关于信息安全服务资质认证 2docx.docx

1、关于信息安全服务资质认证 2docx一体化认证审核/评价记录表自评价及评审表项目编号受审核评价方名称审核/评价类别信息安全 信息技术服务 业务连续性 质量 工程建设施工企业质量 数据中心服务能力成熟度评价管理评价审核/评价类型预审核初次认证(第一阶段 第二阶段) 监督 再认证 变更 其他审核地点审核范围组织范围：物理范围:业务范围：填表信息填表人:填表部门:取证时间:评审信息评审人评审时间:填表说明：1、规范化方式为组织为规范条款相关活动而采取的具体行动的方式，如果通过制度文件提出要求规范化方式为“文件规定”，如果没有制度文件采用工具进行约束规范化方式为“工具实现，组织可以同时采用两种方式。如

2、果组织未针对标准要求建立任务规范要求，则选无，但需注意没有进行规范并不意味组织未执行相关活动，组织可能采用约定俗成的方式开展活动,这可能与组织的文档化粗细程度有关。确定了规范化方式要记录原因、文件名称或工具名称。2、“规范关键要求”为组织文件关键要求或工具的规范方式,“资源要求”是执行该活动需要的资源，包括人、财、技术和信息。3、“规范执行证据”要填写活动执行的证据,如果为文档证据，需要填写抽样的文档的名称和或编号，如果是工具实现,可通过记录或图片的方式。本文件可以附证据附件，需要在证据内容一栏填写附件名称。资源保障证据类似。4、“执行绩效评价”为活动设定的绩效目标与实际执行结果。5、如果相关

3、条款即存在不符合也存在观察项，评价一栏可以多选。6、请在“证据内容”中体现审核范围的相关信息，例如物理环境审核应体现地址,抽样记录应体现涉及的业务和部门。7、评审一栏由审核方填写，其他栏由受审核方填写，如果选择补充证据,请在评审栏说明需要补充的证据.章节标准要求证据提供人员/部门规范化方式证据内容评价评审8 服务管理体系的运行82服务组合8.服务交付组织应运行,确保活动和资源的协调。组织应实施要求的活动以交付服务。注：服务组合用于管理所有服务的整个生命周期,这些服务包括提出的服务,正在开发的服务，服务目录中所定义的正在提供的服务和以及已经下线的服务.服务组合的管理确保服务提供者有正确的服务组合

4、。本标准中的服务组合活动包括服务规划、服务生命周期涉及的各方的控制，服务目录管理，资产管理和配置管理。姓名/部门：无，原因：文件规定,文件名称：工具实现,工具名称：【规范关键要求和资源要求】： 【规范执行证据和资源保障证据】： 【规范执行绩效评价】：符合不符合待观察通过补充证据直接采用重新取证补充取证82。2服务规划应确定并文档化已经存在的服务、新服务和变更服务的服务要求.组织应基于组织、客户、用户和其他相关方的需要确定服务的关键程度.组织应确定并管理服务之间的相关性和可复用性.组织应根据需要在考虑已知限制和风险下提出变更，以使服务与服务管理方针、服务管理目标和服务要求保持一致。组织应在考虑可

5、用资源的情况下,优先考虑变更请求和新变更服务的提议,以与业务需要和服务管理目标保持一致.姓名/部门：无，原因：文件规定,文件名称：工具实现，工具名称:【规范关键要求和资源要求】： 【规范执行证据和资源保障证据】： 【规范执行绩效评价】:符合不符合待观察通过补充证据直接采用重新取证补充取证.3服务生命周期涉及的各方的控制8。.1 无论生命周期中哪一方实施的活动，组织都要承担满足本标准要求和交付服务的责任组织应确定并应用指标以评价和选择服务生命周期涉及的其他方。其他方可以是外部供应商、内部供应商或承担供应商角色的客户。其他方不应提供和运行所有的服务、服务组件或范围内的所有过程。组织应确定并记录:a

6、）其他方提供或运行的服务;）其他方提供或运行的服务组件c)组织内其他方运行过程或过程的一部分.组织应整合内由组织或其他方提供或运行的服务、服务组件和过程，以满足服务要求。组织应与服务生命周期中涉及的其他方协调活动,包括服务的规划、设计、转换、交付和改进。8。2.2组织应在以下方面，对其他方定义和应用相关控制:a）过程绩效的测量和评价;）服务和服务组件在满足服务要求方面的有效性的测量和评价注:200-3提供了服务生命周期涉及的其他方的控制指南。姓名部门:无,原因：文件规定,文件名称:工具实现,工具名称:【规范关键要求和资源要求】： 【规范执行证据和资源保障证据】： 【规范执行绩效评价】： 符合不

7、符合待观察通过补充证据直接采用重新取证补充取证8。4服务目录管理组织应创建和维护一个或多个服务目录.服务目录应包含组织、客户、用户和其他相关方的信息以描述服务及其结果，以及服务之间的依赖关系.组织应向其客户、用户和其他相关方提供对服务目录的适当部分的访问。姓名部门：无,原因:文件规定，文件名称:工具实现,工具名称：【规范关键要求和资源要求】：【规范执行证据和资源保障证据】: 【规范执行绩效评价】: 符合不符合待观察通过补充证据直接采用重新取证补充取证8.25资产管理组织应确保对用于交付服务的资产进行管理以满足服务要求和6c)中描述的义务.注1：55001和197701中关于资产和资产管理的实施

8、和运行的具体要求注2:另外，如果资产同时是配置项要看配置管理。姓名/部门:无，原因：文件规定，文件名称： 工具实现，工具名称：【规范关键要求和资源要求】： 【规范执行证据和资源保障证据】: 【规范执行绩效评价】: 符合不符合待观察通过补充证据直接采用重新取证补充取证8.2.6配置管理应定义的类型,服务应作为进行分类。配置信息应根据服务的重要性和类型确定记录信息的详细程度。配置信息的访问应受到控制，配置信息应为每个配置项记录如下信息：a）唯一识别b） 的类型c） 的描述d） 与其他的关系) 状态配置项应得到控制,对配置项的变更应可追溯和可审核以保持配置信息的完整性.在计划的时间间隔,组织应核实配

9、置信息的准确性。发现错误时,组织应采取必要的措施。配置信息应对其他服务管理活动适当可用.姓名/部门：无，原因:文件规定，文件名称： 工具实现，工具名称:【规范关键要求和资源要求】：【规范执行证据和资源保障证据】： 【规范执行绩效评价】: 符合不符合待观察通过补充证据直接采用重新取证补充取证。3 关系和协议83.总则组织可以使用供应商：)提供或运行服务）提供或运行服务组件c）运行组织服务管理体系的过程或过程的部分。图展示了业务关系管理、服务水平管理和供应商管理之间的用法、协议和关系姓名/部门:无,原因:文件规定,文件名称： 工具实现,工具名称：【规范关键要求和资源要求】: 【规范执行证据和资源保

10、障证据】： 【规范执行绩效评价】：符合不符合待观察通过补充证据直接采用重新取证补充取证8.2业务关系管理应识别和文档化服务的客户、用户和其他相关方。组织应有一个或多个指定的人员负责管理客户关系和保持客户满意度.组织应为与其客户和其他相关方的沟通建立安排。沟通应促进对服务运行涉及的业务环节进行理解,并应能够确保组织可以应答新的或变更的服务请求。根据计划的时间间隔，组织应评审服务的绩效趋势和输出。根据计划的时间间隔,组织应基于具有代表性的客户进行服务满意度的测量。应对结果进行分析、评审以识别改进的机会并对其进行报告.应对服务投诉进行记录、管理以关闭并报告.如果服务通过正常的渠道无法得到解决，应提供

11、升级的方法,姓名/部门：无，原因：文件规定，文件名称: 工具实现，工具名称：【规范关键要求和资源要求】： 【规范执行证据和资源保障证据】: 【规范执行绩效评价】：符合不符合待观察通过补充证据直接采用重新取证补充取证。33服务水平管理组织和客户应为交付的服务达成协议。对于每一个服务交付，组织应基于文档化的服务要求建立一个或多个.应包括服务水平目标,工作量限制和例外。根据计划的时间间隔,组织应监视、评审和报告:a）针对服务水平目标的绩效；b）与中的工作限制相比较的在工作量上的实际的和周期的改变。如果服务水平目标没有实现,组织应识别改进的机会。注：组织和客户之间的服务协议可以有很多形式,例如文档化的

12、协议，会议上的口头协议，电子邮件中写明的协议或服务或同意的服务条款。姓名/部门：无，原因：文件规定，文件名称: 工具实现,工具名称：【规范关键要求和资源要求】:【规范执行证据和资源保障证据】： 【规范执行绩效评价】:符合不符合待观察通过补充证据直接采用重新取证补充取证8。4供应商管理3.4。1外部供应商管理组织应有一个或多个指定的人员管理外部供应商的关系、合同和绩效。组织和外部供应商应签署正式的合同。合同应包含如下内容或包括相关引用：a）服务的范围，服务组件,由外部供应商提供或运行的过程或过程的部分；b)外部供应商要满足的要求;c)服务水平目标或其他的合同义务；d)组织和外部供应商的权力和责任

13、.组织应评估外部供应商的服务水平目标或其他合同义务与客户的一致性,并管理已识别的风险。组织应定义和管理与外部供应商的接口。根据计划的时间间隔，组织应监视外部供应商的绩效。如果服务水平目标或其他合同义务没有达到，组织应确保识别改进的机会。根据计划的时间间隔，组织应评审合同与当前服务要求的一致性。对于识别出的合同变更需求，在变更实施之前应评估变更对服务管理体系和服务产生的影响.组织和外部供应商之间的争议应进行记录和管理直至关闭.84内部供应商和作为供应商的客户的管理对于每一个内部供应商或作为供应商的客户，组织应开发,商定和保持一份文档化的协议以定义服务水平目标,其他承诺，活动以及双方之间的接口.根

14、据计划的时间间隔，组织应监视内部供应商或作为供应商的客户的绩效。如果服务水平目标或其他商定的承诺没有实现，组织应确保识别改进的机会。姓名/部门:无,原因：文件规定，文件名称：工具实现，工具名称：【规范关键要求和资源要求】: 【规范执行证据和资源保障证据】: 【规范执行绩效评价】: 符合不符合待观察通过补充证据直接采用重新取证补充取证。4供需.41服务预算与核算组织应根据财务管理策略和过程对服务和服务组进行预算和核算。应对成本进行预算以确保有效的财务控制和服务决策。根据计划的时间间隔，组织应根据预算监视和报告实际的成本,评审财务预测和管理成本。注:很多,但不是所有的组织对他们的服务收费，本标准中

15、的服务预算和核算不包括收费以确保可应用于于所有组织.姓名/部门：无,原因：文件规定,文件名称：工具实现，工具名称:【规范关键要求和资源要求】: 【规范执行证据和资源保障证据】: 【规范执行绩效评价】：符合不符合待观察通过补充证据直接采用重新取证补充取证8。4需求管理根据计划的时间间隔，组织应：）为服务确定当前需求和预测未来需求；b）监视和报告服务的未来和现实需求;注：需求管理负责掌握当前和未来客户服务需求,能力管理与需求管理协同工作以规划和提供足够的能力以满足需求.姓名/部门：无,原因:文件规定，文件名称: 工具实现，工具名称：【规范关键要求和资源要求】: 【规范执行证据和资源保障证据】： 【

16、规范执行绩效评价】：符合不符合待观察通过补充证据直接采用重新取证补充取证。能力管理应确定、文档化和维护对人、技术、信息和财务资源的能力要求。在此过程中应考虑服务和绩效要求.组织应进行能力规划,规划内容包括:a）基于服务需求的当前和预测的能力b) 对协商的服务水平目标、服务可用性和服务连续性要求的能力的预计影响；c）服务能力变更的时间表和阀值。组织应提供足够的能力以满足协商的能力和绩效要求。组织应监视能力使用、分析能力和绩效数据并识别绩效改进的机会。姓名/部门：无，原因：文件规定，文件名称： 工具实现，工具名称：【规范关键要求和资源要求】： 【规范执行证据和资源保障证据】： 【规范执行绩效评价】

17、： 符合不符合待观察通过补充证据直接采用重新取证补充取证8。 服务设计、建立和转换8。5。1变更管理8.1 变更管理方针应建立和文档化变更管理方针，方针应定义：）变更管理控制下的服务组件和其他项;)变更类别和如何对其进行管理，包括紧急变更；)确定可能对客户和服务产生重大影响的变更的判断标准。.2变更管理启动变更请求应进行记录和分类,包括增加、移除或转移服务。组织应为下列变更使用在8.5.中的服务设计和转换：） 依据变更管理方针确定的对客户或其他服务有潜在重大影响的新服务；b）依据变更管理方针确定的对客户或其他服务有潜在重大影响的服务的变更；）依据变更管理方针通过服务设计和转换进行管理的变更分类

18、；d）服务的下线;）已存在的服务从组织到客户或其他相关方的转移；）已存在的服务从客户或其他相关方向组织的转移。.2管理范围内的新的或变更的服务的评估、批准、计划和评审应通过。5.。3变更管理活动进行管理。不通过。2进行管理的变更请求应通过8。5.13变更管理活动进行管理。85。1.变更管理活动组织和相关方应为请求的优先级和批准做出决定。做决定时应考虑风险、业务收益，可行性和财务影响。还应该考虑变更对以下方面的潜在影响:) 已存在的服务;b）客户、用户和其他相关方;c）本文档要求的方针、策略和规划；d） 能力、服务可用性、服务连续性和信息安全；e）其他变更请求，发布和部署计划。批准的变更应进行准

19、备、验证，如果有可能进行测试。针对已批准变更的计划部署日期和其他部署细节应与相关方进行沟通.对于不成功变更的回退和补救活动应进行规划，如果可能进行测试。不成功的变更应进行调查并采取商定的行动。配置信息应依据变更的部署进行更新。组织应评审变更的有效性,并采取与相关方商定的行动.应按计划的时间间隔，对变更请求记录进行分析以发现趋势。分析得出的结果和结论应进行记录和评审以识别改进的机会.姓名/部门:无,原因：文件规定,文件名称： 工具实现，工具名称:【规范关键要求和资源要求】：【规范执行证据和资源保障证据】: 【规范执行绩效评价】:符合不符合待观察通过补充证据直接采用重新取证补充取证.。2服务设计和

20、转换8.5.21规划新的或变更的服务规划应使用822中确定的新的或变更的服务要求，并应包含或应用如下内容:a）设计、构建和转换活动的权力和职责;b）组织或其他方按照他们的时间表执行的活动;c)人、技术、信息和财务资源;d） 对其他服务的依赖性;)新的或变更的服务应进行的测试；f）服务接受标准；g）交付新的或变更的服务预期输出，输出应可测量；h）对、计划的变更、客户、用户和其他相关方的影响。对于撤销的服务,规划还应该包括服务撤销的日期和存档活动,数据、文档化信息和服务组件的处置和转移。对于转移的服务，规划还应该包含服务转换的日期和数据、文档化信息、知识和服务组件的转移活动。受新或变更服务影响的配

21、置项应通过配置管理进行管理。8.5.2。2设计应设计和文档化新或变更服务以满足在8。中确定的服务要求。设计应包括以下相关内容：a）新或变更服务交付过程中涉及的各方的权力和职责；b） 人、技术、信息和财务资源的变化要求;)适当的教育、培训和经验的要求；d) 用于支持服务的新或变更的，合同和其他文档化协议；e）的变更,包括新的或变更的策略、规划、过程、程序、措施和知识；f)对其他服务的影响；） 对服务目录的更新。8。2。3构建和转换应构建和测试新或变更的服务以确认满足服务要求，符合设计文档并满足商定的服务接受标准。如果服务接受标准不满足，组织和相关方应针对必要的活动和部署做出决定。发布和部署管理流

22、程应被用于部署已批准的新的或变更的服务到运行环境中。转换活动完成后,组织应向相关方报告预期结果的实现情况.姓名/部门：无，原因:文件规定，文件名称: 工具实现,工具名称:【规范关键要求和资源要求】： 【规范执行证据和资源保障证据】：【规范执行绩效评价】: 符合不符合待观察通过补充证据直接采用重新取证补充取证853发布和部署管理组织应定义发布的类型，包括紧急发布，其频率和如何进行管理.组织应对新的或变更的服务或服务组件部署到运行环境中进行规划。规划应与变更管理保持协调,并包含相关变更请求、已知错误或通过该发布进行关闭的问题的索引。规划应包括每一个变更部署的日期,交付物和部署的方式。发布应被确认满

23、足文档化的可接受标准并在部署前得到批准.如果可接受标准不被满足,组织和相关方应对采取的必要行动和部署做出决定。在发布部署到运行环境中之前,应建立受影响配置项的基线。发布应部署到运行环境中，以保持服务或服务组件的完整性.发布的成功或失败应进行监控和分析。测量应包括发布部署后一段时期与发布相关的事件。分析结果和结论应进行记录和评审，以识别改进的机会。关于发布的成功和失败的信息和未来发布日期应对其他服务管理活动适当可用。姓名/部门:无，原因：文件规定，文件名称：工具实现,工具名称:【规范关键要求和资源要求】： 【规范执行证据和资源保障证据】: 【规范执行绩效评价】：符合不符合待观察通过补充证据直接采

24、用重新取证补充取证8. 解决和实现86。1事件管理事件应被：a） 记录和分类b） 在考虑了影响和紧急程度的情况下进行分级c)如果需求进行升级；d） 解决) 关闭事件记录应根据采取的行动进行更新组织应确定指标以识别重大事件。应依据文档化程序对重大事件进行分类和管理。重大事件应通知最高管理者。组织应为每一个重大事件的管理分配职责。事件解决后，应对重大事件进行报告和评审以识别改进的机会。姓名部门：无，原因:文件规定，文件名称: 工具实现,工具名称：【规范关键要求和资源要求】:【规范执行证据和资源保障证据】:【规范执行绩效评价】:符合不符合待观察通过补充证据直接采用重新取证补充取证8.2服务请求管理服

25、务请求应：)记录和分类b）确定优先级)响应和处置）关闭服务请求记录应根据采取的行动进行更新服务请求响应和处置的说明文件应对参与服务请求响应和处置的人员可用。姓名/部门：无,原因:文件规定,文件名称： 工具实现,工具名称:【规范关键要求和资源要求】： 【规范执行证据和资源保障证据】: 【规范执行绩效评价】： 符合不符合待观察通过补充证据直接采用重新取证补充取证.问题管理组织应分析事件的数据和趋势以识别问题.组织进行根本原因分析和确定潜在的行动以预防事件的发生和再发生.问题应被:a） 记录和分类b)分级c）如果需要进行升级d）如果可能进行解决e）关闭问题记录应根据采取的行动进行更新。解决问题需要的

26、变更应依据变更管理方针进行管理。如果根本原因已得到识别,但是问题不能永久的解决，组织应确定行动去减少或消除问题对服务的影响。已知错误应被记录,关于已知错误和问题解决的最新信息应对其他服务管理活动适当可用.根据计划的时间间隔，问题解决的有效性应进行监视、评审和报告.姓名/部门：无,原因：文件规定，文件名称:工具实现,工具名称：【规范关键要求和资源要求】： 【规范执行证据和资源保障证据】： 【规范执行绩效评价】： 符合不符合待观察通过补充证据直接采用重新取证补充取证7服务保障7。服务可用性管理根据计划的时间间隔,应对服务可用性相关的风险进行评估和文档化.组织应确定服务可用性要求和目标，商定要求时应

27、考虑相关业务要求，服务要求,和风险。服务可用性要求和目标应文档化并保持。应对服务可用性进行监视，记录其结果并与目标进行比较。计划外不可用应进行调查并采取必要的行动。注：1中的风险识别可以为服务可用性，服务连续性和信息安全风险提供输入。姓名/部门：无，原因:文件规定,文件名称： 工具实现，工具名称:【规范关键要求和资源要求】： 【规范执行证据和资源保障证据】: 【规范执行绩效评价】:符合不符合待观察通过补充证据直接采用重新取证补充取证72服务连续性管理按照计划的时间间隔,服务连续性的风险应进行评估并文档化.组织应确定服务连续性要求。商定的要求应考虑相关业务要求,服务要求、和风险。组织应创建、实施和保持一个或多个服务连续性计划.服务连续性计划应包含下列内容或相关内容的索引:a）启动服务连续性的条件和责任;b） 服务重大损失情况下执行的程序；c）服务连续性计划启用时的服务可用性目标；d） 服务恢复要求;e)恢复到正常工作环境的方法当访问正常的服务地点受阻时，应能访问到服务连续性计划和联系人名单。按照计划的时间间隔,服务连续性计划应进行测试以满足服务连续性要求。服务连续性计划应在服务环境重大变更后进行重新测试。测试的结果应进行记录。每次测试结束后和服务连续性计划启用后应对其进行评审。如果发现缺陷组织应采取必要的措施。