|
|
服務技術要求 |
建立信息系統(tǒng)安全運維服務流程。 |
信息系統(tǒng)安全運維服務流程,流程圖中應包括每個階段對應的職責、輸入輸出等。 |
|
1. |
制定信息系統(tǒng)安全運維服務規(guī)范并按照規(guī)范實施。 |
信息系統(tǒng)安全運維服務規(guī)范并按照規(guī)范實施。 |
|
2. |
準備階段-需求調研與分析 |
調研客戶信息系統(tǒng)安全現(xiàn)狀,采集客戶安全服務需求與目標,明確客戶對信息系統(tǒng)安全運維服務時間、服務期限、服務內容以及服務方式的需求。 |
針對客戶的調研報告,其中包括對信息系統(tǒng)安全運維服務時間、服務期限、服務內容以及服務方式的需求調研結果。 |
|
3. |
進行信息系統(tǒng)運維預算,定義運維服務。 |
信息系統(tǒng)安全運維預算,其中包括運維服務內容、每項服務的工作量、每項服務的人力資源項目經費等。 |
|
4. |
僅二級/一級要求:分析客戶對信息系統(tǒng)安全運維服務的需求和類型。 |
對客戶進行調查的記錄,內容中應有信息系統(tǒng)安全運維服務的需求和類型,如應用安全:應用系統(tǒng)安全測試、安全監(jiān)控、安全事件應急等。 |
|
5. |
僅二級/一級要求:收集與分析信息系統(tǒng)的可用性指標。 |
所運維信息系統(tǒng)的可用性指標,如整體指標或單系統(tǒng)指標等。 |
|
6. |
準備階段—簽訂服務協(xié)議 |
與客戶簽訂服務協(xié)議,明確范圍、目標、時間、內容、金額、質量和輸出等以及安全運維的方式。 |
項目合同及保密協(xié)議,合同內容應至少包含服務范圍、目標、時間、內容、金額、質量和輸出等。 |
|
7. |
方案設計階段 |
根據(jù)系統(tǒng)安全運維需求,編制安全運維服務方案,明確安全運維服務時間、服務內容、服務方式、服務期限、服務人員、服務交付物、服務質量管理、服務溝通機制、服務風險管理等方面要求。 |
項目服務方案,內容應包括條款要求。 |
|
8. |
提供安全設備、業(yè)務系統(tǒng)的健康檢查服務,并約定服務方式、檢查頻次和檢查內容。 |
提供對健康檢查服務的服務方式、檢查頻次和檢查內容進行明確。
|
|
9. |
僅二級/一級要求:編制信息系統(tǒng)的可用性計劃,監(jiān)控可用性事件,報告可用性執(zhí)行,指導可用性的改進。 |
信息系統(tǒng)可用性計劃;信息系統(tǒng)可用性事件記錄;信息系統(tǒng)可用性執(zhí)行報告、改進報告。 |
|
10. |
僅二級/一級要求:編制信息系統(tǒng)的安全基線。 |
信息系統(tǒng)安全基線。 |
|
11. |
僅一級要求:建立應急響應和災難恢復機制,形成業(yè)務連續(xù)性計劃。 |
發(fā)布且通過審批的業(yè)務連續(xù)性計劃。 |
|
12. |
服務實施階段 |
實施初始服務,根據(jù)合同約定服務范圍完成信息系統(tǒng)資產識別。 |
資產識別表,為IT資產的標識、分級、保護和軟件配置建立基礎資料檔案;有設備和系統(tǒng)的種類、型號、功能、物理位置、端口對應情況、部署情況等資產詳細信息。 |
|
13. |
采集信息系統(tǒng)重要資產的安全配置、流量信息等安全信息。 |
對組織信息系統(tǒng)的安全配置、流量信息等安全信息進行定期記錄。 |
|
14. |
對安全設備進行日常維護及監(jiān)控,并記錄硬件故障。 |
安全設備的日常維護記錄,包括狀態(tài)檢查、更新、升級、故障檢測及排除、對安全設備出現(xiàn)的硬件故障進行統(tǒng)計的記錄。 |
|
15. |
收集與分析網(wǎng)絡及安全設備、服務器、數(shù)據(jù)庫、中間件、應用系統(tǒng)的日志。 |
進行安全事件審計,應有對網(wǎng)絡及安全設備、服務器、數(shù)據(jù)庫、中間件、應用系統(tǒng)日志的保存記錄與審計分析報告。 |
|
16. |
實施日常巡檢服務:對用戶的安全設備、網(wǎng)絡設備、服務器提供業(yè)務操作巡檢、狀態(tài)巡檢、安全策略配置巡檢服務。 |
日常巡檢記錄,主要針對條款要求內容。 |
|
17. |
實施日常安全運維服務:完成安全設備、網(wǎng)絡設備、服務器、應用系統(tǒng)安全事件監(jiān)控;病毒監(jiān)測、查殺及網(wǎng)絡防病毒維護;漏洞掃描、安全加固、補丁安裝;并有相關記錄。 |
日常安全運維服務記錄,主要針對條款要求內容。& |