|
|
服務技術要求 |
建立信息系統安全運維服務流程��。 |
信息系統安全運維服務流程�,流程圖中應包括每個階段對應的職責�、輸入輸出等。 |
|
1. |
制定信息系統安全運維服務規范并按照規范實施�����。 |
信息系統安全運維服務規范并按照規范實施�。 |
|
2. |
準備階段-需求調研與分析 |
調研客戶信息系統安全現狀,采集客戶安全服務需求與目標,明確客戶對信息系統安全運維服務時間�、服務期限���、服務內容以及服務方式的需求��。 |
針對客戶的調研報告,其中包括對信息系統安全運維服務時間�、服務期限�、服務內容以及服務方式的需求調研結果����。 |
|
3. |
進行信息系統運維預算,定義運維服務�����。 |
信息系統安全運維預算�,其中包括運維服務內容�����、每項服務的工作量�����、每項服務的人力資源項目經費等。 |
|
4. |
僅二級/一級要求:分析客戶對信息系統安全運維服務的需求和類型���。 |
對客戶進行調查的記錄,內容中應有信息系統安全運維服務的需求和類型���,如應用安全:應用系統安全測試、安全監控�����、安全事件應急等。 |
|
5. |
僅二級/一級要求:收集與分析信息系統的可用性指標�。 |
所運維信息系統的可用性指標�,如整體指標或單系統指標等��。 |
|
6. |
準備階段—簽訂服務協議 |
與客戶簽訂服務協議����,明確范圍��、目標����、時間����、內容��、金額���、質量和輸出等以及安全運維的方式�。 |
項目合同及保密協議����,合同內容應至少包含服務范圍、目標、時間��、內容�����、金額���、質量和輸出等����。 |
|
7. |
方案設計階段 |
根據系統安全運維需求�����,編制安全運維服務方案����,明確安全運維服務時間����、服務內容���、服務方式���、服務期限�����、服務人員�、服務交付物����、服務質量管理、服務溝通機制、服務風險管理等方面要求�。 |
項目服務方案���,內容應包括條款要求�。 |
|
8. |
提供安全設備�����、業務系統的健康檢查服務�����,并約定服務方式�����、檢查頻次和檢查內容。 |
提供對健康檢查服務的服務方式、檢查頻次和檢查內容進行明確��。
|
|
9. |
僅二級/一級要求:編制信息系統的可用性計劃����,監控可用性事件�����,報告可用性執行�����,指導可用性的改進。 |
信息系統可用性計劃;信息系統可用性事件記錄�;信息系統可用性執行報告���、改進報告��。 |
|
10. |
僅二級/一級要求:編制信息系統的安全基線。 |
信息系統安全基線��。 |
|
11. |
僅一級要求:建立應急響應和災難恢復機制��,形成業務連續性計劃��。 |
發布且通過審批的業務連續性計劃。 |
|
12. |
服務實施階段 |
實施初始服務��,根據合同約定服務范圍完成信息系統資產識別��。 |
資產識別表�,為IT資產的標識�、分級、保護和軟件配置建立基礎資料檔案��;有設備和系統的種類��、型號���、功能、物理位置��、端口對應情況����、部署情況等資產詳細信息。 |
|
13. |
采集信息系統重要資產的安全配置����、流量信息等安全信息���。 |
對組織信息系統的安全配置���、流量信息等安全信息進行定期記錄�。 |
|
14. |
對安全設備進行日常維護及監控���,并記錄硬件故障����。 |
安全設備的日常維護記錄,包括狀態檢查����、更新���、升級����、故障檢測及排除����、對安全設備出現的硬件故障進行統計的記錄。 |
|
15. |
收集與分析網絡及安全設備����、服務器����、數據庫����、中間件、應用系統的日志��。 |
進行安全事件審計��,應有對網絡及安全設備���、服務器�����、數據庫、中間件、應用系統日志的保存記錄與審計分析報告�����。 |
|
16. |
實施日常巡檢服務:對用戶的安全設備�、網絡設備、服務器提供業務操作巡檢、狀態巡檢����、安全策略配置巡檢服務����。 |
日常巡檢記錄,主要針對條款要求內容�����。 |
|
17. |
實施日常安全運維服務:完成安全設備、網絡設備、服務器、應用系統安全事件監控;病毒監測���、查殺及網絡防病毒維護;漏洞掃描、安全加固���、補丁安裝;并有相關記錄。 |
日常安全運維服務記錄,主要針對條款要求內容。& |