一級評價要求
申請方須獲得二級資質(zhì)一年以上可提出相同類別的一級申請，且服務(wù)管理程序文件需建立、發(fā) 布并運行一年以上。

法律地位要求
a) 在中華人民共和國境內(nèi)注冊的獨立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。
b) 遵循國家相關(guān)法律法規(guī)、標準要求，無違法違規(guī)記錄，資信狀況良好。

財務(wù)資信要求
組織經(jīng)營狀況正常，具有財務(wù)管理制度，可為服務(wù)提供必要的財務(wù)支持。

辦公場所要求
擁有長期固定辦公場所和相適應(yīng)的辦公條件，能夠滿足機構(gòu)設(shè)置及其業(yè)務(wù)需要。

人員素質(zhì)與資質(zhì)要求
a) 組織負責(zé)人擁有4年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。
b) 技術(shù)負責(zé)人具備信息安全服務(wù)（與申報類別一致）管理能力，經(jīng)評價合格（與申報類別一 致），評價要求見附錄I。
c) 項目負責(zé)人、項目工程師具備信息安全服務(wù)（與申報類別一致）技術(shù)能力，經(jīng)評價合格（與 申報類別一致），評價要求見附錄I。

業(yè)績要求
a) 從事信息安全服務(wù)（與申報類別一致）5年以上。
b) 近三年內(nèi)簽訂并完成至少10個信息安全服務(wù)（與申報類別一致）項目。

服務(wù)管理要求
a) 建立并運行人員管理程序，識別安全服務(wù)人員的服務(wù)能力要求，明確安全服務(wù)人員的崗位 職責(zé)、技術(shù)能力要求，并通過評價證明其能夠勝任其承擔(dān)的職責(zé)。
b) 制定服務(wù)人員能力培養(yǎng)計劃，包括網(wǎng)絡(luò)與信息安全相關(guān)的技術(shù)、管理、意識等內(nèi)容，并執(zhí) 行計劃，確保服務(wù)人員持續(xù)勝任其承擔(dān)的職責(zé)。
c) 建立并運行文檔管理程序，包括組織管理、服務(wù)過程管理、質(zhì)量管理等內(nèi)容，明確產(chǎn)生、 發(fā)布、保存、傳輸、使用（包括交付和內(nèi)部使用）、廢棄等環(huán)節(jié)的控制。配備檔案室及高 安全性的文件服務(wù)器，至少近兩年的項目在文件管理系統(tǒng)中進行管理。
d) 建立并運行項目管理程序，明確服務(wù)項目的組織、計劃、實施、風(fēng)險控制、交付等環(huán)節(jié)的 操作規(guī)程。
e) 建立并運行保密管理程序，明確崗位保密責(zé)任，簽訂保密協(xié)議，并能夠適時對相關(guān)人員進 行保密教育。
f) 建立與運行供應(yīng)商管理程序，明確供應(yīng)商和（或）外包過程中的風(fēng)險，對供應(yīng)商和（或） 承包方的服務(wù)基本資格、人員、服務(wù)過程控制、服務(wù)質(zhì)量、服務(wù)交付、服務(wù)安全性等進行 識別，確保其供應(yīng)商或承包方滿足服務(wù)安全要求（僅適用于安全集成、安全運維、災(zāi)難備 份與恢復(fù)、工業(yè)控制系統(tǒng)安全方向）。
g) 建立合同管理程序，制定統(tǒng)一合同模板，按照合同約定實施信息安全服務(wù)項目。按照客戶 要求，對于接觸到的客戶敏感信息和知識產(chǎn)權(quán)信息予以保護，并確保服務(wù)方人員了解客戶 的相關(guān)要求。
h) 參照國際或國內(nèi)標準，建立業(yè)務(wù)范圍覆蓋信息安全服務(wù)（與申報類別一致）的質(zhì)量管理體 系，并有效運行一年以上。
i) 參照國際或國內(nèi)標準，建立業(yè)務(wù)范圍覆蓋信息安全服務(wù)（與申報類別一致）的信息安全管 理體系或信息技術(shù)服務(wù)管理體系，并有效運行一年以上。
j) 建立信息安全服務(wù)目錄，簽訂服務(wù)級別協(xié)議。

技術(shù)工具要求
a) 具備獨立的測試環(huán)境及必要的軟、硬件設(shè)備，用于技術(shù)培訓(xùn)和模擬測試。
b) 具備承擔(dān)信息安全服務(wù)（與申報類別一致）項目所需的安全工具，并對工具進行管理和版 本控制。

服務(wù)技術(shù)要求
a) 建立信息安全服務(wù)（與申報類別一致）要求的流程，并按照流程實施。
b) 制定信息安全服務(wù)（與申報類別一致）要求的規(guī)范標準，并按照規(guī)范實施。

安信達咨詢可為您提供專業(yè)周到的CCRC信息安全服務(wù)資質(zhì)認證申請服務(wù)，我們承諾不通過不收費。歡迎廣大有需要的企業(yè)與我們聯(lián)系。電話：0755-82800197、 13418611761（微信）孫經(jīng)理。

The post CCRC一級資質(zhì)評價要求 first appeared on 深圳市安信達咨詢有限公司.

申請方可根據(jù)條件直接申請，或獲得三級資質(zhì)一年以上可提出二級申請，服務(wù)管理程序文 件需建立、發(fā)布并運行半年以上。

法律地位要求
a) 在中華人民共和國境內(nèi)注冊的獨立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。
b) 遵循國家相關(guān)法律法規(guī)、標準要求，無違法違規(guī)記錄，資信狀況良好。

財務(wù)資信要求
組織經(jīng)營狀況正常，制定并執(zhí)行財務(wù)管理制度，可為服務(wù)提供必要的財務(wù)支持。

辦公場所要求
擁有長期固定辦公場所和相適應(yīng)的辦公條件，能夠滿足機構(gòu)設(shè)置及其業(yè)務(wù)需要。

人員能力要求
a) 組織負責(zé)人擁有3年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。
b) 技術(shù)負責(zé)人具備信息安全服務(wù)（與申報類別一致）管理能力，經(jīng)評價合格（與申報類別一 致），評價要求見附錄I。
c) 項目負責(zé)人、項目工程師具備信息安全服務(wù)（與申報類別一致）技術(shù)能力，經(jīng)評價合格（與 申報類別一致），評價要求見附錄I。

業(yè)績要求
a) 從事信息安全服務(wù)（與申報類別一致）3年以上，或取得信息安全服務(wù)（與申報類別一致） 三級資質(zhì)1年以上。
b) 近三年內(nèi)簽訂并完成至少6個信息安全服務(wù)（與申報類別一致）項目。

服務(wù)管理要求
a) 建立并運行人員管理程序，識別安全服務(wù)人員的服務(wù)能力要求，明確安全服務(wù)人員的崗位 職責(zé)、技術(shù)能力要求，并通過評價證明其能夠勝任其承擔(dān)的職責(zé)。
b) 制定服務(wù)人員能力培養(yǎng)計劃，包括網(wǎng)絡(luò)與信息安全相關(guān)的技術(shù)、管理、意識等內(nèi)容，并執(zhí) 行計劃，確保服務(wù)人員持續(xù)勝任其承擔(dān)的職責(zé)。
c) 建立并運行文檔管理程序，包括組織管理、服務(wù)過程管理、質(zhì)量管理等內(nèi)容，明確產(chǎn)生、 發(fā)布、保存、傳輸、使用（包括交付和內(nèi)部使用）、廢棄等環(huán)節(jié)的文檔控制。配備檔案室 及高安全性的文件服務(wù)器。
d) 建立并運行項目管理程序，明確服務(wù)項目的組織、計劃、實施、風(fēng)險控制、交付等環(huán)節(jié)的 操作規(guī)程。
e) 建立并運行保密管理程序，明確崗位保密責(zé)任，簽訂保密協(xié)議，并能夠適時對相關(guān)人員進 行保密教育。
f) 建立與運行供應(yīng)商管理程序，明確供應(yīng)和（或）外包過程中的風(fēng)險，對供應(yīng)商和（或）承 包方的服務(wù)基本資格、服務(wù)過程控制、服務(wù)質(zhì)量、服務(wù)交付等進行識別，確保其供應(yīng)商或 承包方滿足服務(wù)安全要求（僅適用于安全集成、安全運維、災(zāi)難備份與恢復(fù)方向、工業(yè)控 制系統(tǒng)安全方向）。
g) 建立合同管理程序，制定統(tǒng)一合同模板，按照合同約定實施信息安全服務(wù)項目。按照客戶 要求，對于接觸到的客戶敏感信息和知識產(chǎn)權(quán)信息予以保護，并確保服務(wù)方人員了解客戶 的相關(guān)要求。
h) 參照國際或國內(nèi)標準，建立業(yè)務(wù)范圍覆蓋信息安全服務(wù)（與申報類別一致）的質(zhì)量管理體 系，并有效運行半年以上。
i) 參照國際或國內(nèi)標準，建立業(yè)務(wù)范圍覆蓋信息安全服務(wù)（與申報類別一致）的信息安全管 理體系或信息技術(shù)服務(wù)管理體系，并有效運行半年以上。

技術(shù)工具要求
a) 具備獨立的測試環(huán)境及必要的軟、硬件設(shè)備，用于技術(shù)培訓(xùn)和模擬測試。
b) 具備承擔(dān)信息安全服務(wù)（與申報類別一致）項目所需的安全工具，并對工具進行管理和版 本控制。

服務(wù)技術(shù)要求
a) 建立信息安全服務(wù)（與申報類別一致）要求的流程，并按照流程實施。
b) 制定信息安全服務(wù)（與申報類別一致）要求的規(guī)范標準，并按照規(guī)范實施。

安信達咨詢可為您提供專業(yè)周到的CCRC信息安全服務(wù)資質(zhì)認證申請服務(wù)，我們承諾不通過不收費。歡迎廣大有需要的企業(yè)與我們聯(lián)系。電話：0755-82800197、 13418611761（微信）孫經(jīng)理。

The post CCRC二級資質(zhì)評價要求 first appeared on 深圳市安信達咨詢有限公司.

法律地位要求
a) 在中華人民共和國境內(nèi)注冊的獨立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。
b) 遵循國家相關(guān)法律法規(guī)、標準要求，無違法違規(guī)記錄，資信狀況良好。

財務(wù)資信要求
組織經(jīng)營狀況正常，建立財務(wù)管理制度，可為安全服務(wù)提供必要的財務(wù)支持。

辦公場所要求
擁有長期固定辦公場所和相適應(yīng)的辦公條件，能夠滿足機構(gòu)設(shè)置及其業(yè)務(wù)需要。

人員能力要求
a) 組織負責(zé)人擁有2年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。
b) 技術(shù)負責(zé)人具備信息安全服務(wù)（與申報類別一致）管理能力，經(jīng)評價合格（與申報類別一 致），評價要求見附錄I。
c) 項目負責(zé)人、項目工程師具備信息安全服務(wù)（與申報類別一致）技術(shù)能力，經(jīng)評價合格， 評價要求見附錄I。

業(yè)績要求
a) 從事信息安全服務(wù)（與申報類別一致）4個月以上。
b) （監(jiān)督審核時）近1年內(nèi)簽訂并完成至少1個信息安全服務(wù)（與申報類別一致）項目。

服務(wù)管理要求
a) 建立并運行人員管理程序，識別安全服務(wù)人員的服務(wù)能力要求，明確安全服務(wù)人員的崗位 職責(zé)、技術(shù)能力要求，并通過評價證明其能夠勝任其承擔(dān)的職責(zé)。
b) 制定服務(wù)人員能力培養(yǎng)計劃，包括網(wǎng)絡(luò)與信息安全相關(guān)的技術(shù)、技能、管理、意識等內(nèi)容， 并執(zhí)行計劃，確保服務(wù)人員持續(xù)勝任其承擔(dān)的職責(zé)。
c) 建立并運行文檔管理程序，包括組織管理、服務(wù)過程管理、質(zhì)量管理等內(nèi)容，明確項目產(chǎn) 生、發(fā)布、保存、傳輸、使用（包括交付和內(nèi)部使用）、廢棄等環(huán)節(jié)的文檔控制。
d) 建立并運行項目管理程序，明確服務(wù)項目的組織、計劃、實施、風(fēng)險控制、交付等環(huán)節(jié)的 操作規(guī)程，提供項目風(fēng)險管理記錄。
e) 建立并運行保密管理程序，明確崗位保密責(zé)任，簽訂保密協(xié)議，并能夠適時對相關(guān)人員進 行保密教育。
f) 建立與運行供應(yīng)商管理程序，確保其供應(yīng)商滿足服務(wù)安全要求（僅適用于安全集成、安全 運維、災(zāi)難備份與恢復(fù)方向）。
g) 建立合同管理程序，制定統(tǒng)一合同模板，按照合同約定實施信息安全服務(wù)項目。按照客戶 要求，對于接觸到的客戶敏感信息和知識產(chǎn)權(quán)信息予以保護，并確保服務(wù)方人員了解客戶 的相關(guān)要求。

?服務(wù)技術(shù)要求
a) 建立信息安全服務(wù)（與申報類別一致）要求的流程，并按照流程實施。
b) 制定信息安全服務(wù)（與申報類別一致）要求的規(guī)范標準，并按照規(guī)范實施。

安信達咨詢可為您提供專業(yè)周到的CCRC信息安全服務(wù)資質(zhì)認證申請服務(wù)，我們承諾不通過不收費。歡迎廣大有需要的企業(yè)與我們聯(lián)系。電話：0755-82800197、 13418611761（微信）孫經(jīng)理。

The post CCRC三級資質(zhì)評價要求 first appeared on 深圳市安信達咨詢有限公司.

H3 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級評價要求
組織申報一級資質(zhì)，除滿足二級能力要求外，還應(yīng)滿足以下要求：
申請一級資質(zhì)認證的單位，至少完成10個與申請工業(yè)控制領(lǐng)域一致的完整的安全集成和安全運
維服務(wù)項目；在技術(shù)和管理方面具備安全服務(wù)的過程管理、風(fēng)險管理能力；具備針對工業(yè)控制系統(tǒng)
開展風(fēng)險評估服務(wù)、應(yīng)急處理服務(wù)的能力；具備安全問題解決的驗證和證據(jù)分析、安全服務(wù)不斷提
升改進的能力。
H3.1 服務(wù)規(guī)劃階段
H3.1.1 調(diào)研客戶需求
a) 調(diào)研客戶企業(yè)愿景，對工業(yè)控制系統(tǒng)安全業(yè)務(wù)的發(fā)展規(guī)劃和未來幾年業(yè)務(wù)發(fā)展目標。
H3.1.2 分析服務(wù)業(yè)務(wù)
a) 對客戶的安全生產(chǎn)和網(wǎng)絡(luò)安全現(xiàn)狀進行評估，調(diào)研行業(yè)安全防護的水平，明確薄弱環(huán)節(jié)。
H3.1.3 編制服務(wù)方案
a) 確定實施過程的備份機制和應(yīng)急處理方案，并與客戶充分溝通，預(yù)測應(yīng)急處理方案可能造
成的影響。
H3.1.4 組建服務(wù)團隊
a) 團隊成員必須配備能夠?qū)I(yè)控制系統(tǒng)進行應(yīng)急處理的服務(wù)人員。
H3.1.5 實施準備
a) 具有根據(jù)工業(yè)控制系統(tǒng)特點，自主開發(fā)專業(yè)檢測工具的能力。
b) 配備有處理網(wǎng)絡(luò)或信息安全事件的工具包，包括常用的系統(tǒng)命令、工具軟件等。
c) 應(yīng)根據(jù)服務(wù)的需求配備必要的服務(wù)質(zhì)量監(jiān)測手段，具備對服務(wù)行為進行審計的能力。
H3.2 服務(wù)實施階段
H3.2.1 項目實施
a) 有能力利用客戶的備用設(shè)備或仿真環(huán)境搭建控制系統(tǒng)的模擬環(huán)境，模擬真實系統(tǒng)的結(jié)果、
配置、數(shù)據(jù)、業(yè)務(wù)流程，在仿真系統(tǒng)中驗證服務(wù)內(nèi)容和測試，以保障在運系統(tǒng)的安全、穩(wěn)
定運行。
b) 建立服務(wù)過程質(zhì)量監(jiān)控機制，定期開展服務(wù)質(zhì)量評價工作，能夠?qū)Χ鄠€團隊的服務(wù)質(zhì)量的
一致性進行把控。
H3.2.2 風(fēng)險評估及應(yīng)急處置
a) 能夠?qū)I(yè)控制系統(tǒng)發(fā)生的網(wǎng)絡(luò)安全事件進行原因分析，采取措施抑制或根除潛在的安全
風(fēng)險，提交應(yīng)急處置方案。
b) 網(wǎng)絡(luò)與信息安全事件處理記錄應(yīng)具備可追溯性。
H3.2.3 系統(tǒng)運行測試
a) 制定系統(tǒng)安全性測試方案，模擬攻擊場景，在模擬環(huán)境中進行安全性測試，形成測試報告。
b) 綜合分析控制系統(tǒng)運行狀況，制定安全運維、應(yīng)急響應(yīng)方案。
H3.3 服務(wù)總結(jié)階段
H3.3.1 服務(wù)驗收
無
H3.3.2 服務(wù)交接
a) 建立應(yīng)急保障團隊，及時響應(yīng)客戶需求。
H3.3.3 服務(wù)總結(jié)
a) 建立服務(wù)項目知識庫，積累和匯總不同行業(yè)的業(yè)務(wù)知識和系統(tǒng)特點。
b) 提供詳實的網(wǎng)絡(luò)與信息安全事件處理報告，完整展現(xiàn)應(yīng)急處理服務(wù)的整個過程

安信達咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)一級評價要求 first appeared on 深圳市安信達咨詢有限公司.

H2 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)二級評價要求
組織申報二級資質(zhì)，除滿足三級能力要求外，還應(yīng)滿足以下要求：
申請二級資質(zhì)認證的單位，至少完成6個與申請工業(yè)控制領(lǐng)域一致的完整的安全集成和安全運維
服務(wù)項目；在技術(shù)和管理方面具備安全服務(wù)的過程管理、風(fēng)險管理能力；具備針對工業(yè)控制系統(tǒng)開
展風(fēng)險評估服務(wù)的能力；具備安全問題解決的驗證和證據(jù)分析、安全服務(wù)不斷提升改進的能力。
H2.1 服務(wù)規(guī)劃階段
H2.1.1 調(diào)研客戶需求
a) 調(diào)研客戶工業(yè)控制系統(tǒng)的業(yè)務(wù)邏輯、工作流程，工業(yè)控制系統(tǒng)的設(shè)備組成、網(wǎng)絡(luò)架構(gòu)等。
b) 編制完整的客戶調(diào)研報告，調(diào)研的內(nèi)容包括組織架構(gòu)、制度列表、業(yè)務(wù)流程、工業(yè)控制系
統(tǒng)資產(chǎn)信息、工業(yè)控制系統(tǒng)相關(guān)的管理人員信息等。
H2.1.2 分析服務(wù)業(yè)務(wù)
a) 了解所屬行業(yè)主管部門對工業(yè)控制系統(tǒng)安全要求。
H2.1.3 編制服務(wù)方案
a) 制定針對人員、設(shè)備、文檔、系統(tǒng)的風(fēng)險監(jiān)控措施，有效保障工業(yè)控制系統(tǒng)的安全、穩(wěn)定。
b) 對于在運工業(yè)控制系統(tǒng)，應(yīng)搭建控制系統(tǒng)的模擬環(huán)境，模擬真實系統(tǒng)的運行情況、配置、
數(shù)據(jù)、業(yè)務(wù)流程，驗證方案的有效性。
c) 安全服務(wù)技術(shù)方案和實施方案應(yīng)經(jīng)過評審，并與客戶達成一致。
H2.1.4 組建服務(wù)團隊
a) 團隊成員必須包括所服務(wù)業(yè)務(wù)領(lǐng)域的工業(yè)控制系統(tǒng)專業(yè)人員，熟悉工業(yè)控制系統(tǒng)工作原理、
業(yè)務(wù)流程和操作規(guī)程。
H2.1.5 實施準備
a) 應(yīng)根據(jù)服務(wù)的需求準備必要的工具，具有工具定制研發(fā)的能力。
b) 結(jié)合項目需要，編制安全服務(wù)項目施工手冊和作業(yè)指導(dǎo)書。
c) 對團隊成員進行安全服務(wù)技能培訓(xùn)和工業(yè)控制系統(tǒng)原理、組成和操作的培訓(xùn)。
H2.2 服務(wù)實施階段
H2.2.1 項目實施
a) 建立服務(wù)過程質(zhì)量監(jiān)控機制, 監(jiān)督工業(yè)控制系統(tǒng)安全服務(wù)實施的過程，定期開展工業(yè)控制
系統(tǒng)安全服務(wù)質(zhì)量檢查。
b) 針對工業(yè)控制系統(tǒng)業(yè)務(wù)特點和系統(tǒng)組成，分析系統(tǒng)脆弱性形成原因，識別跟蹤和驗證工業(yè)
控制系統(tǒng)的漏洞，在服務(wù)過程中采取有效措施避免安全風(fēng)險。
c) 如有遠程服務(wù)的需求，應(yīng)建立遠程訪問審批流程，經(jīng)批準后方能實施，實施過程應(yīng)采取必
要的訪問控制策略并對操作過程進行安全審計。
d) 應(yīng)編制服務(wù)過程中發(fā)現(xiàn)的工業(yè)控制系統(tǒng)安全風(fēng)險的風(fēng)險列表。
H2.2.2 風(fēng)險評估
a) 識別工業(yè)控制系統(tǒng)的重要資產(chǎn)、安全威脅、脆弱性，驗證已有的安全措施，構(gòu)建風(fēng)險分析
模型進行風(fēng)險計算和評價，給出風(fēng)險評估報告；
b) 協(xié)助用戶確定風(fēng)險處置原則，對組織不可接受的風(fēng)險提出風(fēng)險處置措施。
c) 對客戶提出完整的風(fēng)險處置方案，協(xié)助客戶進行風(fēng)險處置，必要時，對殘余風(fēng)險進行再評
估。
H2.2.3 系統(tǒng)運行測試
a) 制定系統(tǒng)安全性測試方案，在運行系統(tǒng)中或模擬環(huán)境中進行測試，完整記錄測試過程相關(guān)
信息，形成系統(tǒng)測試報告。
H2.3 服務(wù)總結(jié)階段
H2.3.1 服務(wù)驗收
a) 應(yīng)建立程序，對服務(wù)驗收中可能存在的重要分歧或者遺漏及時更正，并將更正后的驗收報
告提交給用戶方。
H2.3.2 服務(wù)交接
a) 建立客戶滿意度調(diào)查機制。
H2.3.3 服務(wù)總結(jié)
a) 驗證在服務(wù)過程中發(fā)現(xiàn)的工業(yè)控制系統(tǒng)的漏洞，建立管理機制跟蹤漏洞的消缺情況。

安信達咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、信息安全災(zāi)難備份與恢復(fù)服務(wù)資質(zhì)一級申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)二級評價要求 first appeared on 深圳市安信達咨詢有限公司.

G3 網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)一級評價要求
組織申報一級資質(zhì)，除滿足二級能力要求外，還應(yīng)滿足以下要求：
申請一級資質(zhì)認證的單位，至少完成10個以上不同行業(yè)（如金融、電信、能源、醫(yī)療、公共部
門等）完整的網(wǎng)絡(luò)安全審計項目，項目審計目標應(yīng)覆蓋至少合規(guī)、安全、績效等；具備確定審計目
標和范圍、確定審計依據(jù)的能力；具備實施現(xiàn)場審計、報告審計發(fā)現(xiàn)和形成審計結(jié)論的能力；具備
提出審計建議的能力。
G3.1 審計對象識別
G3.1.1 了解被審計方業(yè)務(wù)和IT情況
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和管理審計對象庫。
b) 具備為被審計方提供審計對象管理工具的能力。
G3.1.2 了解被審計方組織管理和IT管理情況
應(yīng)建立審計調(diào)研報告分級復(fù)核制度，明確規(guī)定各級復(fù)核人員的要求和責(zé)任。
G3.2 編制審計實施方案
G3.2.1 確定網(wǎng)絡(luò)安全審計目標
無
G3.2.2 確定網(wǎng)絡(luò)安全審計依據(jù)
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和維護常用審計依據(jù)庫，并確保審計依據(jù)是當(dāng)前適用版本。
b) 具備為被審計方提供審計依據(jù)管理工具的能力。
G3.2.3 確定網(wǎng)絡(luò)安全審計范圍和審計內(nèi)容
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和維護審計范圍、審計對象、審計依據(jù)要求項、審計程序（方
法）、所需資源的對應(yīng)關(guān)系。
b) 具備為被審計方提供審計范圍、審計對象、審計依據(jù)要求項、審計程序（方法）、所需資
源等對應(yīng)關(guān)系管理工具的能力。
G3.2.4 組建審計組
對于特定行業(yè)領(lǐng)域的網(wǎng)絡(luò)安全審計，應(yīng)具備聘請外部行業(yè)技術(shù)專家作為審計組成員。
G3.3 審計取證與評價
G3.3.1 審計取證
a) 應(yīng)至少具備和使用數(shù)據(jù)分析類、漏洞和缺陷掃描類、系統(tǒng)配置和運行日志檢查類等類型的
審計工具取證的能力。
b) 利用審計工具取證時，應(yīng)采取措施確保對審計對象的風(fēng)險最小化。
G3.3.2 編制審計工作底稿
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來歸檔和保管審計工作底稿。
b) 具備為被審計方提供審計工作底稿管理工具的能力。
G3.3.3 審計評價
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來管理審計發(fā)現(xiàn)列表。
b) 具備為被審計方提供審計發(fā)現(xiàn)列表管理工具的能力。
G3.4 審計報告
G3.4.1 一般原則
應(yīng)利用應(yīng)用系統(tǒng)工具來管理審計報告。
G3.4.2 審計報告的內(nèi)容
在審計的任何階段，如果遇到或發(fā)現(xiàn)與審計目標和內(nèi)容有關(guān)的重大問題，如違法違規(guī)問題、重
大安全風(fēng)險等，應(yīng)出具審計專報。
G3.4.3 交付審計報告
具備為被審計方提供審計報告管理工具的能力。
G3.5 跟蹤審計
G3.5.1 一般原則
無
G3.5.2 跟蹤審計報告
跟蹤審計報告的管理參照G3.4審計報告。
G3.6 審計質(zhì)量控制
G3.6.1 審計質(zhì)量控制制度
a) 應(yīng)監(jiān)督網(wǎng)絡(luò)安全審計實施的過程。
b) 應(yīng)定期開展網(wǎng)絡(luò)安全審計質(zhì)量檢查。

安信達咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)一級申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)一級評價要求 first appeared on 深圳市安信達咨詢有限公司.

G2 網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)二級評價要求
組織申報二級資質(zhì)，除滿足三級能力要求外，還應(yīng)滿足以下要求：
申請二級資質(zhì)認證的單位，至少完成6個完整的網(wǎng)絡(luò)安全審計項目；具備確定審計目標和范圍、
確定審計依據(jù)的能力；具備實施現(xiàn)場審計、報告審計發(fā)現(xiàn)和形成審計結(jié)論的能力；具備提出審計建
議的能力。
G2.1 審計對象識別
G2.1.1 了解被審計方業(yè)務(wù)和IT情況
a) 編制審計對象列表，包括審計對象的數(shù)量、容量、功用、版本等屬性。
b) 梳理被審計方業(yè)務(wù)邏輯、應(yīng)用系統(tǒng)處理邏輯和IT基礎(chǔ)設(shè)施架構(gòu)。
G2.1.2 了解被審計方組織管理和IT管理情況
a) 梳理被審計方規(guī)章制度文件，形成審計項并編制對應(yīng)檢查表。
b) 編制完整審計調(diào)研報告，并說明重點審計項。
c) 制定審計風(fēng)險評價準則，評價審計風(fēng)險，為確定重點審計項和明確審計內(nèi)容提供依據(jù)。
G2.2 編制審計實施方案
G2.2.1 確定網(wǎng)絡(luò)安全審計目標
網(wǎng)絡(luò)安全審計目標應(yīng)經(jīng)過評審，并與被審計方達成一致。
G2.2.2 確定網(wǎng)絡(luò)安全審計依據(jù)
應(yīng)建立并維護常用審計依據(jù)庫，并確保審計依據(jù)是當(dāng)前適用版本。
G2.2.3 確定網(wǎng)絡(luò)安全審計范圍和審計內(nèi)容
應(yīng)建立審計范圍、審計對象、審計依據(jù)要求項、審計程序（方法）、所需資源的對應(yīng)關(guān)系。
G2.2.4 組建審計組
應(yīng)指定審計組長、主審和審計組成員，并明確分配審計任務(wù)。
G2.3 審計取證與評價
G2.3.1 審計取證
a) 應(yīng)具備至少利用一種網(wǎng)絡(luò)安全審計工具執(zhí)行審計取證的能力。
b) 對電子形式存在的審計證據(jù)，應(yīng)做好取證記錄，并經(jīng)被審計方相關(guān)人員確認。
c) 應(yīng)采取必要的措施，保護取證過程中所采集的電子數(shù)據(jù)的安全。
G2.3.2 編制審計工作底稿
a) 應(yīng)建立審計工作底稿的分級復(fù)核制度，明確規(guī)定各級復(fù)核人員的要求和責(zé)任。
b) 審計工作底稿的內(nèi)容應(yīng)包括但不限于被審計部門的名稱，審計事項及其期間或者截止日期，
審計程序的執(zhí)行過程及結(jié)果記錄，審計結(jié)論、意見及建議，審計人員姓名和審計日期，復(fù)
核人員姓名、復(fù)核日期和復(fù)核意見，編號及頁次，被審計方意見、附件等。
G2.3.3 審計評價
應(yīng)編制審計發(fā)現(xiàn)列表。
G2.4 審計報告
G2.4.1 一般原則
應(yīng)建立審計報告分級復(fù)核制度，明確規(guī)定各級復(fù)核人員的要求和責(zé)任。
G2.4.2 審計報告的內(nèi)容
a) 審計報告中應(yīng)提出審計發(fā)現(xiàn)問題改進建議。
b) 應(yīng)建立程序，對已經(jīng)出具的審計報告可能存在的重要錯誤或者遺漏及時更正，并將更正后
的審計報告提交給原審計報告接收者。
G2.4.3 交付審計報告
c) 應(yīng)建立審計報告歸檔和保管制度。任何組織或者個人查閱和使用歸檔后的審計報告，必須
經(jīng)審計機構(gòu)負責(zé)人批準，但國家有關(guān)部門依法進行查閱的除外。
d) 審計報告歸被審計方所有，被審計方對審計報告的使用、保管等有明確要求的，應(yīng)遵守其
要求。
G2.5 跟蹤審計
G2.5.1 一般原則
應(yīng)編制跟蹤審計方案，對后續(xù)審計做出安排。
G2.5.2 跟蹤審計報告
跟蹤審計報告的管理參照G2.4審計報告。
G2.6 審計質(zhì)量控制
G2.6.1 審計質(zhì)量控制制度
a) 應(yīng)建立網(wǎng)絡(luò)安全審計工作手冊，規(guī)范網(wǎng)絡(luò)安全審計全生命周期內(nèi)的所有活動。
b) 確保審計質(zhì)量控制制度與網(wǎng)絡(luò)安全審計工作手冊相適應(yīng)。

安信達咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)二級申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)二級評價要求 first appeared on 深圳市安信達咨詢有限公司.

安信達咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)三級申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)三級評價要求 first appeared on 深圳市安信達咨詢有限公司.

F3 信息安全運維服務(wù)資質(zhì)一級評價要求
組織申報一級資質(zhì)，除滿足二級能力要求外，還應(yīng)滿足以下要求：
F3.1 準備階段
F3.1.1 需求調(diào)研與分析
a) 內(nèi)部團隊之間的安全運營級別協(xié)議應(yīng)和與安全運維第三方之間的服務(wù)級別設(shè)計保持一致。
b) 安全組織中要設(shè)定安全領(lǐng)導(dǎo)小組。
F3.2 方案設(shè)計階段
a) 建立信息系統(tǒng)應(yīng)急事件響應(yīng)機制和恢復(fù)保障。
b) 編制安全運維項目作業(yè)指導(dǎo)書。
c) 建立應(yīng)急響應(yīng)和災(zāi)難恢復(fù)機制，形成業(yè)務(wù)連續(xù)性計劃。
d) 基于漏洞發(fā)現(xiàn)與分析進行信息系統(tǒng)漏洞的管理工作。
F3.3 服務(wù)實施階段
a) 實施安全培訓(xùn)服務(wù)：完成安全意識、基本安全技術(shù)的培訓(xùn)服務(wù)。
b) 實施安全通告及漏洞分析服務(wù)：完成業(yè)界動態(tài)的通告、收集國家安全政策及法律法規(guī)、漏
洞通告、病毒通告、廠商安全通告及其他安全通告。
c) 實施應(yīng)急響應(yīng)服務(wù)：完成應(yīng)急響應(yīng)預(yù)案制定，對應(yīng)急事件及時響應(yīng)，并對應(yīng)急預(yù)案進行演
練，形成相關(guān)記錄。
d) 依據(jù)運維變更管理程序，對運維實施過程中方案、資源變更進行有效控制，完整記錄變更
過程。
e) 制定運維應(yīng)急處置方案和恢復(fù)策略，對運維過程中的應(yīng)急事件及時進行響應(yīng)。
f) 依據(jù)風(fēng)險評估方案與計劃實施信息系統(tǒng)風(fēng)險評估；依據(jù)滲透測試方案與計劃實施信息系統(tǒng)
滲透測試。
g) 依據(jù)漏洞管理方案實施信息系統(tǒng)漏洞管理工作。
F3.4 運維服務(wù)報告階段
a) 對客戶滿意度進行趨勢分析。
b) 對客戶系統(tǒng)的安全態(tài)勢做出分析，并給出安全建議。

安信達咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、信息安全運維服務(wù)資質(zhì)一級申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 信息安全運維服務(wù)資質(zhì)一級評價要求 first appeared on 深圳市安信達咨詢有限公司.

F2 信息安全運維服務(wù)資質(zhì)二級評價要求
組織申報二級資質(zhì)，除滿足三級能力要求外，還應(yīng)滿足以下要求：
F2.1 準備階段
F2.1.1 需求調(diào)研與分析
a) 分析客戶對信息系統(tǒng)安全服務(wù)的需求和類型。
b) 收集與分析信息系統(tǒng)的可用性指標。
c) 分析以往服務(wù)的數(shù)據(jù)，提取出來未來可自動化的服務(wù)(監(jiān)審時適用)。
F2.1.2 簽訂服務(wù)協(xié)議
簽訂服務(wù)級別協(xié)議。
F2.2 方案設(shè)計階段
a) 編制信息系統(tǒng)的可用性計劃，監(jiān)控可用性事件，報告可用性執(zhí)行，指導(dǎo)可用性的改進。
b) 識別與分析信息系統(tǒng)運維過程中的歷史數(shù)據(jù)，提出系統(tǒng)運維的保障策略和解決方案（監(jiān)審
時適用）。
c) 編制信息系統(tǒng)的安全基線。
d) 建立信息系統(tǒng)安全的配置庫。
F2.3 服務(wù)實施階段
a) 收集與建立配置管理數(shù)據(jù)庫，確保配置項目的機密性、完整性、可用性（專職管理）。
b) 實施安全設(shè)備、網(wǎng)絡(luò)設(shè)備、中間件、數(shù)據(jù)庫、服務(wù)器等資產(chǎn)的安全配置管理，定期對配置
項進行更新和維護。
c) 根據(jù)制定的安全配置基線，定期進行安全配置核查工作。
d) 實施運維監(jiān)控與分析并形成記錄。
F2.4 運維服務(wù)報告階段
a) 應(yīng)定期收集與分析安全運維的關(guān)鍵指標數(shù)據(jù)，數(shù)據(jù)包括但不限于：異常報告及時率、異常
漏報率、故障隱患發(fā)現(xiàn)率、異常主動發(fā)現(xiàn)率、問題解決率、漏洞掃描覆蓋率、加固設(shè)備覆
蓋率、安全補丁安裝及時率、安全事件次數(shù)。（參照服務(wù)合同）
b) 建立客戶滿意度調(diào)查機制。

安信達咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、信息安全運維服務(wù)資質(zhì)二級申請咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

The post 信息安全運維服務(wù)資質(zhì)二級評價要求 first appeared on 深圳市安信達咨詢有限公司.