信息安全资质认证 当前您的位置:重庆智汇源认证服务有限公司>>信息安全资质认证
安全运维服务资质认证简介

序号

要点

条款

需提供证明材料

 

服务技术要求

建立信息系统安全运维服务流程。

信息系统安全运维服务流程,流程图中应包括每个阶段对应的职责、输入输出等。

1.        

制定信息系统安全运维服务规范并按照规范实施。

信息系统安全运维服务规范并按照规范实施。

2.        

准备阶段-需求调研与分析

调研客户信息系统安全现状,采集客户安全服务需求与目标,明确客户对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求

针对客户的调研报告,其中包括对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求调研结果。

3.        

进行信息系统运维预算,定义运维服务。

信息系统安全运维预算,其中包括运维服务内容、每项服务的工作量、每项服务的人力资源项目经费等。

4.        

仅二级/一级要求:分析客户对信息系统安全运维服务的需求和类型。

对客户进行调查的记录,内容中应有信息系统安全运维服务的需求和类型,如应用安全:应用系统安全测试、安全监控、安全事件应急等。

5.        

仅二级/一级要求:收集与分析信息系统的可用性指标。

所运维信息系统的可用性指标,如整体指标或单系统指标等。

6.        

准备阶段签订服务协议

与客户签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等以及安全运维的方式。

项目合同及保密协议,合同内容应至少包含服务范围、目标、时间、内容、金额、质量和输出等。

7.        

方案设计阶段

根据系统安全运维需求,编制安全运维服务方案,明确安全运维服务时间、服务内容、服务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管理等方面要求。

项目服务方案,内容应包括条款要求。

8.        

提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。

提供对健康检查服务的服务方式、检查频次和检查内容进行明确。

 

9.        

仅二级/一级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。

信息系统可用性计划;信息系统可用性事件记录;信息系统可用性执行报告、改进报告。

10.     

仅二级/一级要求:编制信息系统的安全基线。

信息系统安全基线。

11.     

仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。

发布且通过审批的业务连续性计划。

12.     

服务实施阶段

实施初始服务,根据合同约定服务范围完成信息系统资产识别。

资产识别表,为IT资产的标识、分级、保护和软件配置建立基础资料档案;有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。

13.     

采集信息系统重要资产的安全配置、流量信息等安全信息。

对组织信息系统的安全配置、流量信息等安全信息进行定期记录。

14.     

对安全设备进行日常维护及监控,并记录硬件故障。

安全设备的日常维护记录,包括状态检查、更新、升级、故障检测及排除、对安全设备出现的硬件故障进行统计的记录。

15.     

收集与分析网络及安全设备、服务器、数据库、中间件、应用系统的日志。

进行安全事件审计,应有对网络及安全设备、服务器、数据库、中间件、应用系统日志的保存记录与审计分析报告。

16.     

实施日常巡检服务:对用户的安全设备、网络设备、服务器提供业务操作巡检、状态巡检、安全策略配置巡检服务。

日常巡检记录,主要针对条款要求内容。

17.     

实施日常安全运维服务:完成安全设备、网络设备、服务器、应用系统安全事件监控;病毒监测、查杀及网络防病毒维护;漏洞扫描、安全加固、补丁安装;并有相关记录。

日常安全运维服务记录,主要针对条款要求内容。&

公司地址:  重庆市江北区北滨二路538号7-8-4  公司电话:13983086348  联系人:罗老师