Hi,欢迎来到ag8亚游集团! 请登录

安全运维

简介:通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。

级别:三级最低,一级最高。

三级基本要求
1.1. 法律地位要求
在中华人民共和国境内注册的独立法人组织,发展历程清晰,产权关系明确。
1.2. 财务资信要求
近 3 年经营状况良好,财务数据真实可信,应提供在中华人民共和国境内登记注册的会计师事
务所出具的近 3 年财务审计报告。
1.3. 办公场所要求
拥有长期固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。
1.4. 人员素质与资质要求
a) 组织负责人拥有2年以上信息技术领域管理经历。
b) 技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类中级职称,且从事信
息安全技术工作2年以上。
c) 财务负责人具有财务系列初级以上职称。
d) 从事信息安全服务人员10名以上。
e) 拥有信息安全专业认证(与申报类别一致)人员2名以上。
f) 拥有项目管理资格证书人员1名以上。
1.5. 业绩要求
a) 从事信息安全服务(与申报类别一致)1年以上。
b) 近3年内签订并完成至少1个信息安全服务(与申报类别一致)项目。
1.6. 服务管理要求
a) 遵循国家相关法律法规、标准要求,无违法违规记录,资信状况良好。
b) 建立人员管理程序和能力考核指标;制定业务和技能培训计划,定期对相关人员开展培训
和考核。
c) 建立文档控制程序,明确文档管理职责,任命管理人员,确保项目文档资料妥善保管。
d) 建立项目管理制度,并按照制度执行。
e) 提供资源,确保信息安全服务项目的实施。
1.7. 服务合同要求
a) 了解客户及所处的行业对信息安全服务的特定要求。
b) 确定信息安全服务范围。
c) 应签订信息安全服务合同或协议。
1.8. 服务安全要求
a) 满足法律法规对服务安全的要求。
b) 满足与客户签订服务合同中的安全要求。
c) 制定保密管理制度,明确岗位保密责任。
d) 按照客户要求,对于接触到的客户敏感信息和知识产权信息予以保护,并确保服务方人员
了解客户的相关要求。
e) 与相关人员签订保密协议,并进行保密教育。
f) 确保其供应商满足上述服务安全要求。
1.9. 服务技术要求
a) 建立信息安全服务(与申报类别一致)流程。
b) 制定信息安全服务(与申报类别一致)规范并按照规范实施。
安全运维服务资质专业评价要求针对服务准备、服务实施、监视评审、持续改进四个阶段进行,具体分级要求如下:
F1 三级要求
F1.1准备阶段
F1.1.1需求调研与分析

a) 采集客户对信息系统运维服务时间的需求。
b) 进行信息系统运维预算,定义运维服务。
c) 与客户进行沟通,达成共识并形成记录。
F1.1.2运维服务设计 
a) 制定安全运维服务目录,包括但不限于:初始服务、安全设备运维、日常巡检服务、健康检查、安全事件审计。
b) 对信息系统相关的IT资产进行识别。
c) 对安全设备进行日常维护及监控,并记录硬件故障。
d) 提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。
e) 采集系统配置、流量信息、系统状态等安全信息。
f) 收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。
F1.1.3运维服务导入
a) 收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性。
b) 专业人员负责安全管理的接口。
c) 建立服务目录。
d) 建立事件响应和解决的机制,有基本的安全运维报告模式。
F1.1.4明确服务协议特殊要求
a) 明确安全事件处理与应急响应流程,包括但不限于:安全事件的分类、安全事件上报流程、安全事件处理流程、安全事件的事后处理。
b) 明确安全运维方式,包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。
F1.2运维服务实施阶段
a) 实施初始服务:完成资产识别,定期配置项的更新和维护,实施相关运维流程。
b) 实施安全设备运维服务:完成日常维护,状态检查,定期查杀,故障处理、保养、更新、
升级、故障检测及排除,并对安全设备出现的硬件故障进行统计记录。
c) 实施日常巡检服务:完成安全设备监控;病毒监测、查杀及网络防病毒维护,并有相关记录。
d) 实施健康检查服务:完成安全设备、业务系统的健康检查服务。
e) 实施安全事件审计服务:完成网络及安全设备日志、服务器、操作系统、网络应用的日志、并且进行记录。
f) 组建运维服务台职能,培养服务台人员的专业能力。
g) 建立事件管理程序和信息安全服务请求管理程序。
F1.3运维监视评审阶段
a) 应定期收集与分析安全运维报告的数据,包括但不限于:异常报告及时率、异常漏报率、维护作业计划的及时完成率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆盖率、安全补丁安装及时率、安全事件次数。
b) 对运维实现情况进行监视测量,未能实现的目标应采取纠正预防措施。
c) 建立与分析客户满意度调查。
F1.4运维持续改进阶段 
a) 应在运维过程和监视过程中识别改进项目,制定持续改进计划,包括但不限于对改进机会
的评估标准。
b) 应有文件化的程序,用以识别、记录、批准、评估、测量和报告改进措施。 
c) 应采取预防措施,以消除潜在的不符合项的原因,以防止其发生。
北京星华永泰科技有限公司           
浙江融信科技发展有限公司
武汉南斗六星系统集成有限公司
山东华软金盾软件股份有限公司
河南凌云交汇软件有限责任公司
成都思瑞奇信息产业有限公司
天佑科技股份有限公司


资质说明
       通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。
      安全运维资质认证是对安全运维服务方的基本资格、管理能力、技术能力和安全运维过程能力等方面进行评价。安全运维服务资质级别是衡量服务提供方的安全运维服务资格和能力的尺度。
      资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。


证书查询: CMMI ITSS 国家认监委(ISO) 中国信息安全认证中心 中国信息安全测评中心 中国电子行业联合会 中国通信企业协会 中国通信工业协会 知识版权中心

Copyright© 2017 北京ag8亚游集团科技有限公司 京ICP备15010387号
ag8亚游集团科技主要从事CMMIITSS、ISO27001、ISO20000等IT体系咨询,信息安全服务资质咨询服务以及IT培训服务等.