返回
信息系统安全运维服务资质认证自评估表

信息系统安全运维服务资质认证自评估表

ID:20083971

大小:121.50 KB

页数:10页

时间:2018-10-09

信息系统安全运维服务资质认证自评估表_第1页
信息系统安全运维服务资质认证自评估表_第2页
信息系统安全运维服务资质认证自评估表_第3页
信息系统安全运维服务资质认证自评估表_第4页
信息系统安全运维服务资质认证自评估表_第5页
资源描述:

《信息系统安全运维服务资质认证自评估表》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、ISCCC-QOT-0434-B/3信息系统安全运维服务资质认证自评估表信息系统安全运维服务资质认证自评估表组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.服务技术要求建立信息系统安全运维服务流程。信息系统安全运维服务流程,流程图中应包括每个阶段对应的职责、输入输出等。2.制定信息系统安全运维服务规范并按照规范实施。信息系统安全运维服务规范并按照规范实施。3.准备阶段-需求调研与分析调研客户信息系统安全现状,采集客户安全服务需求与目标,明确客户对信息系统安全运维服务时间、服务期

2、限、服务内容以及服务方式的需求。针对客户的调研报告,其中包括对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求调研结果。4.进行信息系统运维预算,定义运维服务。信息系统安全运维预算,其中包括运维服务内容、每项服务的工作量、每项服务的人力资源项目经费等。5.与客户进行沟通,达成共识并形成记录。与客户沟通形成的记录,内容应有对运维服务项目达成共识的体现。中国信息安全认证中心制第9页共10页ISCCC-QOT-0434-B/3信息系统安全运维服务资质认证自评估表1.仅二级/一级要求:分析客户对信息系统安全服务的需求和类型

3、。对客户进行调查的记录,内容中应有信息系统安全服务的需求和类型,如应用安全:应用系统安全测试、安全监控、安全事件应急等。2.仅二级/一级要求:收集与分析信息系统的可用性指标。所运维信息系统的可用性指标,如整体指标或单系统指标等。3.仅二级/一级要求:分析以往服务的数据,提取出来未来可自动化的服务。(监审时适用)运维服务报告,其中应对以往安全服务的总结与安全事件的解决效率进行分析,提出未来可自动化的服务。4.仅一级要求:内部团队之间的安全运营级别协议应和与安全运维第三方之间的服务级别设计保持一致。服务级别协议中,安全运维第三方之间

4、的服务级别设计与内部团队之间的安全运营级别协议应一致。5.仅一级要求:安全组织中要设定安全领导小组。安全组织架构图,其中应有安全领导小组。6.准备阶段—签订服务协议与客户签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。项目合同及保密协议,合同内容应至少包含服务范围、目标、时间、内容、金额、质量和输出等。7.明确安全运维的方式,方式包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。项目合同/协议中应有明确的安全运维模式。中国信息安全认证中心制第9页共10页ISCCC-QOT-0434-B/3信息系统安全运维服务

5、资质认证自评估表1.仅二级/一级要求:签订服务级别协议。与客户签订的服务级别协议,协议中应承诺信息系统核心指标,如:可用性、安全事件解决率等。2.方案设计阶段根据系统安全运维需求,编制安全运维服务方案,明确安全运维服务时间、服务内容、服务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管理等方面要求。项目服务方案,内容应包括条款要求。3.提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。安全设备、业务系统的健康检查服务记录,应与安全运维服务使用者约定的服务方式(现场检查,远程检查

6、)、检查频次和检查内容一致,健康检查服务重点关注安全设备、业务系统的可靠性(设备或者系统在一定条件、一定时间下完成一定任务稳定运行的概率)、可用性。4.专业人员负责安全管理的接口。运维项目中由高层指定的、负责安全管理接口的运维管理人员信息。5.仅二级/一级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。信息系统可用性计划;信息系统可用性事件记录;信息系统可用性执行报告、改进报告。中国信息安全认证中心制第9页共10页ISCCC-QOT-0434-B/3信息系统安全运维服务资质认证自评估表1.仅二级

7、/一级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。(监审时适用信息系统运维过程中的分析报告,主要分析项目应有:历史数据清单的分析报告,内容包含运维完成情况、重大事件、重大(失败)变更等;基于以往运维数据分析结果提出的新的运维策略及解决方案。2.仅二级/一级要求:编制信息系统的安全基线。信息系统安全基线。3.仅二级要求:建立信息系统安全的配置库。配置库信息,其中应纳入信息系统安全涉及的配置项,如安全设备的配置项有安全策略、管理员账户、IP等。4.仅一级要求:建立信息系统应急事件响应机制和恢复保障

8、。信息系统的应急响应计划和恢复计划。5.仅一级要求:编制安全运维项目作业指导书。安全运维作业指导书,例如:配置核查操作手册、常见安全事件处理指南等。6.仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划。发布且通过审批的业务连续性计划。7.仅一级要求:基

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。