信息系统安全运维服务资质认证自评估表

业界动态  时间:2021-01-28  阅读:()

组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合服务技术要求建立信息系统安全运维服务流程.
信息系统安全运维服务流程,流程图中应包括每个阶段对应的职责、输入输出等.

制定信息系统安全运维服务规范并按照规范实施.
信息系统安全运维服务规范并按照规范实施.
准备阶段-需求调研与分析调研客户信息系统安全现状,采集客户安全服务需求与目标,明确客户对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求.

针对客户的调研报告,其中包括对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求调研结果.

进行信息系统运维预算,定义运维服务.
信息系统安全运维预算,其中包括运维服务内容、每项服务的工作量、每项服务的人力资源项目经费等.

与客户进行沟通,达成共识并形成记录.
与客户沟通形成的记录,内容应有对运维服务项目达成共识的体现.
仅二级/一级要求:分析客户对信息系统安全运维服务的需求和类型.
对客户进行调查的记录,内容中应有信息系统安全运维服务的需求和类型,如应用安全:应用系统安全测试、安全监控、安全事件应急等.

仅二级/一级要求:收集与分析信息系统的可用性指标.
所运维信息系统的可用性指标,如整体指标或单系统指标等.
仅二级/一级要求:分析以往服务的数据,提取出来未来可自动化的服务.
(监审时适用)运维服务报告,其中应对以往安全服务进行总结,对安全事件的解决效率进行分析,适宜时提出未来可自动化的服务.

仅一级要求:内部团队之间的安全运营级别协议应和与安全运维第三方之间的服务级别设计保持一致.

服务级别协议中,安全运维第三方之间的服务级别设计与内部团队之间的安全运营级别协议应一致.

仅一级要求:安全组织中要设定安全领导小组.
安全组织架构图,其中应有安全领导小组.
准备阶段—签订服务协议与客户签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等.

项目合同及保密协议,合同内容应至少包含服务范围、目标、时间、内容、金额、质量和输出等.

明确安全运维的方式,方式包括但不限于:驻场值守方式,定期巡检方式,远程值守方式.

项目合同/协议中应有明确的安全运维模式.
仅二级/一级要求:签订服务级别协议.
与客户签订的服务级别协议,协议中应承诺信息系统核心指标,如:可用性、安全事件解决率等.

方案设计阶段根据系统安全运维需求,编制安全运维服务方案,明确安全运维服务时间、服务内容、服务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管理等方面要求.

项目服务方案,内容应包括条款要求.
在安全运维服务方案中明确健康检查服务的服务方式、检查频次和检查内容.

项目服务方案对健康检查服务的服务方式、检查频次和检查内容进行明确.

专业人员负责安全管理的接口.
运维项目中由高层指定的、负责安全管理接口的运维管理人员信息.
仅二级/一级要求:编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进.

信息系统可用性计划;信息系统可用性事件记录;信息系统可用性执行报告、改进报告.

仅二级/一级要求:识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案.
(监审时适用信息系统运维过程中的分析报告,主要分析项目应有:历史数据清单的分析报告,内容包含运维完成情况、重大事件、重大(失败)变更等;基于以往运维数据分析结果提出的新的运维策略及解决方案.

仅二级/一级要求:编制信息系统的安全基线.
信息系统安全基线.
仅二级要求:建立信息系统安全配置库.
配置库信息,其中应纳入信息系统安全涉及的配置项,如安全设备的配置项有安全策略、管理员账户、IP等.

仅一级要求:建立信息系统应急事件响应机制和恢复保障.
信息系统的应急响应计划和恢复计划.
仅一级要求:编制安全运维项目作业指导书.
安全运维作业指导书,例如:配置核查操作手册、常见安全事件处理指南等.

仅一级要求:建立应急响应和灾难恢复机制,形成业务连续性计划.
发布且通过审批的业务连续性计划.
仅一级要求:在安全运维服务方案中明确漏洞管理的工作流程.
漏洞管理的方案、流程.
运维服务实施实施初始服务,完成资产识别.
资产识别表,为IT资产的标识、分级、保护和软件配置建立基础资料档案;有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息.

采集信息系统重要资产的安全配置、流量信息等安全信息.
对组织信息系统的安全配置、流量信息等安全信息进行定期记录.
对安全设备进行日常维护及监控,并记录硬件故障.
安全设备的日常维护记录,包括状态检查、更新、升级、故障检测及排除、对安全设备出现的硬件故障进行统计的记录.

收集与分析网络及安全设备、服务器、数据库、中间件、应用系统的日志.

进行安全事件审计,应有对网络及安全设备、服务器、数据库、中间件、应用系统日志的保存记录与审计分析报告.

实施日常巡检服务:对用户的安全设备、网络设备、服务器提供业务操作巡检、状态巡检、安全策略配置巡检服务.

日常巡检记录,主要针对条款要求内容.
实施日常安全运维服务:完成安全设备、网络设备、服务器、应用系统安全事件监控;病毒监测、查杀及网络防病毒维护;漏洞扫描、安全加固、补丁安装;并有相关记录.

日常安全运维服务记录,主要针对条款要求内容.
对信息安全事件进行统计与分析.
信息安全事件的统计表,分析报告.
实施健康检查服务:完成安全设备、业务系统的健康检查服务.
安全设备、业务系统的健康检查服务记录,主要关注可靠性、可用性、持续性等.

仅二级/一级要求:收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性(专职管理).

配置数据库,应能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性(专职管理),如安全设备的配置项有安全策略、管理员账户、IP等.

仅二级/一级要求:实施安全设备、网络设备、中间件、数据库、服务器等资产的安全配置管理,定期对配置项进行更新和维护.

配置项的更新和维护记录.
仅二级/一级要求:根据制定的安全配置基线,定期进行安全配置核查工作.

安全配置核查记录.
仅二级/一级要求:实施运维监控与分析并形成记录.
完成对各类安全事件的集中管理和分析,以数据来分析各个指标的趋势,形成相关记录.

仅一级要求:实施安全培训服务:完成安全意识、基本安全技术的培训服务.

安全培训服务记录.
仅一级要求:实施安全通告及漏洞分析服务:完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告.

通告与漏洞分析记录,内容为业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告,以及基于通告进行的分析.

仅一级要求:实施应急响应服务:完成应急响应预案制定,对应急事件及时响应,并对应急预案进行演练,形成相关记录.

应急响应记录;应急响应预案,应急演练的记录.
仅一级要求:依据运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程.

运维过程中的变更记录.
仅一级要求:制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应.

应急处置方案和恢复策略仅一级要求:依据风险评估方案与计划实施信息系统风险评估;依据渗透测试方案与计划实施信息系统渗透测试.

风险评估记录与报告;渗透测试报告.
仅一级要求:依据漏洞管理方案实施信息系统漏洞管理工作.
运维服务过程中漏洞的发现、分析、验证、跟踪、修复等过程记录.
运维服务报告向客户提交服务报告,定期收集与报告安全运维实施情况.
安全运维的定期服务报告,服务报告应对一段时间内运维服务实现情况进行统计与分析.

汇总整理全年服务记录,形成年终安全运维服务总结报告.
年终安全运维总结报告,对全年的服务情况进行总结与分析.
根据合同约定,配合组织项目验收,出具项目验收报告.
项目验收报告.
仅二级/一级要求:应定期收集与分析安全运维的关键指标数据,数据包括但不限于:异常报告及时率、异常漏报率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆盖率、安全补丁安装及时率、安全事件次数.
(参照服务合同)运维服务报告,其中的统计分析数据应包括:异常报告及时率、异常漏报率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆盖率、安全补丁安装及时率、安全事件次数.

仅二级/一级要求:建立客户满意度调查机制.
客户满意度调查的方式、方法、分析方法等;满意度调查的实施情况与分析情况.

仅一级要求:对客户满意度进行趋势分析.
客户满意度调查报告与趋势分析报告.
仅一级要求:对客户系统的安全态势做出分析,并给出安全建议.
对客户系统的安全态势分析报告,报告中需给出针对性的安全加固处理建议.

DMIT:香港国际线路vps,1.5GB内存/20GB SSD空间/4TB流量/1Gbps/KVM,$9.81/月

DMIT怎么样?DMIT是一家美国主机商,主要提供KVM VPS、独立服务器等,主要提供香港CN2、洛杉矶CN2 GIA等KVM VPS,稳定性、网络都很不错。支持中文客服,可Paypal、支付宝付款。2020年推出的香港国际线路的KVM VPS,大带宽,适合中转落地使用。现在有永久9折优惠码:July-4-Lite-10OFF,季付及以上还有折扣,非 中国路由优化;AS4134,AS4837 均...

台湾云服务器整理推荐UCloud/易探云!

台湾云服务器去哪里买?国内有没有哪里的台湾云服务器这块做的比较好的?有很多用户想用台湾云服务器,那么判断哪家台湾云服务器好,不是按照最便宜或最贵的选择,而是根据您的实际使用目的选择服务器,只有最适合您的才是最好的。总体而言,台湾云服务器的稳定性确实要好于大陆。今天,云服务器网(yuntue.com)小编来介绍一下台湾云服务器哪里买和一年需要多少钱!一、UCloud台湾云服务器UCloud上市云商,...

云基Yunbase无视CC攻击(最高500G DDoS防御),美国洛杉矶CN2-GIA高防独立服务器,

云基yunbase怎么样?云基成立于2020年,目前主要提供高防海内外独立服务器,欢迎各类追求稳定和高防优质线路的用户。业务可选:洛杉矶CN2-GIA+高防(默认500G高防)、洛杉矶CN2-GIA(默认带50Gbps防御)、香港CN2-GIA高防(双向CN2GIA专线,突发带宽支持,15G-20G DDoS防御,无视CC)。目前,美国洛杉矶CN2-GIA高防独立服务器,8核16G,最高500G ...

业界动态为你推荐
雅思和托福哪个好考托福好考还是雅思好考?美国国际集团世界五百强企业前五十名是哪些?美国国际东西方大学凭高考成绩可以申请哪些海外大学?q空间登录QQ空间经常提示要登录?qq空间登录界面我的手机QQ打开应该是九个选项,什么空间,但是现在打开怎么直接是QQ登录界面,这个撇手机考生个人空间登录自学考试的“考生个人空间”密码忘记了……一定要本人带身份证和考籍证去有关部门吗?辽宁联通网上营业厅我进入到的中国联通微信营业厅,该如何进入到人工服务啊?铁通dns服务器地址桂林铁通DNS服务器地址是多少?360云盘网页版最近360云盘网页版登陆后,找不到文件共享群了。哪位知道在哪里可以进去文件共享群?360云盘共享群手机360云盘怎么入共享群,求步骤
电信服务器租用 北京主机租用 香港vps 泛域名解析 美国主机代购 国外网站代理服务器 魔兽世界台湾服务器 合肥鹏博士 日本bb瘦 百度云1t 天翼云盘 t云 国外视频网站有哪些 万网主机管理 789 数据库空间 php服务器 深圳域名 可外链的相册 阿里云邮箱申请 更多