关于信息安全服务资质认证 2docx.docx
《关于信息安全服务资质认证 2docx.docx》由会员分享,可在线阅读,更多相关《关于信息安全服务资质认证 2docx.docx(52页珍藏版)》请在冰豆网上搜索。
关于信息安全服务资质认证2docx
一体化认证审核/评价记录表
自评价及评审表
项目编号
受审核/评价方名称
审核/评价类别
☐信息安全☐信息技术服务☐业务连续性☐质量☐工程建设施工企业质量☐数据中心服务能力成熟度评价 ☐管理评价
审核/评价类型
☐预审核 ☐初次认证(☐第一阶段☐第二阶段)☐监督☐再认证☐变更☐其他
审核地点
审核范围
组织范围:
物理范围:
业务范围:
填表信息
填表人:
填表部门:
取证时间:
评审信息
评审人
评审时间:
ﻬ
填表说明:
1、规范化方式为组织为规范条款相关活动而采取的具体行动的方式,如果通过制度文件提出要求规范化方式为“文件规定”,如果没有制度文件采用工具进行约束规范化方式为“工具实现",组织可以同时采用两种方式。
如果组织未针对标准要求建立任务规范要求,则选无,但需注意没有进行规范并不意味组织未执行相关活动,组织可能采用约定俗成的方式开展活动,这可能与组织的文档化粗细程度有关。
确定了规范化方式要记录原因、文件名称或工具名称。
2、“规范关键要求”为组织文件关键要求或工具的规范方式,“资源要求”是执行该活动需要的资源,包括人、财、技术和信息。
3、“规范执行证据”要填写活动执行的证据,如果为文档证据,需要填写抽样的文档的名称和或编号,如果是工具实现,可通过记录或图片的方式。
本文件可以附证据附件,需要在证据内容一栏填写附件名称。
资源保障证据类似。
4、“执行绩效评价”为活动设定的绩效目标与实际执行结果。
5、如果相关条款即存在不符合也存在观察项,评价一栏可以多选。
6、请在“证据内容”中体现审核范围的相关信息,例如物理环境审核应体现地址,抽样记录应体现涉及的业务和部门。
7、评审一栏由审核方填写,其他栏由受审核方填写,如果选择补充证据,请在评审栏说明需要补充的证据.
章节
标准要求
证据提供人员/部门
规范化方式
证据内容
评价
评审
8服务管理体系的运行
8.2 服务组合
8.2.1服务交付
组织应运行,确保活动和资源的协调。
组织应实施要求的活动以交付服务。
注:
服务组合用于管理所有服务的整个生命周期,这些服务包括提出的服务,正在开发的服务,服务目录中所定义的正在提供的服务和以及已经下线的服务.服务组合的管理确保服务提供者有正确的服务组合。
本标准中的服务组合活动包括服务规划、服务生命周期涉及的各方的控制,服务目录管理,资产管理和配置管理。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.2。
2服务规划
应确定并文档化已经存在的服务、新服务和变更服务的服务要求.
组织应基于组织、客户、用户和其他相关方的需要确定服务的关键程度.组织应确定并管理服务之间的相关性和可复用性.
组织应根据需要在考虑已知限制和风险下提出变更,以使服务与服务管理方针、服务管理目标和服务要求保持一致。
组织应在考虑可用资源的情况下,优先考虑变更请求和新变更服务的提议,以与业务需要和服务管理目标保持一致.
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.2.3服务生命周期涉及的各方的控制
8。
2。
3.1无论生命周期中哪一方实施的活动,组织都要承担满足本标准要求和交付服务的责任
组织应确定并应用指标以评价和选择服务生命周期涉及的其他方。
其他方可以是外部供应商、内部供应商或承担供应商角色的客户。
其他方不应提供和运行所有的服务、服务组件或范围内的所有过程。
组织应确定并记录:
a)ﻩ其他方提供或运行的服务;
b)ﻩ其他方提供或运行的服务组件
c)ﻩ组织内其他方运行过程或过程的一部分.
组织应整合内由组织或其他方提供或运行的服务、服务组件和过程,以满足服务要求。
组织应与服务生命周期中涉及的其他方协调活动,包括服务的规划、设计、转换、交付和改进。
8。
2.3.2ﻩ组织应在以下方面,对其他方定义和应用相关控制:
a)ﻩ过程绩效的测量和评价;
b)ﻩ服务和服务组件在满足服务要求方面的有效性的测量和评价
注:
20000-3提供了服务生命周期涉及的其他方的控制指南。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8。
2。
4服务目录管理
组织应创建和维护一个或多个服务目录.服务目录应包含组织、客户、用户和其他相关方的信息以描述服务及其结果,以及服务之间的依赖关系.
组织应向其客户、用户和其他相关方提供对服务目录的适当部分的访问。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.2.5资产管理
组织应确保对用于交付服务的资产进行管理以满足服务要求和6.3c)中描述的义务.
注1:
55001和19770—1中关于资产和资产管理的实施和运行的具体要求
注2:
另外,如果资产同时是配置项要看配置管理。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.2.6配置管理
应定义的类型,服务应作为进行分类。
配置信息应根据服务的重要性和类型确定记录信息的详细程度。
配置信息的访问应受到控制,配置信息应为每个配置项记录如下信息:
a)ﻩ唯一识别
b)的类型
c)的描述
d)与其他的关系
e)状态
配置项应得到控制,对配置项的变更应可追溯和可审核以保持配置信息的完整性.
在计划的时间间隔,组织应核实配置信息的准确性。
发现错误时,组织应采取必要的措施。
配置信息应对其他服务管理活动适当可用.
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8。
3关系和协议
8.3.1总则
组织可以使用供应商:
a)ﻩ提供或运行服务
b)ﻩ提供或运行服务组件
c)ﻩ运行组织服务管理体系的过程或过程的部分。
图2展示了业务关系管理、服务水平管理和供应商管理之间的用法、协议和关系
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.3.2业务关系管理
应识别和文档化服务的客户、用户和其他相关方。
组织应有一个或多个指定的人员负责管理客户关系和保持客户满意度.
组织应为与其客户和其他相关方的沟通建立安排。
沟通应促进对服务运行涉及的业务环节进行理解,并应能够确保组织可以应答新的或变更的服务请求。
根据计划的时间间隔,组织应评审服务的绩效趋势和输出。
根据计划的时间间隔,组织应基于具有代表性的客户进行服务满意度的测量。
应对结果进行分析、评审以识别改进的机会并对其进行报告.
应对服务投诉进行记录、管理以关闭并报告.如果服务通过正常的渠道无法得到解决,应提供升级的方法,
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8。
3.3服务水平管理
组织和客户应为交付的服务达成协议。
对于每一个服务交付,组织应基于文档化的服务要求建立一个或多个.应包括服务水平目标,工作量限制和例外。
根据计划的时间间隔,组织应监视、评审和报告:
a)ﻩ针对服务水平目标的绩效;
b)ﻩ与中的工作限制相比较的在工作量上的实际的和周期的改变。
如果服务水平目标没有实现,组织应识别改进的机会。
注:
组织和客户之间的服务协议可以有很多形式,例如文档化的协议,会议上的口头协议,电子邮件中写明的协议或服务或同意的服务条款。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8。
3。
4供应商管理
8.3.4。
1ﻩ外部供应商管理
组织应有一个或多个指定的人员管理外部供应商的关系、合同和绩效。
组织和外部供应商应签署正式的合同。
合同应包含如下内容或包括相关引用:
a)ﻩ服务的范围,服务组件,由外部供应商提供或运行的过程或过程的部分;
b)ﻩ外部供应商要满足的要求;
c)ﻩ服务水平目标或其他的合同义务;
d)ﻩ组织和外部供应商的权力和责任.
组织应评估外部供应商的服务水平目标或其他合同义务与客户的一致性,并管理已识别的风险。
组织应定义和管理与外部供应商的接口。
根据计划的时间间隔,组织应监视外部供应商的绩效。
如果服务水平目标或其他合同义务没有达到,组织应确保识别改进的机会。
根据计划的时间间隔,组织应评审合同与当前服务要求的一致性。
对于识别出的合同变更需求,在变更实施之前应评估变更对服务管理体系和服务产生的影响.
组织和外部供应商之间的争议应进行记录和管理直至关闭.
8.3.4.2ﻩ内部供应商和作为供应商的客户的管理
对于每一个内部供应商或作为供应商的客户,组织应开发,商定和保持一份文档化的协议以定义服务水平目标,其他承诺,活动以及双方之间的接口.
根据计划的时间间隔,组织应监视内部供应商或作为供应商的客户的绩效。
如果服务水平目标或其他商定的承诺没有实现,组织应确保识别改进的机会。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8。
4 供需
8.4.1服务预算与核算
组织应根据财务管理策略和过程对服务和服务组进行预算和核算。
应对成本进行预算以确保有效的财务控制和服务决策。
根据计划的时间间隔,组织应根据预算监视和报告实际的成本,评审财务预测和管理成本。
注:
很多,但不是所有的组织对他们的服务收费,本标准中的服务预算和核算不包括收费以确保可应用于于所有组织.
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8。
4.2需求管理
根据计划的时间间隔,组织应:
a)ﻩ为服务确定当前需求和预测未来需求;
b)ﻩ监视和报告服务的未来和现实需求;
注:
需求管理负责掌握当前和未来客户服务需求,能力管理与需求管理协同工作以规划和提供足够的能力以满足需求.
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.4。
3能力管理
应确定、文档化和维护对人、技术、信息和财务资源的能力要求。
在此过程中应考虑服务和绩效要求.
组织应进行能力规划,规划内容包括:
a)ﻩ基于服务需求的当前和预测的能力
b)对协商的服务水平目标、服务可用性和服务连续性要求的能力的预计影响;
c)ﻩ服务能力变更的时间表和阀值。
组织应提供足够的能力以满足协商的能力和绩效要求。
组织应监视能力使用、分析能力和绩效数据并识别绩效改进的机会。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8。
5服务设计、建立和转换
8。
5。
1变更管理
8.5.1.1变更管理方针
应建立和文档化变更管理方针,方针应定义:
a)ﻩ变更管理控制下的服务组件和其他项;
b)ﻩ变更类别和如何对其进行管理,包括紧急变更;
c)ﻩ确定可能对客户和服务产生重大影响的变更的判断标准。
8.5.1.2ﻩ变更管理启动
变更请求应进行记录和分类,包括增加、移除或转移服务。
组织应为下列变更使用在8.5.2中的服务设计和转换:
a)依据变更管理方针确定的对客户或其他服务有潜在重大影响的新服务;
b)ﻩ依据变更管理方针确定的对客户或其他服务有潜在重大影响的服务的变更;
c)ﻩ依据变更管理方针通过服务设计和转换进行管理的变更分类;
d)ﻩ服务的下线;
e)ﻩ已存在的服务从组织到客户或其他相关方的转移;
f)ﻩ已存在的服务从客户或其他相关方向组织的转移。
8.5.2管理范围内的新的或变更的服务的评估、批准、计划和评审应通过8。
5.1。
3变更管理活动进行管理。
不通过8。
5.2进行管理的变更请求应通过8。
5.1.3变更管理活动进行管理。
8.5。
1.3ﻩ变更管理活动
组织和相关方应为请求的优先级和批准做出决定。
做决定时应考虑风险、业务收益,可行性和财务影响。
还应该考虑变更对以下方面的潜在影响:
a)已存在的服务;
b)ﻩ客户、用户和其他相关方;
c)ﻩ本文档要求的方针、策略和规划;
d)能力、服务可用性、服务连续性和信息安全;
e)ﻩ其他变更请求,发布和部署计划。
批准的变更应进行准备、验证,如果有可能进行测试。
针对已批准变更的计划部署日期和其他部署细节应与相关方进行沟通.
对于不成功变更的回退和补救活动应进行规划,如果可能进行测试。
不成功的变更应进行调查并采取商定的行动。
配置信息应依据变更的部署进行更新。
组织应评审变更的有效性,并采取与相关方商定的行动.
应按计划的时间间隔,对变更请求记录进行分析以发现趋势。
分析得出的结果和结论应进行记录和评审以识别改进的机会.
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.5。
2服务设计和转换
8.5.2.1ﻩ规划新的或变更的服务
规划应使用8.2.2中确定的新的或变更的服务要求,并应包含或应用如下内容:
a)ﻩ设计、构建和转换活动的权力和职责;
b)ﻩ组织或其他方按照他们的时间表执行的活动;
c)ﻩ人、技术、信息和财务资源;
d)对其他服务的依赖性;
e)ﻩ新的或变更的服务应进行的测试;
f)ﻩ服务接受标准;
g)ﻩ交付新的或变更的服务预期输出,输出应可测量;
h)ﻩ对、计划的变更、客户、用户和其他相关方的影响。
对于撤销的服务,规划还应该包括服务撤销的日期和存档活动,数据、文档化信息和服务组件的处置和转移。
对于转移的服务,规划还应该包含服务转换的日期和数据、文档化信息、知识和服务组件的转移活动。
受新或变更服务影响的配置项应通过配置管理进行管理。
8.5.2。
2ﻩ设计
应设计和文档化新或变更服务以满足在8。
2。
2中确定的服务要求。
设计应包括以下相关内容:
a)ﻩ新或变更服务交付过程中涉及的各方的权力和职责;
b)人、技术、信息和财务资源的变化要求;
c)ﻩ适当的教育、培训和经验的要求;
d)用于支持服务的新或变更的,合同和其他文档化协议;
e)ﻩ的变更,包括新的或变更的策略、规划、过程、程序、措施和知识;
f)ﻩ对其他服务的影响;
g)对服务目录的更新。
8。
5。
2。
3ﻩ构建和转换
应构建和测试新或变更的服务以确认满足服务要求,符合设计文档并满足商定的服务接受标准。
如果服务接受标准不满足,组织和相关方应针对必要的活动和部署做出决定。
发布和部署管理流程应被用于部署已批准的新的或变更的服务到运行环境中。
转换活动完成后,组织应向相关方报告预期结果的实现情况.
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.5.3发布和部署管理
组织应定义发布的类型,包括紧急发布,其频率和如何进行管理.
组织应对新的或变更的服务或服务组件部署到运行环境中进行规划。
规划应与变更管理保持协调,并包含相关变更请求、已知错误或通过该发布进行关闭的问题的索引。
规划应包括每一个变更部署的日期,交付物和部署的方式。
发布应被确认满足文档化的可接受标准并在部署前得到批准.如果可接受标准不被满足,组织和相关方应对采取的必要行动和部署做出决定。
在发布部署到运行环境中之前,应建立受影响配置项的基线。
发布应部署到运行环境中,以保持服务或服务组件的完整性.
发布的成功或失败应进行监控和分析。
测量应包括发布部署后一段时期与发布相关的事件。
分析结果和结论应进行记录和评审,以识别改进的机会。
关于发布的成功和失败的信息和未来发布日期应对其他服务管理活动适当可用。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.6解决和实现
8.6。
1事件管理
事件应被:
a)记录和分类
b)在考虑了影响和紧急程度的情况下进行分级
c)ﻩ如果需求进行升级;
d)解决
e)关闭
事件记录应根据采取的行动进行更新
组织应确定指标以识别重大事件。
应依据文档化程序对重大事件进行分类和管理。
重大事件应通知最高管理者。
组织应为每一个重大事件的管理分配职责。
事件解决后,应对重大事件进行报告和评审以识别改进的机会。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.6.2服务请求管理
服务请求应:
a)ﻩ记录和分类
b)ﻩ确定优先级
c)ﻩ响应和处置
d)ﻩ关闭
服务请求记录应根据采取的行动进行更新
服务请求响应和处置的说明文件应对参与服务请求响应和处置的人员可用。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.6.3问题管理
组织应分析事件的数据和趋势以识别问题.组织进行根本原因分析和确定潜在的行动以预防事件的发生和再发生.
问题应被:
a)记录和分类
b)ﻩ分级
c)ﻩ如果需要进行升级
d)ﻩ如果可能进行解决
e)ﻩ关闭
问题记录应根据采取的行动进行更新。
解决问题需要的变更应依据变更管理方针进行管理。
如果根本原因已得到识别,但是问题不能永久的解决,组织应确定行动去减少或消除问题对服务的影响。
已知错误应被记录,关于已知错误和问题解决的最新信息应对其他服务管理活动适当可用.
根据计划的时间间隔,问题解决的有效性应进行监视、评审和报告.
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.7 服务保障
8.7。
1服务可用性管理
根据计划的时间间隔,应对服务可用性相关的风险进行评估和文档化.组织应确定服务可用性要求和目标,商定要求时应考虑相关业务要求,服务要求,和风险。
服务可用性要求和目标应文档化并保持。
应对服务可用性进行监视,记录其结果并与目标进行比较。
计划外不可用应进行调查并采取必要的行动。
注:
6.1中的风险识别可以为服务可用性,服务连续性和信息安全风险提供输入。
姓名/部门:
☐无,原因:
☐文件规定,文件名称:
☐工具实现,工具名称:
【规范关键要求和资源要求】:
【规范执行证据和资源保障证据】:
【规范执行绩效评价】:
☐符合
☐不符合
☐待观察
☐通过
☐补充证据
☐直接采用
☐重新取证
☐补充取证
8.7.2服务连续性管理
按照计划的时间间隔,服务连续性的风险应进行评估并文档化.组织应确定服务连续性要求。
商定的要求应考虑相关业务要求,服务要求、和风险。
组织应创建、实施和保持一个或多个服务连续性计划.服务连续性计划应包含下列内容或相关内容的索引:
a)ﻩ启动服务连续性的条件和责任;
b)服务重大损失情况下执行的程序;
c)ﻩ服务连续性计划启用时的服务可用性目标;
d)服务恢复要求;
e)ﻩ恢复到正常工作环境的方法
当访问正常的服务地点受阻时,应能访问到服务连续性计划和联系人名单。
按照计划的时间间隔,服务连续性计划应进行测试以满足服务连续性要求。
服务连续性计划应在服务环境重大变更后进行重新测试。
测试的结果应进行记录。
每次测试结束后和服务连续性计划启用后应对其进行评审。
如果发现缺陷组织应采取必要的措施。