|
|
服務(wù)技術(shù)要求 |
建立信息系統安全運維服務(wù)流程�。 |
信息系統安全運維服務(wù)流程����,流程圖中應包括每個(gè)階段對應的職責�����、輸入輸出等�。 |
|
1. |
制定信息系統安全運維服務(wù)規范并按照規范實(shí)施��。 |
信息系統安全運維服務(wù)規范并按照規范實(shí)施��。 |
|
2. |
準備階段-需求調研與分析 |
調研客戶(hù)信息系統安全現狀�,采集客戶(hù)安全服務(wù)需求與目標����,明確客戶(hù)對信息系統安全運維服務(wù)時(shí)間�����、服務(wù)期限����、服務(wù)內容以及服務(wù)方式的需求����。 |
針對客戶(hù)的調研報告��,其中包括對信息系統安全運維服務(wù)時(shí)間����、服務(wù)期限�����、服務(wù)內容以及服務(wù)方式的需求調研結果��。 |
|
3. |
進(jìn)行信息系統運維預算�,定義運維服務(wù)���。 |
信息系統安全運維預算���,其中包括運維服務(wù)內容���、每項服務(wù)的工作量����、每項服務(wù)的人力資源項目經(jīng)費等��。 |
|
4. |
僅二級/一級要求:分析客戶(hù)對信息系統安全運維服務(wù)的需求和類(lèi)型���。 |
對客戶(hù)進(jìn)行調查的記錄���,內容中應有信息系統安全運維服務(wù)的需求和類(lèi)型�����,如應用安全:應用系統安全測試���、安全監控����、安全事件應急等���。 |
|
5. |
僅二級/一級要求:收集與分析信息系統的可用性指標����。 |
所運維信息系統的可用性指標�,如整體指標或單系統指標等����。 |
|
6. |
準備階段—簽訂服務(wù)協(xié)議 |
與客戶(hù)簽訂服務(wù)協(xié)議���,明確范圍�����、目標����、時(shí)間�����、內容���、金額���、質(zhì)量和輸出等以及安全運維的方式�。 |
項目合同及保密協(xié)議����,合同內容應至少包含服務(wù)范圍�、目標�����、時(shí)間���、內容�、金額�、質(zhì)量和輸出等�。 |
|
7. |
方案設計階段 |
根據系統安全運維需求����,編制安全運維服務(wù)方案�,明確安全運維服務(wù)時(shí)間�����、服務(wù)內容��、服務(wù)方式����、服務(wù)期限�����、服務(wù)人員���、服務(wù)交付物��、服務(wù)質(zhì)量管理���、服務(wù)溝通機制�����、服務(wù)風(fēng)險管理等方面要求���。 |
項目服務(wù)方案���,內容應包括條款要求�。 |
|
8. |
提供安全設備����、業(yè)務(wù)系統的健康檢查服務(wù)�,并約定服務(wù)方式�、檢查頻次和檢查內容�。 |
提供對健康檢查服務(wù)的服務(wù)方式����、檢查頻次和檢查內容進(jìn)行明確�。
|
|
9. |
僅二級/一級要求:編制信息系統的可用性計劃��,監控可用性事件�����,報告可用性執行����,指導可用性的改進(jìn)����。 |
信息系統可用性計劃���;信息系統可用性事件記錄��;信息系統可用性執行報告����、改進(jìn)報告��。 |
|
10. |
僅二級/一級要求:編制信息系統的安全基線(xiàn)�。 |
信息系統安全基線(xiàn)�����。 |
|
11. |
僅一級要求:建立應急響應和災難恢復機制���,形成業(yè)務(wù)連續性計劃�����。 |
發(fā)布且通過(guò)審批的業(yè)務(wù)連續性計劃���。 |
|
12. |
服務(wù)實(shí)施階段 |
實(shí)施初始服務(wù)����,根據合同約定服務(wù)范圍完成信息系統資產(chǎn)識別�。 |
資產(chǎn)識別表����,為IT資產(chǎn)的標識����、分級�����、保護和軟件配置建立基礎資料檔案�����;有設備和系統的種類(lèi)�、型號���、功能�����、物理位置�、端口對應情況���、部署情況等資產(chǎn)詳細信息�����。 |
|
13. |
采集信息系統重要資產(chǎn)的安全配置��、流量信息等安全信息����。 |
對組織信息系統的安全配置����、流量信息等安全信息進(jìn)行定期記錄����。 |
|
14. |
對安全設備進(jìn)行日常維護及監控�����,并記錄硬件故障����。 |
安全設備的日常維護記錄�����,包括狀態(tài)檢查��、更新��、升級�����、故障檢測及排除���、對安全設備出現的硬件故障進(jìn)行統計的記錄����。 |
|
15. |
收集與分析網(wǎng)絡(luò )及安全設備����、服務(wù)器�����、數據庫���、中間件�、應用系統的日志����。 |
進(jìn)行安全事件審計�����,應有對網(wǎng)絡(luò )及安全設備����、服務(wù)器�、數據庫��、中間件����、應用系統日志的保存記錄與審計分析報告����。 |
|
16. |
實(shí)施日常巡檢服務(wù):對用戶(hù)的安全設備�、網(wǎng)絡(luò )設備�����、服務(wù)器提供業(yè)務(wù)操作巡檢���、狀態(tài)巡檢��、安全策略配置巡檢服務(wù)�。 |
日常巡檢記錄,主要針對條款要求內容���。 |
|
17. |
實(shí)施日常安全運維服務(wù):完成安全設備����、網(wǎng)絡(luò )設備��、服務(wù)器����、應用系統安全事件監控�����;病毒監測����、查殺及網(wǎng)絡(luò )防病毒維護�;漏洞掃描�、安全加固��、補丁安裝����;并有相關(guān)記錄��。 |
日常安全運維服務(wù)記錄,主要針對條款要求內容����。& |