信息系统安全运维服务资质认证自评估表 docWord文件下载.docx
- 文档编号:15914340
- 上传时间:2022-11-17
- 格式:DOCX
- 页数:28
- 大小:21.26KB
信息系统安全运维服务资质认证自评估表 docWord文件下载.docx
《信息系统安全运维服务资质认证自评估表 docWord文件下载.docx》由会员分享,可在线阅读,更多相关《信息系统安全运维服务资质认证自评估表 docWord文件下载.docx(28页珍藏版)》请在冰豆网上搜索。
与客户进行沟通,达成共识并形成记录。
运维前与客户沟通的记录,应有沟通结果双方达成共识的体现。
4.
仅二级要求:
识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案。
信息系统运维过程中的历史数据清单;
历史数据清单的分析报告,内容包含指标完成情况、违例操作、重大事件、重大(失败)变更等。
根据报告的分析制定的运维策略,及实施方案;
分析客户对信息系统安全服务的需求和类型。
客户需求调查报告,包含信息系统安全服务的需求和类型;
6.
收集与分析信息系统的可用性指标,明确可用性指标的类型。
信息系统的可用性指标清单,如整体指标或单系统指标等;
7.
分析以往服务的数据,提取出来未来可自动化的服务。
以往提供服务的解决方案,对生产的影响的分析报告;
根据以往安全事件的解决效率进行分析,适宜时提出来未来可自动化的服务。
8.
仅一级要求:
内部团队之间的安全运营级别协议应和与安全运维第三方之间的的服务级别设计保持一致。
服务级别设计、安全运营级别协议,两者应保持一致。
9.
安全组织中要设定安全领导小组;
在采用外包模式的情况下,执行组还应包含安全运维服务供应商参与运维的人员。
安全组织架构图及相关运维人员清单,其中应有安全领导小组;
外包模式的执行组中应有第三方参与运维的人员。
10.
采用基于PDCA的管理模型,从策划,实施,监视与评审和持续改进进行体系化的信息系统安全运维服务。
信息系统安全运维服务有策划,实施,监视与评审和持续改进流程。
11.
建立安全运维可视化视图。
基于信息系统安全的生命周期,建立信息系统安全运维的整体策略。
基于客户、业务的价值体现,形成安全运维的整体视图。
安全运维项目施工手册和作业指导书;
新建系统,建设实施过程应重点关注信息系统的功能、性能和安全性等方面要求,应保留与客户的需求分析记录;
系统改造中考虑造前技术测试验证及在实施失败后的回退措施;
测试验证中对旧系统的兼容问题,包括网络兼容、系统兼容、应用兼容等,有验证报告。
12.
准备阶段—运维服务设计
制定安全运维服务目录,目录内容包括但不限于:
初始服务、安全设备运维、日常巡检服务、健康检查、安全事件审计。
安全运维服务目录,内容包含条款要求。
13.
信息系统相关的IT资产进行识别。
IT资产识别清单,内容有IT资产识别的标识、分级、保护和软件配置建立基础资料档案;
有设备和系统的种类、型号、功能、物理位置、端口对应情况、部署情况等资产详细信息。
14.
对安全设备进行日常维护及监控,并记录硬件故障。
安全设备的日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计的记录。
15.
提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
有安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件记录。
16.
采集系统配置、流量信息、系统状态等安全信息。
安全设备、业务系统的健康检查服务,应与安全运维服务使用者约定的服务方式(现场检查,远程检查)、检查频次和检查的文件的记录。
17.
收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。
有对网络及安全设备日志,服务器、操作系统等日志,网络应用日志的记录与分析报告。
18.
对信息安全事件进行统计与分析。
信息安全事件的统计表,分析报告;
信息系统的可用性事件、计划、报告;
安全运维角色清单。
19.
编写安全运维服务目录,目录内容包括但不限于:
运维监控与分析、终端安全监控、等级保护合规性运维。
安全运维服务目录,内容应包含有条款的要求。
20.
建立信息系统安全运维的问题管理程序。
信息系统问题管理程序,已审批并发布。
21.
建立知识管理程序及初步形成知识库。
知识管理程序,已审批并发布。
22.
编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。
信息系统的可用性事件、计划、报告。
23.
形成信息安全管理的组织架构,组织结构的构成要素与安全运维活动角色相对应。
信息安全管理的组织架构表,安全运维角色清单,应与组织的构成要素对应。
24.
编制安全运维项目作业指导书。
安全运维项目中各模块作业指导书。
25.
建设实施过程中应关注信息系统的功能、性能和安全性方面要求。
改造过程中应制定测试计划及回退措施。
有改造过程中的信息系统的测试计划;
有信息系统的基线、回退的措施文件。
26.
安全通告及漏洞分析、应急响应服务。
安全运维服务目录,内容有条款要求的服务。
27.
准备阶段—运维服务导入
收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性。
完整的配置数据库,能初步收集资产与配置项,并确保配置项目的机密性、完整性、可用性。
28.
专业人员负责安全管理的接口。
29.
建立服务目录。
安全运维服务目录。
30.
建立事件响应和解决的机制,有基本的安全运维报告模式。
安全事件处理与应急响应流程,安全事件处理与上报流程。
31.
采用流程化管理方法,基于安全事件处理流程、安全培训服务流程、渗透测试流程进行标准化的信息系统安全运维工作。
渗透测试的计划和记录;
建立安全事件处理流程,安全培训服务流程,渗透测试的流程。
32.
基于渗透测试流程管理进行标准化的信息系统安全运维工作。
运维过程中的渗透测试的计划和记录。
33.
编制信息安全产品和工具定制开发计划。
信息安全产品和工具定制开发计划,内容可以应客户要求或组织自身的能力。
34.
准备阶段—服务协议的特殊要求
明确安全事件处理与应急响应流程,流程包括但不限于:
安全事件的分类、安全事件上报流程、安全事件处理流程、安全事件的事后处理。
建立安全事件处理流程,应急响应流程,内容应包括条款要求;
35.
明确安全运维的方式,方式包括但不限于:
驻场值守方式,定期巡检方式,远程值守方式。
服务级别协议协议,其中内容包括运维的方式。
36.
签订服务级别协议,建立信息系统应急事件响应机制和恢复保障。
服务级别协议,内容包括承诺信息系统核心指标;
应急响应计划、系统恢复计划。
37.
建立问题管理程序。
信息系统的问题管理程序,已审批并发布。
38.
建立信息系统安全的配置库及关联关系信息。
配置库,系统安全配置项之间有关联信息。
39.
建立信息系统安全运维服务级别管理程序,签订服务级别协议。
有已通过审核并发布的信息系统安全运维服务级别管理程序;
查看客户有服务级别协议。
40.
建立信息系统应急事件响应机制和恢复保障。
应急响应计划、系统恢复计划的演练记录;
41.
对客户满意度进行趋势分析。
客户满意度调查报告与趋势分析报告;
42.
建立应急响应和灾难恢复机制,形成业务连续性计划。
发布且通过审批的业务连续性计划。
43.
服务实施阶段
实施初始服务:
完成资产识别,定期配置项的更新和维护,实施相关运维流程。
资产识别表,对配置项的更新和维护记录,实施相关运维流程的记录。
44.
实施安全设备运维服务:
完成日常维护,状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
日常维护,巡检、状态检查,定期查杀,故障处理、保养、更新、升级、故障检测及排除的记录;
45.
实施日常巡检服务:
完成安全设备监控;
病毒监测、查杀及网络防病毒维护,并有相关记录。
信息安全事件审计报告,如网络及安全设备日志、服务器、操作系统、网络应用的日志;
46.
实施健康检查服务:
完成安全设备、业务系统的健康检查服务。
安全设备、业务系统的健康检查服务,主要工作针对于设备的可用性、持续性,并提供相应服务记录。
47.
实施安全事件审计服务:
完成网络及安全设备日志、服务器、操作系统、网络应用的日志、并且进行记录。
实施安全事件审计服务,内容包含条款中的要求。
48.
组建运维服务台职能,培养服务台人员的专业能力。
建立服务台;
提供服务台人员的培训记录。
49.
建立事件管理程序和信息安全服务请求管理程序。
事件管理程序,已审批并发布;
服务请求管理程序,已审批并发布。
50.
实施运维监控与分析并形成记录。
运维监控分析报告,内容以数据来分析各个指标的趋势。
51.
进行等级保护合规性运维。
针对信息系统安全建立保护等级;
对信息系统分级的标准;
52.
实施安全通告及漏洞分析服务:
完成业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告。
通告与漏洞分析记录,内容为业界动态的通告、收集国家安全政策及法律法规、漏洞通告、病毒通告、厂商安全通告及其他安全通告,并生成分析报告。
53.
实施应急响应服务:
完成应急响应预案制定,对应急事件及时响应,并对应急进行演练,形成相关记录
通告与漏洞分析记录;
应急响应服预案,应急演练的记录;
变更管理程序,已审批并发布;
运维过程中的变更记录单。
54.
建立运维变更管理程序,对运维实施过程中方案、资源变更进行有效控制,完整记录变更过程。
针对运维有审批并发布的变更管理程序;
运维过程中的变更应有响应的变更记录。
制定运维应急处置方案和恢复策略,对运维过程中的应急事件及时进行响应。
有已审批并发布的应急处置方案和恢复策略;
运维过程中的响应时间是否达到方案要求。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全运维服务资质认证自评估表 doc 信息系统安全 服务 资质 认证 评估