023-8656 7363
130 4739 3316
130 4739 3316
專注于IT服務的科技咨詢公司
專注于IT服務的科技咨詢公司
安全運維
安全運維通過技術設施安全評估,技術設施安全加固,安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢,協助組織的信息系統管理人員進行信息系統的安全運維工作,以發現并修復信息系統中所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時加以響應.
安全運維
| 級別 | 三級 | 二級 | 一級 |
| 基本要求 |
三級基本要求 1.1. 法律地位要求 在中華人民共和國境內注冊的獨立法人組織,發展歷程清晰,產權關系明確。 1.2. 財務資信要求 近 3 年經營狀況良好,財務數據真實可信,應提供在中華人民共和國境內登記注冊的會計師事 務所出具的近 3 年財務審計報告。 1.3. 辦公場所要求 擁有長期固定辦公場所和相適應的辦公條件,能夠滿足機構設置及其業務需要。 1.4. 人員素質與資質要求 a) 組織負責人擁有2年以上信息技術領域管理經歷。 b) 技術負責人獲得信息安全相關專業碩士及以上學位或電子信息技術類中級職稱,且從事信 息安全技術工作2年以上。 c) 財務負責人具有財務系列初級以上職稱。 d) 從事信息安全服務人員10名以上。 e) 擁有信息安全專業認證(與申報類別一致)人員2名以上。 f) 擁有項目管理資格證書人員1名以上。 1.5. 業績要求 a) 從事信息安全服務(與申報類別一致)1年以上。 b) 近3年內簽訂并完成至少1個信息安全服務(與申報類別一致)項目。 1.6. 服務管理要求 a) 遵循國家相關法律法規、標準要求,無違法違規記錄,資信狀況良好。 b) 建立人員管理程序和能力考核指標;制定業務和技能培訓計劃,定期對相關人員開展培訓 和考核。 c) 建立文檔控制程序,明確文檔管理職責,任命管理人員,確保項目文檔資料妥善保管。 d) 建立項目管理制度,并按照制度執行。 e) 提供資源,確保信息安全服務項目的實施。 1.7. 服務合同要求 a) 了解客戶及所處的行業對信息安全服務的特定要求。 b) 確定信息安全服務范圍。 c) 應簽訂信息安全服務合同或協議。 1.8. 服務安全要求 a) 滿足法律法規對服務安全的要求。 b) 滿足與客戶簽訂服務合同中的安全要求。 c) 制定保密管理制度,明確崗位保密責任。 d) 按照客戶要求,對于接觸到的客戶敏感信息和知識產權信息予以保護,并確保服務方人員 了解客戶的相關要求。 e) 與相關人員簽訂保密協議,并進行保密教育。 f) 確保其供應商滿足上述服務安全要求。 1.9. 服務技術要求 a) 建立信息安全服務(與申報類別一致)流程。 b) 制定信息安全服務(與申報類別一致)規范并按照規范實施。 |
二級基本要求 2.1. 法律地位要求 在中華人民共和國境內注冊的獨立法人組織,發展歷程清晰,產權關系明確。 2.2. 財務資信要求 近 3 年經營狀況良好,財務數據真實可信,應提供在中華人民共和國境內登記注冊的會計師事務所出具的近 3 年財務審計報告。 2.3. 辦公場所要求 擁有長期固定辦公場所和相適應的辦公條件,能夠滿足機構設置及其業務需要。 2.4. 人員素質與資質要求 a) 組織負責人擁有3年以上信息技術領域管理經歷。 b) 技術負責人應獲得信息安全相關專業碩士及以上學位或電子信息技術類中級職稱,且從事信息安全技術工作5年以上。 c) 財務負責人具有財務系列中級以上職稱。 d) 從事信息安全服務人員30名以上。 e) 擁有信息安全專業認證(與申報類別一致)人員6名以上。 f) 擁有項目管理資格證書人員2名以上。 2.5. 技術工具要求 a) 具備獨立的測試環境及必要的軟、硬件設備,用于技術培訓和模擬測試。 b) 具備承擔信息安全服務(與申報類別一致)項目所需的安全工具,并對工具進行管理和版 本控制。 2.6. 業績要求 a) 從事信息安全服務(與申報類別一致)3年以上,或取得信息安全服務(與申報類別一致)三級資質1年以上。 b) 近三年內簽訂并完成至少6個信息安全服務項目(與申報類別一致)。 2.7. 服務管理要求 a) 遵循國家相關法律法規、標準要求,無違法違規記錄,資信狀況良好。 b) 建立項目管理制度,并按照制度執行。 c) 參照國際或國內標準,建立業務范圍覆蓋信息安全服務的質量管理體系,并有效運行。 d) 參照國際或國家標準,建立業務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系,并有效運行。 e) 提供資源,確保信息安全服務項目的實施。 2.8. 服務合同要求 a) 了解客戶及所處的行業對信息安全服務的特定要求。 b) 確定信息安全服務范圍。 c) 應簽訂信息安全服務合同或協議。 d) 合同應明確信息安全服務的行為規范。 2.9. 服務安全要求 a) 滿足法律法規對服務安全的要求。 b) 滿足與客戶簽訂服務合同中的安全要求。 c) 制定保密管理制度,明確崗位保密責任。 d) 按照客戶要求,對于接觸到的客戶敏感信息和知識產權信息予以保護,并確保服務方人員了解客戶的相關要求。 e) 與相關人員簽訂保密協議,并進行保密教育。 f) 確保其供應商滿足上述服務安全要求。 2.10. 服務技術要求 a) 建立信息安全服務(與申報類別一致)流程。 b) 制定信息安全服務(與申報類別一致)規范并按照規范實施。 |
一級基本要求 1.1. 申請條件 取得信息安全服務(與申報類別一致)二級資質 1 年以上。(行業領頭企業除外) 1.2. 法律地位要求 在中華人民共和國境內注冊的獨立法人組織,發展歷程清晰,產權關系明確。 1.3. 財務資信要求 近 3 年經營狀況良好,財務數據真實可信,應提供在中華人民共和國境內登記注冊的會計師事 務所出具的近 3 年財務審計報告。 1.4. 辦公場所要求 擁有長期固定辦公場所和相適應的辦公條件,能夠滿足機構設置及其業務需要。 1.5. 人員素質與資質要求 a) 組織負責人擁有4年以上信息技術領域管理經歷。 b) 技術負責人應獲得信息安全相關專業碩士及以上學位或電子信息技術類高級職稱,且從事信息安全技術工作8年以上。 c) 財務負責人擁有財務系列高級職稱,或取得中級職稱8年以上。 d) 從事信息安全技術服務人員50名以上。 e) 擁有信息安全專業認證人員(與申報類別一致)10名以上。 f) 擁有項目管理資格證書人員5名以上。 1.6. 技術工具要求 a) 具備獨立的測試環境及必要的軟、硬件設備,用于技術培訓和模擬測試。 b) 具備承擔信息安全服務(與申報類別一致)項目所需的安全工具,如漏洞掃描工具、滲透測試工具、協議分析儀等。 1.7. 業績要求 a) 從事信息安全服務(與申報類別一致)5年以上。 b) 近三年內至少簽訂并完成10個信息安全服務項目(與申報類別一致)。 1.8. 服務管理要求 a) 遵循國家相關法律法規、標準要求,無違法違規記錄,資信狀況良好。 b) 建立項目管理制度,并按照制度執行。 c) 參照國際、國內標準,建立業務范圍覆蓋信息安全服務的質量管理體系,并提供有效運行的相關證明。 d) 參照國際、國家標準,建立業務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系,并提供有效運行的相關證明。 e) 提供足夠資源,確保信息安全服務項目的實施。 1.9. 服務合同要求 a) 了解客戶及所處的行業對信息安全服務的特定要求。 b) 確定信息安全服務范圍。 c) 應簽訂信息安全服務合同或協議。 d) 合同應明確信息安全服務的行為規范。 e) 合同應明確信息安全服務的安全要求。 1.10. 服務安全要求 a) 滿足法律法規對服務安全的要求。 b) 滿足與客戶簽訂服務合同中的安全要求。 c) 制定保密管理制度,明確崗位保密責任。 d) 按照客戶要求,對于接觸到的客戶敏感信息和知識產權信息予以保護,并確保服務方人員了解客戶的相關要求。 e) 與相關人員簽訂保密協議,并進行保密教育。 f) 確保其供應商滿足上述服務安全要求。 1.11. 服務技術要求 a) 建立信息安全服務(與申報類別一致)流程。 b) 制定信息安全服務(與申報類別一致)規范,并按照規范實施 |
| 類別要求 |
安全運維服務資質專業評價要求針對服務準備、服務實施、監視評審、持續改進四個階段進行,具體分級要求如下: F1 三級要求 F1.1準備階段 F1.1.1需求調研與分析 a) 采集客戶對信息系統運維服務時間的需求。 b) 進行信息系統運維預算,定義運維服務。 c) 與客戶進行溝通,達成共識并形成記錄。 F1.1.2運維服務設計 a) 制定安全運維服務目錄,包括但不限于:初始服務、安全設備運維、日常巡檢服務、健康檢查、安全事件審計。 b) 對信息系統相關的IT資產進行識別。 c) 對安全設備進行日常維護及監控,并記錄硬件故障。 d) 提供安全設備、業務系統的健康檢查服務,并約定服務方式、檢查頻次和檢查內容。 e) 采集系統配置、流量信息、系統狀態等安全信息。 f) 收集與分析網絡及安全設備、服務器、操作系統、網絡應用的日志。 F1.1.3運維服務導入 a) 收集與建立配置管理數據庫,確保配置項目的機密性、完整性、可用性。 b) 專業人員負責安全管理的接口。 c) 建立服務目錄。 d) 建立事件響應和解決的機制,有基本的安全運維報告模式。 F1.1.4明確服務協議特殊要求 a) 明確安全事件處理與應急響應流程,包括但不限于:安全事件的分類、安全事件上報流程、安全事件處理流程、安全事件的事后處理。 b) 明確安全運維方式,包括但不限于:駐場值守方式,定期巡檢方式,遠程值守方式。 F1.2運維服務實施階段 a) 實施初始服務:完成資產識別,定期配置項的更新和維護,實施相關運維流程。 b) 實施安全設備運維服務:完成日常維護,狀態檢查,定期查殺,故障處理、保養、更新、 升級、故障檢測及排除,并對安全設備出現的硬件故障進行統計記錄。 c) 實施日常巡檢服務:完成安全設備監控;病毒監測、查殺及網絡防病毒維護,并有相關記錄。 d) 實施健康檢查服務:完成安全設備、業務系統的健康檢查服務。 e) 實施安全事件審計服務:完成網絡及安全設備日志、服務器、操作系統、網絡應用的日志、并且進行記錄。 f) 組建運維服務臺職能,培養服務臺人員的專業能力。 g) 建立事件管理程序和信息安全服務請求管理程序。 F1.3運維監視評審階段 a) 應定期收集與分析安全運維報告的數據,包括但不限于:異常報告及時率、異常漏報率、維護作業計劃的及時完成率、故障隱患發現率、異常主動發現率、問題解決率、漏洞掃描覆蓋率、加固設備覆蓋率、安全補丁安裝及時率、安全事件次數。 b) 對運維實現情況進行監視測量,未能實現的目標應采取糾正預防措施。 c) 建立與分析客戶滿意度調查。 F1.4運維持續改進階段 a) 應在運維過程和監視過程中識別改進項目,制定持續改進計劃,包括但不限于對改進機會 的評估標準。 b) 應有文件化的程序,用以識別、記錄、批準、評估、測量和報告改進措施。 c) 應采取預防措施,以消除潛在的不符合項的原因,以防止其發生。 |
F2 二級要求 組織申報二級資質,除滿足三級資質的所有條件外,還需滿足以下要求。 F2.1運維服務準備階段 F2.1.1需求調研與分析 a) 根據評估目標和范圍,對安全運維對象中包含的信息系統,組織的資產進行分類。 b) 識別與分析信息系統運維過程中的歷史數據,提出系統運維的保障策略和解決方案。 c) 分析客戶對信息系統安全服務的需求和類型。 d) 收集與分析信息系統的可用性指標,明確可用性指標的類型。 e) 分析以往服務的數據,提取出來未來可自動化的服務。 F2.1.2運維服務設計 a) 對信息安全事件進行統計與分析; b) 編寫安全運維服務目錄,包括但不限于:運維監控與分析、終端安全監控、合規性運維。 c) 建立信息系統安全運維的問題管理程序。 d) 建立知識管理程序及初步形成知識庫。 e) 編制信息系統的可用性計劃,監控可用性事件,報告可用性執行,指導可用性的改進。 f) 形成信息安全管理的組織架構,組織結構的構成要素與安全運維活動角色相對應。 F2.1.3運維服務導入 采用流程化管理方法,基于安全事件處理流程、安全培訓服務流程、滲透測試流程進行標準化的信息系統安全運維工作。 F2.1.4明確服務協議特殊要求 a) 建立信息系統安全主動管理機制; b) 簽訂信息系統安全運維服務級別協議,承諾信息系統核心指標。 c) 建立問題管理程序。 d) 建立信息系統安全的配置庫及關聯關系信息。 F2.2運維服務實施階段 a) 實施運維監控與分析并形成記錄。 b) 進行合規性運維。 F2.3運維監視評審階段 F2.3.1內審 按照計劃的時間間隔執行內部審核,滿足既定標準要求、安全運維服務需求和客戶所提出的SMS要求,并有效實施和維護。 F2.3.2管理評審 a) 定期回顧安全運維服務,確保其持續適用和有效。 b) 管理評審輸入至少包括但不限于:客戶反饋、服務和流程的執行情況和符合性、當前和預測資源水平、糾正措施的進展情況、可能影響安全運維服務的變更、改進機會。 F2.4運維持續改進階段 a) 改進機會應劃分優先級,策劃被批準的改進機會。 b) 改進活動應進行管理,包括但不限于:設定改進目標、確保批準的改進活動被實施、報告被實施的改進計劃。 |
F3一級要求 組織申報一級資質,除滿足二級資質的所有條件外,還需滿足以下要求。 F3.1運維服務準備階段 a) 內部團隊之間的安全運營級別協議應和與安全運維第三方之間的的服務級別設計保持一致。 b) 安全組織中要設定安全領導小組;在采用外包模式的情況下,執行組還應包含安全運維服務供應商參與運維的人員。 c) 采用基于PDCA的管理模型,從策劃,實施,監視與評審和持續改進進行體系化的信息系統安全運維服務。 d) 建立安全運維可視化視圖。 F3.1.1需求調研與分析 a) 基于信息系統安全的生命周期,建立信息系統安全運維的整體策略。 b) 基于客戶、業務的價值體現,形成安全運維的整體視圖。 F3.1.2運維服務設計 a) 編制安全運維項目作業指導書。 b) 建設實施過程中應關注信息系統的功能、性能和安全性方面要求。 c) 改造過程中應制定測試計劃及回退措施。 d) 編寫安全運維服務目錄,包括但不限于:安全通告及漏洞分析、應急響應服務。 F3.1.3運維服務導入 a) 基于滲透測試流程管理進行標準化的信息系統安全運維工作。 b) 編制信息安全產品和工具定制開發計劃。 F3.1.4明確服務協議的特殊要求 a) 建立信息系統安全運維服務級別管理程序,簽訂服務級別協議。 b) 建立信息系統應急事件響應機制和恢復保障。 c) 對客戶滿意度進行趨勢分析。 d) 建立應急響應和災難恢復機制,形成業務連續性計劃。 F3.2運維服務實施階段 a) 實施安全通告及漏洞分析服務:完成業界動態的通告、收集國家安全政策及法律法規、漏洞通告、病毒通告、廠商安全通告及其他安全通告 b) 實施應急響應服務:制定應急響應預案,對應急事件及時響應,并對應急進行演練,形成相關記錄 c) 建立運維變更管理程序,對運維實施過程中方案、資源變更進行有效控制,完整記錄變更過程。 d) 制定運維應急處置方案和恢復策略,對運維過程中的應急事件及時進行響應。 F3.3運維監視評審階段 a) 形成體系化的審核機制及企業文化。 b) 體系化的服務監視管理,形成審核機制。 c) 定期評審客戶對安全運維服務的滿意度。 F3.4運維持續改進階段 a) 持續服務改進,形成持續服務改進文化和意識。 b) 基于運維服務的缺陷,提出改進策略和方案。 c) 分析運維服務的數據并進行服務預測。 |
| 頒證機構 | 中國信息安全認證中心 | 中國信息安全認證中心 | 中國信息安全認證中心 |
| 客戶案例 |
北京星華永泰科技有限公司 浙江融信科技發展有限公司 武漢南斗六星系統集成有限公司 山東華軟金盾軟件股份有限公司 河南凌云交匯軟件有限責任公司 成都思瑞奇信息產業有限公司 天佑科技股份有限公司 |
河南騰龍信息工程有限公司 |
Copyright © 2020-2023 重慶菠萝蜜在线观看有限公司 版權所有
渝ICP備17016243號
Powered by
a0511.cn
地址:重慶市渝中區大坪正街19號英利國際2單元3308室 服務支持:023-8656 7363 (周一至周五 09:00-18:00)
微信掃描上方二維碼咨詢
