ISCCC信息系统安全集成服务资质认证现场审核表

1、ISCCC-QOT-0462-B/1信息系统安全集成服务资质认证现场审核表信息系统安全集成服务资质认证现场审核表组织名称深圳市脉山龙信息技术股份有限公司申请类另I/级另I安全集成/一级审核时间2015.9.8-9.9受审核部门/人员集成服务部/李青、杰，综合管理中心/李婷序号要点条款需提供证明材料审核结果审核记录符合不符合需观察1.集成准备-需求调研与分析B1.1.1a）调研客户背景信息，采集系统建设需求和建设目标，明确功能、性能及安全性要求。抽查项目案例，验证准备阶段控制程序文件的落实情况，包括明确工作内容、流程、方法、文档模板，内容至少包括需求调研、分析、审核，产品选型，财务预算。提供投标

2、文件、项目文档等证明。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的设计方案里，调研了用户背景信息、总体设计目标、明确了功能、性能及安全性的要求。2.B1.1.1b）基于系统建设需求，提出产品选型方案和建设预算。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的设计方案及投标书里，基于系统建设需求，提出了入侵防御系统、邮件安全网关和服务器选型等内容，并有项目投标报价。3.B1.1.1c）结合系统建设和安全需求，与客户、设计、开发等充分沟通，达成共识并形成记录。V7查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目，公司通过邮件形式与客户进行方案设计等方面的沟通。审查员签

3、名：日期：第1页共8页中国信息安全认证中心序号要点条款需提供证明材料审核结果审核记录符合不符合需观察4.B2.1.1a）仅二级/一级要求：准确识别和综合分析系统在保密性、完整性、可用性、可靠性等方面的安全需求，提出系统安全保障策略和建议。查验项目案例中系统安全需求分析报告，验证内容是否覆盖审核条款要求。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的设计方案里，提出项目的可扩充性、可管理性、高安全性、高性能等方卸的要求。5.B2.1.1b）仅一级/一级要求：基于客户需求和投入能力，开展需求分析，编制需求分析报告。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的设计方案中包括

4、了需求分析的内容。6.B3.1.1仅一级要求：协助客户有效识别系统建设过程中的政策、法律和约束条件,后效规避商业风险和泄密事件。结合项目案例，查验安全集成项目风险控制要求。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目设计方案，方案中通过培训协助客户认识系统建设过程中的信息安全方面的相关知识培训，但对有效规避商业风险和泄密事件的内咨小完者。7.集成准备-签订服务协议B1.1.2a）与客户、供应商签订服务协议，明确范围、目标、时间、内容、金额、质量和输出等。验证项目合同管理办法，抽查项目合同及保密协议。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的合同，明确了项目范围、时间

5、、内容、金额、质量和输出。8.B3.1.2仅一级要求：建立安全集成服务级别管理程序，签订服务级别协议。结合案例抽查，验证服务级别管理程序、服务级别协议。V查阅了长城基金IT运维及远程监视服务项目，签订了服务级别协议。9.方茶设计B1.2a/b）根据系统建设安全需求，编制安全集成技术方案。依据技术方案,编制安全集成实施方案，明确人员、进度、抽查实际案例，验证项目方案设计阶段控制程序文件的落实情况，包括明确工作内容、流程、文档模板，内容V7查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的设计方案和实施方案，明确了人员、进度、质量、沟通、风险ISCCC-QOT-0462-B/1信息系统安全集

6、成服务资质认证现场审核表审查员签名：日期：第2页共8页中国信息安全认证中心序号要点条款需提供证明材料审核结果审核记录符合不符合需观察质量、沟通、风险等方卸要求。应覆盖审核条款的要求。项目技术方案、实施方案。方卸的要求。10.B2.2a）仅二级/一级要求：结合需求分析和客户在保障系统安全方面的投入能力，提出系统建设安全设计说明书，明确系统架构、产品选型、产品功能、性能及配置等参数。验证项目方案设计阶段控制程序文件，内容应覆盖审核条款要求。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的投标书里明确了系统架构、产品选型、产品功能、性能及配置等参数。11.B2.2b）仅二级/一级要求：组织

7、客户及相关技术专家对技术方案和实施方案进行论证，确认是否满足系统功能、性能和安全性要求。验证项目管理审核程序，包括明确工作内容、过程、方法、文档模板，内容应覆盖审核条款要求。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的项目方案探讨会会议纪要，与客户和客户方的技术专家确认了项目方案的方案、性能和安全方面的要求。12.B2.2c）仅二级/一级要求：对项目组及第三方配合人员进行业务和技能培训。验证项目方案设计阶段控制程序文件，内容应覆盖审核条款要求。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的工程项目培训记录，对项目组成员进行了业务和技能培训。13.B2.2d）仅一级/一

8、级要求：依据技术方案具体指标要求，制定系统测试计划。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目，根据技术方案制定了测试计划。14.B3.2a）仅一级要求：结合项目需要，编制安全集成项目施工手册和作业指导书。验证项目方案设计阶段控制程序文件，内容应覆盖审核条款的要求。V7查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目，根据控制程序文件制定了项目实施方案。ISCCC-QOT-0462-B/1信息系统安全集成服务资质认证现场审核表审查员签名：日期：第3页共8页中国信息安全认证中心序号要点条款需提供证明材料审核结果审核记录符合不符合需观察15.B3.2b）仅一级要求：新建系统，建

9、设实施过程应重点关注信息系统的功能、性能和安全性等要求。系统改造，还应考虑改造前技术测试验证及在实施失败后的回退措施。技术测试验证需要考虑新旧系统兼容问题，包括网络兼容、系统兼容、应用兼容等。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的测试报告中对项目中用到的网络、防火墙、服务器存储和负载均衡等设备都进行了兼容性测试。16.方茶设计B3.2c）仅一级要求：基于安全集成项目需求和进度计划，编制信息安全产品和工具定制开发计划。验证项目方案设计阶段控制程序文件，内容应覆盖审核条款的要求。组织自主开发的信息安全产品、平台和工具清单。V查阅了长城基金IT运维及远程监视服务项目中运用了公司自

10、主开发的脉山龙数据中心远程智能运维平台。17.建设实施-实施集成B1.3.1b）项目实施人员按时提交施工记录和工程日志，及时向项目经理汇报项目进度。验证项目建设实施阶段控制程序文件，包括工作内容、过程、方法、文档模板，内容应覆盖审核条款的要求。项目施工记录。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目，公司的工程师通过会议及邮件方式汇报项目进度。18.B2.3.1a/b）仅二级/一级要求：产品、设备安装调试过程中，应完整妥善记录相关信息，并提交完工报告。验证项目建设实施阶段控制程序，覆盖审核条款要求。查验安装调试记录、项目完工报告。V查阅了深圳文化产权交易所有公司数据中心硬件设备采

11、购项目中的安装调试记录表，记录了项目设备的调试时间、人员等内容。但记录人员无签字确认。19.建设实施-监督管理B2.3.2仅二级/一级要求：建立客户满意度调查机制，并对调查结果进行分析。验证项目建设实施阶段控制程序文件，覆盖审核条款的要求。满意度调V7查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目及数据收集与分析ISCCC-QOT-0462-B/1信息系统安全集成服务资质认证现场审核表审查员签名：日期：第4页共8页中国信息安全认证中心序号要点条款需提供证明材料审核结果审核记录符合不符合需观察查记录。程序，针对每个项目有满意度调查表，并根据程序文件定期统计分析。20.B3.3.2仅一级要

12、求：定期对项目实施情况进行审核，采取适当措施，控制项目风险。验证项目管理审核程序，覆盖审核条款的要求，项目审核与质量控制文档。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的项目风险管理文档，对项目制定了相应的措施控制风险，但内容不够细化。21.安全保障-系统测试B1.4.1a）依据项目技术方案和测试计戈|J,对系统进行联调和系统测试。验证项目安全保障阶段控制程序文件，包括明确工作内容、过程、方法、文档模板，内容应覆盖审核条款的要求。测试方藩、计划、记录。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目依据项目方案和测试计划对系统中所运用到的设备进行联调和系统测试。22.B2

13、.4.1a）仅二级/一级要求：系统测试完成后，制定系统测试报告，并提交客户。验证项目安全保障阶段控制程序文件，内容应覆盖审核条款的要求。测试报告、初验申请与报告。V查阅了深圳文化产权父易所有公司数据中心硬件设备采购项目的测试报告通过邮件形式提交给客户。23.B2.4.1b）仅二级/一级要求：结合项目需要提出初验申请，组织客户及相关方对项目进行初验，并提交初验报告。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目组织客户项目进行初验并形成了初验报告。24.B3.4.1仅一级要求：基于建设系统的安全要求，制定系统安全性测试方案，模拟攻击场景，对系统安全性进行测试。验证项目安全保障阶段控制程

14、序文件，内容应覆盖审核条款的要求。系统安全性测试方案、测试记录。V7查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的安全性测试方案和记录，对系统安全性的进行了测试。ISCCC-QOT-0462-B/1信息系统安全集成服务资质认证现场审核表审查员签名：日期：第5页共8页中国信息安全认证中心序号要点条款需提供证明材料审核结果审核记录符合不符合需观察25.安全保障-系统试运行B1.4.2a）为测试系统运行的可靠性和稳定性，系统初验后需进行试运行，并记录系统运行状况，试运行周期至少一个月。验证项目安全保障阶段控制程序文件，内容应覆盖审核条款的要求。系统试运行记录。V查阅了深圳文化产权交易所有公

15、司数据中心硬件设备采购项目的试运行报告，记录了系统运行状况，试运行周期为3个月26.B2.4.2仅二级/一级要求：试运行结束后，项目组制定系统试运行报告，并提交客户。验证项目安全保障阶段控制程序文件，内容应覆盖审核条款的要求。系统试运行报告。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的试运行报告，以邮件形式提交给客户。27.B3.4.2a）仅一级要求：制定系统试运行计划，建立应急响应服务保障团队，及时应对突发事件。验证项目安全保障阶段控制程序文件，内容应覆盖审核条款的要求。应急预案、系统运行策略和安全指南、配置管理方案、系统试运行报告。V查阅了事件与服务请求管理流程，制定了突发事

16、件的优先级、负责人、处理流程及响应时间等内容。28.B3.4.2b）仅一级要求：综合分析系统运行状态，建立系统运行策略和安全指南，并对相关产品和设备设施进行配置管理。V查阅了配置管理流程策略和配置管理流程手册，制定了系统运行策略和配置管理方案、系统试运行报告等内容，但配置管理流程制定的不够完善。29.B3.4.2c）仅一级要求：提供三个月以上的试运行记录和报告。V查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的试运行报告和记录，周期为3个月。30.安全保障-验收B1.4.3b）根据合同约定，配合组织项目验收，出具项目验收报告。验证项目安全保障阶段控制程序文件，内容应覆盖审核条款的要求。验证项目终验报告。V7查阅了深圳文化产权交易所有公司数据中心硬件设备采购项目的项目验收报告，ISCCC-QOT-0462-B/1信息系统安全集成服务资质认证现场审核表审查员签名：日期：第6页共8页中国信息安全认证中心序号要点条款需提供证明材料审核结果审核记录符合不符合需观察31.上一年度提出的观察项跟踪验证情况（如有）32.33.34.35.上一年度提出的不符合项跟踪验证情况（如有）36.37.ISCCC-QOT-0462-