|
|
服務(wù)技術(shù)要求 |
建立信息系統安全運維服務(wù)流程����。 |
信息系統安全運維服務(wù)流程�����,流程圖中應包括每個(gè)階段對應的職責��、輸入輸出等�����。 |
|
1. |
制定信息系統安全運維服務(wù)規范并按照規范實(shí)施�。 |
信息系統安全運維服務(wù)規范并按照規范實(shí)施�����。 |
|
2. |
準備階段-需求調研與分析 |
調研客戶(hù)信息系統安全現狀��,采集客戶(hù)安全服務(wù)需求與目標��,明確客戶(hù)對信息系統安全運維服務(wù)時(shí)間��、服務(wù)期限��、服務(wù)內容以及服務(wù)方式的需求��。 |
針對客戶(hù)的調研報告�,其中包括對信息系統安全運維服務(wù)時(shí)間��、服務(wù)期限�����、服務(wù)內容以及服務(wù)方式的需求調研結果����。 |
|
3. |
進(jìn)行信息系統運維預算����,定義運維服務(wù)��。 |
信息系統安全運維預算��,其中包括運維服務(wù)內容��、每項服務(wù)的工作量���、每項服務(wù)的人力資源項目經(jīng)費等�。 |
|
4. |
僅二級/一級要求:分析客戶(hù)對信息系統安全運維服務(wù)的需求和類(lèi)型����。 |
對客戶(hù)進(jìn)行調查的記錄�,內容中應有信息系統安全運維服務(wù)的需求和類(lèi)型�,如應用安全:應用系統安全測試���、安全監控�、安全事件應急等����。 |
|
5. |
僅二級/一級要求:收集與分析信息系統的可用性指標�。 |
所運維信息系統的可用性指標���,如整體指標或單系統指標等���。 |
|
6. |
準備階段—簽訂服務(wù)協(xié)議 |
與客戶(hù)簽訂服務(wù)協(xié)議�����,明確范圍�����、目標����、時(shí)間�����、內容���、金額���、質(zhì)量和輸出等以及安全運維的方式��。 |
項目合同及保密協(xié)議��,合同內容應至少包含服務(wù)范圍��、目標����、時(shí)間�、內容�����、金額���、質(zhì)量和輸出等��。 |
|
7. |
方案設計階段 |
根據系統安全運維需求���,編制安全運維服務(wù)方案���,明確安全運維服務(wù)時(shí)間���、服務(wù)內容�����、服務(wù)方式����、服務(wù)期限����、服務(wù)人員�、服務(wù)交付物�、服務(wù)質(zhì)量管理���、服務(wù)溝通機制�、服務(wù)風(fēng)險管理等方面要求�����。 |
項目服務(wù)方案���,內容應包括條款要求�����。 |
|
8. |
提供安全設備�、業(yè)務(wù)系統的健康檢查服務(wù)��,并約定服務(wù)方式�、檢查頻次和檢查內容��。 |
提供對健康檢查服務(wù)的服務(wù)方式�����、檢查頻次和檢查內容進(jìn)行明確�����。
|
|
9. |
僅二級/一級要求:編制信息系統的可用性計劃��,監控可用性事件�,報告可用性執行��,指導可用性的改進(jìn)��。 |
信息系統可用性計劃���;信息系統可用性事件記錄���;信息系統可用性執行報告����、改進(jìn)報告���。 |
|
10. |
僅二級/一級要求:編制信息系統的安全基線(xiàn)�����。 |
信息系統安全基線(xiàn)��。 |
|
11. |
僅一級要求:建立應急響應和災難恢復機制����,形成業(yè)務(wù)連續性計劃����。 |
發(fā)布且通過(guò)審批的業(yè)務(wù)連續性計劃����。 |
|
12. |
服務(wù)實(shí)施階段 |
實(shí)施初始服務(wù)�,根據合同約定服務(wù)范圍完成信息系統資產(chǎn)識別��。 |
資產(chǎn)識別表�,為IT資產(chǎn)的標識��、分級��、保護和軟件配置建立基礎資料檔案����;有設備和系統的種類(lèi)����、型號��、功能�����、物理位置�、端口對應情況���、部署情況等資產(chǎn)詳細信息��。 |
|
13. |
采集信息系統重要資產(chǎn)的安全配置����、流量信息等安全信息��。 |
對組織信息系統的安全配置�����、流量信息等安全信息進(jìn)行定期記錄�。 |
|
14. |
對安全設備進(jìn)行日常維護及監控�,并記錄硬件故障����。 |
安全設備的日常維護記錄���,包括狀態(tài)檢查����、更新���、升級��、故障檢測及排除�����、對安全設備出現的硬件故障進(jìn)行統計的記錄�����。 |
|
15. |
收集與分析網(wǎng)絡(luò )及安全設備���、服務(wù)器�����、數據庫���、中間件�、應用系統的日志�。 |
進(jìn)行安全事件審計�����,應有對網(wǎng)絡(luò )及安全設備���、服務(wù)器����、數據庫���、中間件�����、應用系統日志的保存記錄與審計分析報告�����。 |
|
16. |
實(shí)施日常巡檢服務(wù):對用戶(hù)的安全設備�����、網(wǎng)絡(luò )設備�����、服務(wù)器提供業(yè)務(wù)操作巡檢�、狀態(tài)巡檢�����、安全策略配置巡檢服務(wù)�����。 |
日常巡檢記錄,主要針對條款要求內容��。 |
|
17. |
實(shí)施日常安全運維服務(wù):完成安全設備��、網(wǎng)絡(luò )設備���、服務(wù)器���、應用系統安全事件監控����;病毒監測����、查殺及網(wǎng)絡(luò )防病毒維護�;漏洞掃描��、安全加固����、補丁安裝�;并有相關(guān)記錄����。 |
日常安全運維服務(wù)記錄,主要針對條款要求內容�。& |