者遺漏及時更正，并將更正后的驗收報
告提交給用戶方。
H2.3.2 服務交接
a) 建立客戶滿意度調(diào)查機制。
H2.3.3 服務總結(jié)
a) 驗證在服務過程中發(fā)現(xiàn)的工業(yè)控制系統(tǒng)的漏洞，建立管理機制跟蹤漏洞的消缺情況。

安信達咨詢可為您提供專業(yè)周到的信息安全服務資質(zhì)、CCRC資質(zhì)、信息安全災難備份與恢復服務資質(zhì)一級申請咨詢與代辦服務，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 工業(yè)控制系統(tǒng)安全服務資質(zhì)二級評價要求 first appeared on 深圳市安信達咨詢有限公司.

安信達咨詢可為您提供專業(yè)周到的信息安全服務資質(zhì)、CCRC資質(zhì)、工業(yè)控制系統(tǒng)安全服務資質(zhì)三級申請咨詢與代辦服務，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 工業(yè)控制系統(tǒng)安全服務資質(zhì)三級評價要求 first appeared on 深圳市安信達咨詢有限公司.

G3 網(wǎng)絡安全審計服務資質(zhì)一級評價要求
組織申報一級資質(zhì)，除滿足二級能力要求外，還應滿足以下要求：
申請一級資質(zhì)認證的單位，至少完成10個以上不同行業(yè)（如金融、電信、能源、醫(yī)療、公共部
門等）完整的網(wǎng)絡安全審計項目，項目審計目標應覆蓋至少合規(guī)、安全、績效等；具備確定審計目
標和范圍、確定審計依據(jù)的能力；具備實施現(xiàn)場審計、報告審計發(fā)現(xiàn)和形成審計結(jié)論的能力；具備
提出審計建議的能力。
G3.1 審計對象識別
G3.1.1 了解被審計方業(yè)務和IT情況
a) 應利用應用系統(tǒng)工具來建立和管理審計對象庫。
b) 具備為被審計方提供審計對象管理工具的能力。
G3.1.2 了解被審計方組織管理和IT管理情況
應建立審計調(diào)研報告分級復核制度，明確規(guī)定各級復核人員的要求和責任。
G3.2 編制審計實施方案
G3.2.1 確定網(wǎng)絡安全審計目標
無
G3.2.2 確定網(wǎng)絡安全審計依據(jù)
a) 應利用應用系統(tǒng)工具來建立和維護常用審計依據(jù)庫，并確保審計依據(jù)是當前適用版本。
b) 具備為被審計方提供審計依據(jù)管理工具的能力。
G3.2.3 確定網(wǎng)絡安全審計范圍和審計內(nèi)容
a) 應利用應用系統(tǒng)工具來建立和維護審計范圍、審計對象、審計依據(jù)要求項、審計程序（方
法）、所需資源的對應關(guān)系。
b) 具備為被審計方提供審計范圍、審計對象、審計依據(jù)要求項、審計程序（方法）、所需資
源等對應關(guān)系管理工具的能力。
G3.2.4 組建審計組
對于特定行業(yè)領(lǐng)域的網(wǎng)絡安全審計，應具備聘請外部行業(yè)技術(shù)專家作為審計組成員。
G3.3 審計取證與評價
G3.3.1 審計取證
a) 應至少具備和使用數(shù)據(jù)分析類、漏洞和缺陷掃描類、系統(tǒng)配置和運行日志檢查類等類型的
審計工具取證的能力。
b) 利用審計工具取證時，應采取措施確保對審計對象的風險最小化。
G3.3.2 編制審計工作底稿
a) 應利用應用系統(tǒng)工具來歸檔和保管審計工作底稿。
b) 具備為被審計方提供審計工作底稿管理工具的能力。
G3.3.3 審計評價
a) 應利用應用系統(tǒng)工具來管理審計發(fā)現(xiàn)列表。
b) 具備為被審計方提供審計發(fā)現(xiàn)列表管理工具的能力。
G3.4 審計報告
G3.4.1 一般原則
應利用應用系統(tǒng)工具來管理審計報告。
G3.4.2 審計報告的內(nèi)容
在審計的任何階段，如果遇到或發(fā)現(xiàn)與審計目標和內(nèi)容有關(guān)的重大問題，如違法違規(guī)問題、重
大安全風險等，應出具審計專報。
G3.4.3 交付審計報告
具備為被審計方提供審計報告管理工具的能力。
G3.5 跟蹤審計
G3.5.1 一般原則
無
G3.5.2 跟蹤審計報告
跟蹤審計報告的管理參照G3.4審計報告。
G3.6 審計質(zhì)量控制
G3.6.1 審計質(zhì)量控制制度
a) 應監(jiān)督網(wǎng)絡安全審計實施的過程。
b) 應定期開展網(wǎng)絡安全審計質(zhì)量檢查。

安信達咨詢可為您提供專業(yè)周到的信息安全服務資質(zhì)、CCRC資質(zhì)、網(wǎng)絡安全審計服務資質(zhì)一級申請咨詢與代辦服務，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 網(wǎng)絡安全審計服務資質(zhì)一級評價要求 first appeared on 深圳市安信達咨詢有限公司.

G2 網(wǎng)絡安全審計服務資質(zhì)二級評價要求
組織申報二級資質(zhì)，除滿足三級能力要求外，還應滿足以下要求：
申請二級資質(zhì)認證的單位，至少完成6個完整的網(wǎng)絡安全審計項目；具備確定審計目標和范圍、
確定審計依據(jù)的能力；具備實施現(xiàn)場審計、報告審計發(fā)現(xiàn)和形成審計結(jié)論的能力；具備提出審計建
議的能力。
G2.1 審計對象識別
G2.1.1 了解被審計方業(yè)務和IT情況
a) 編制審計對象列表，包括審計對象的數(shù)量、容量、功用、版本等屬性。
b) 梳理被審計方業(yè)務邏輯、應用系統(tǒng)處理邏輯和IT基礎設施架構(gòu)。
G2.1.2 了解被審計方組織管理和IT管理情況
a) 梳理被審計方規(guī)章制度文件，形成審計項并編制對應檢查表。
b) 編制完整審計調(diào)研報告，并說明重點審計項。
c) 制定審計風險評價準則，評價審計風險，為確定重點審計項和明確審計內(nèi)容提供依據(jù)。
G2.2 編制審計實施方案
G2.2.1 確定網(wǎng)絡安全審計目標
網(wǎng)絡安全審計目標應經(jīng)過評審，并與被審計方達成一致。
G2.2.2 確定網(wǎng)絡安全審計依據(jù)
應建立并維護常用審計依據(jù)庫，并確保審計依據(jù)是當前適用版本。
G2.2.3 確定網(wǎng)絡安全審計范圍和審計內(nèi)容
應建立審計范圍、審計對象、審計依據(jù)要求項、審計程序（方法）、所需資源的對應關(guān)系。
G2.2.4 組建審計組
應指定審計組長、主審和審計組成員，并明確分配審計任務。
G2.3 審計取證與評價
G2.3.1 審計取證
a) 應具備至少利用一種網(wǎng)絡安全審計工具執(zhí)行審計取證的能力。
b) 對電子形式存在的審計證據(jù)，應做好取證記錄，并經(jīng)被審計方相關(guān)人員確認。
c) 應采取必要的措施，保護取證過程中所采集的電子數(shù)據(jù)的安全。
G2.3.2 編制審計工作底稿
a) 應建立審計工作底稿的分級復核制度，明確規(guī)定各級復核人員的要求和責任。
b) 審計工作底稿的內(nèi)容應包括但不限于被審計部門的名稱，審計事項及其期間或者截止日期，
審計程序的執(zhí)行過程及結(jié)果記錄，審計結(jié)論、意見及建議，審計人員姓名和審計日期，復
核人員姓名、復核日期和復核意見，編號及頁次，被審計方意見、附件等。
G2.3.3 審計評價
應編制審計發(fā)現(xiàn)列表。
G2.4 審計報告
G2.4.1 一般原則
應建立審計報告分級復核制度，明確規(guī)定各級復核人員的要求和責任。
G2.4.2 審計報告的內(nèi)容
a) 審計報告中應提出審計發(fā)現(xiàn)問題改進建議。
b) 應建立程序，對已經(jīng)出具的審計報告可能存在的重要錯誤或者遺漏及時更正，并將更正后
的審計報告提交給原審計報告接收者。
G2.4.3 交付審計報告
c) 應建立審計報告歸檔和保管制度。任何組織或者個人查閱和使用歸檔后的審計報告，必須
經(jīng)審計機構(gòu)負責人批準，但國家有關(guān)部門依法進行查閱的除外。
d) 審計報告歸被審計方所有，被審計方對審計報告的使用、保管等有明確要求的，應遵守其
要求。
G2.5 跟蹤審計
G2.5.1 一般原則
應編制跟蹤審計方案，對后續(xù)審計做出安排。
G2.5.2 跟蹤審計報告
跟蹤審計報告的管理參照G2.4審計報告。
G2.6 審計質(zhì)量控制
G2.6.1 審計質(zhì)量控制制度
a) 應建立網(wǎng)絡安全審計工作手冊，規(guī)范網(wǎng)絡安全審計全生命周期內(nèi)的所有活動。
b) 確保審計質(zhì)量控制制度與網(wǎng)絡安全審計工作手冊相適應。

安信達咨詢可為您提供專業(yè)周到的信息安全服務資質(zhì)、CCRC資質(zhì)、網(wǎng)絡安全審計服務資質(zhì)二級申請咨詢與代辦服務，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 網(wǎng)絡安全審計服務資質(zhì)二級評價要求 first appeared on 深圳市安信達咨詢有限公司.

安信達咨詢可為您提供專業(yè)周到的信息安全服務資質(zhì)、CCRC資質(zhì)、網(wǎng)絡安全審計服務資質(zhì)三級申請咨詢與代辦服務，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 網(wǎng)絡安全審計服務資質(zhì)三級評價要求 first appeared on 深圳市安信達咨詢有限公司.

F3 信息安全運維服務資質(zhì)一級評價要求
組織申報一級資質(zhì)，除滿足二級能力要求外，還應滿足以下要求：
F3.1 準備階段
F3.1.1 需求調(diào)研與分析
a) 內(nèi)部團隊之間的安全運營級別協(xié)議應和與安全運維第三方之間的服務級別設計保持一致。
b) 安全組織中要設定安全領(lǐng)導小組。
F3.2 方案設計階段
a) 建立信息系統(tǒng)應急事件響應機制和恢復保障。
b) 編制安全運維項目作業(yè)指導書。
c) 建立應急響應和災難恢復機制，形成業(yè)務連續(xù)性計劃。
d) 基于漏洞發(fā)現(xiàn)與分析進行信息系統(tǒng)漏洞的管理工作。
F3.3 服務實施階段
a) 實施安全培訓服務：完成安全意識、基本安全技術(shù)的培訓服務。
b) 實施安全通告及漏洞分析服務：完成業(yè)界動態(tài)的通告、收集國家安全政策及法律法規(guī)、漏
洞通告、病毒通告、廠商安全通告及其他安全通告。
c) 實施應急響應服務：完成應急響應預案制定，對應急事件及時響應，并對應急預案進行演
練，形成相關(guān)記錄。
d) 依據(jù)運維變更管理程序，對運維實施過程中方案、資源變更進行有效控制，完整記錄變更
過程。
e) 制定運維應急處置方案和恢復策略，對運維過程中的應急事件及時進行響應。
f) 依據(jù)風險評估方案與計劃實施信息系統(tǒng)風險評估；依據(jù)滲透測試方案與計劃實施信息系統(tǒng)
滲透測試。
g) 依據(jù)漏洞管理方案實施信息系統(tǒng)漏洞管理工作。
F3.4 運維服務報告階段
a) 對客戶滿意度進行趨勢分析。
b) 對客戶系統(tǒng)的安全態(tài)勢做出分析，并給出安全建議。

安信達咨詢可為您提供專業(yè)周到的信息安全服務資質(zhì)、CCRC資質(zhì)、信息安全運維服務資質(zhì)一級申請咨詢與代辦服務，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 信息安全運維服務資質(zhì)一級評價要求 first appeared on 深圳市安信達咨詢有限公司.