|
|
服務技術要求 |
建立信息系統安全運維服務流程。 |
信息系統安全運維服務流程,流程圖中應包括每個階段對應的職責、輸入輸出等。 |
|
1. |
制定信息系統安全運維服務規范并按照規范實施。 |
信息系統安全運維服務規范并按照規范實施。 |
|
2. |
準備階段-需求調研與分析 |
調研客戶信息系統安全現狀,采集客戶安全服務需求與目標,明確客戶對信息系統安全運維服務時間、服務期限、服務內容以及服務方式的需求。 |
針對客戶的調研報告,其中包括對信息系統安全運維服務時間、服務期限、服務內容以及服務方式的需求調研結果。 |
|
3. |
進行信息系統運維預算,定義運維服務。 |
信息系統安全運維預算,其中包括運維服務內容、每項服務的工作量、每項服務的人力資源項目經費等。 |
|
4. |
僅二級/一級要求:分析客戶對信息系統安全運維服務的需求和類型。 |
對客戶進行調查的記錄,內容中應有信息系統安全運維服務的需求和類型,如應用安全:應用系統安全測試、安全監控、安全事件應急等。 |
|
5. |
僅二級/一級要求:收集與分析信息系統的可用性指標。 |
所運維信息系統的可用性指標,如整體指標或單系統指標等。 |
|
6. |
準備階段—簽訂服務協議 |
與客戶簽訂服務協議,明確范圍、目標、時間、內容、金額、質量和輸出等以及安全運維的方式。 |
項目合同及保密協議,合同內容應至少包含服務范圍、目標、時間、內容、金額、質量和輸出等。 |
|
7. |
方案設計階段 |
根據系統安全運維需求,編制安全運維服務方案,明確安全運維服務時間、服務內容、服務方式、服務期限、服務人員、服務交付物、服務質量管理、服務溝通機制、服務風險管理等方面要求。 |
項目服務方案,內容應包括條款要求。 |
|
8. |
提供安全設備、業務系統的健康檢查服務,并約定服務方式、檢查頻次和檢查內容。 |
提供對健康檢查服務的服務方式、檢查頻次和檢查內容進行明確。
|
|
9. |
僅二級/一級要求:編制信息系統的可用性計劃,監控可用性事件,報告可用性執行,指導可用性的改進。 |
信息系統可用性計劃;信息系統可用性事件記錄;信息系統可用性執行報告、改進報告。 |
|
10. |
僅二級/一級要求:編制信息系統的安全基線。 |
信息系統安全基線。 |
|
11. |
僅一級要求:建立應急響應和災難恢復機制,形成業務連續性計劃。 |
發布且通過審批的業務連續性計劃。 |
|
12. |
服務實施階段 |
實施初始服務,根據合同約定服務范圍完成信息系統資產識別。 |
資產識別表,為IT資產的標識、分級、保護和軟件配置建立基礎資料檔案;有設備和系統的種類、型號、功能、物理位置、端口對應情況、部署情況等資產詳細信息。 |
|
13. |
采集信息系統重要資產的安全配置、流量信息等安全信息。 |
對組織信息系統的安全配置、流量信息等安全信息進行定期記錄。 |
|
14. |
對安全設備進行日常維護及監控,并記錄硬件故障。 |
安全設備的日常維護記錄,包括狀態檢查、更新、升級、故障檢測及排除、對安全設備出現的硬件故障進行統計的記錄。 |
|
15. |
收集與分析網絡及安全設備、服務器、數據庫、中間件、應用系統的日志。 |
進行安全事件審計,應有對網絡及安全設備、服務器、數據庫、中間件、應用系統日志的保存記錄與審計分析報告。 |
|
16. |
實施日常巡檢服務:對用戶的安全設備、網絡設備、服務器提供業務操作巡檢、狀態巡檢、安全策略配置巡檢服務。 |
日常巡檢記錄,主要針對條款要求內容。 |
|
17. |
實施日常安全運維服務:完成安全設備、網絡設備、服務器、應用系統安全事件監控;病毒監測、查殺及網絡防病毒維護;漏洞掃描、安全加固、補丁安裝;并有相關記錄。 |
日常安全運維服務記錄,主要針對條款要求內容。& |