|
|
服務(wù)技術(shù)要求 |
建立信息系統(tǒng)安全運(yùn)維服務(wù)流程�。 |
信息系統(tǒng)安全運(yùn)維服務(wù)流程,流程圖中應(yīng)包括每個(gè)階段對(duì)應(yīng)的職責(zé)�、輸入輸出等。 |
|
1. |
制定信息系統(tǒng)安全運(yùn)維服務(wù)規(guī)范并按照規(guī)范實(shí)施�����。 |
信息系統(tǒng)安全運(yùn)維服務(wù)規(guī)范并按照規(guī)范實(shí)施。 |
|
2. |
準(zhǔn)備階段-需求調(diào)研與分析 |
調(diào)研客戶信息系統(tǒng)安全現(xiàn)狀�,采集客戶安全服務(wù)需求與目標(biāo),明確客戶對(duì)信息系統(tǒng)安全運(yùn)維服務(wù)時(shí)間��、服務(wù)期限�����、服務(wù)內(nèi)容以及服務(wù)方式的需求����。 |
針對(duì)客戶的調(diào)研報(bào)告,其中包括對(duì)信息系統(tǒng)安全運(yùn)維服務(wù)時(shí)間����、服務(wù)期限、服務(wù)內(nèi)容以及服務(wù)方式的需求調(diào)研結(jié)果�����。 |
|
3. |
進(jìn)行信息系統(tǒng)運(yùn)維預(yù)算�,定義運(yùn)維服務(wù)。 |
信息系統(tǒng)安全運(yùn)維預(yù)算,其中包括運(yùn)維服務(wù)內(nèi)容���、每項(xiàng)服務(wù)的工作量���、每項(xiàng)服務(wù)的人力資源項(xiàng)目經(jīng)費(fèi)等。 |
|
4. |
僅二級(jí)/一級(jí)要求:分析客戶對(duì)信息系統(tǒng)安全運(yùn)維服務(wù)的需求和類型����。 |
對(duì)客戶進(jìn)行調(diào)查的記錄,內(nèi)容中應(yīng)有信息系統(tǒng)安全運(yùn)維服務(wù)的需求和類型�����,如應(yīng)用安全:應(yīng)用系統(tǒng)安全測試���、安全監(jiān)控���、安全事件應(yīng)急等。 |
|
5. |
僅二級(jí)/一級(jí)要求:收集與分析信息系統(tǒng)的可用性指標(biāo)����。 |
所運(yùn)維信息系統(tǒng)的可用性指標(biāo)��,如整體指標(biāo)或單系統(tǒng)指標(biāo)等。 |
|
6. |
準(zhǔn)備階段—簽訂服務(wù)協(xié)議 |
與客戶簽訂服務(wù)協(xié)議�,明確范圍、目標(biāo)�����、時(shí)間�、內(nèi)容、金額�、質(zhì)量和輸出等以及安全運(yùn)維的方式。 |
項(xiàng)目合同及保密協(xié)議�,合同內(nèi)容應(yīng)至少包含服務(wù)范圍、目標(biāo)�、時(shí)間、內(nèi)容�、金額、質(zhì)量和輸出等�。 |
|
7. |
方案設(shè)計(jì)階段 |
根據(jù)系統(tǒng)安全運(yùn)維需求,編制安全運(yùn)維服務(wù)方案���,明確安全運(yùn)維服務(wù)時(shí)間���、服務(wù)內(nèi)容、服務(wù)方式���、服務(wù)期限���、服務(wù)人員���、服務(wù)交付物、服務(wù)質(zhì)量管理�����、服務(wù)溝通機(jī)制�、服務(wù)風(fēng)險(xiǎn)管理等方面要求。 |
項(xiàng)目服務(wù)方案�����,內(nèi)容應(yīng)包括條款要求����。 |
|
8. |
提供安全設(shè)備、業(yè)務(wù)系統(tǒng)的健康檢查服務(wù)�����,并約定服務(wù)方式��、檢查頻次和檢查內(nèi)容����。 |
提供對(duì)健康檢查服務(wù)的服務(wù)方式、檢查頻次和檢查內(nèi)容進(jìn)行明確�����。
|
|
9. |
僅二級(jí)/一級(jí)要求:編制信息系統(tǒng)的可用性計(jì)劃��,監(jiān)控可用性事件�����,報(bào)告可用性執(zhí)行��,指導(dǎo)可用性的改進(jìn)���。 |
信息系統(tǒng)可用性計(jì)劃�;信息系統(tǒng)可用性事件記錄�;信息系統(tǒng)可用性執(zhí)行報(bào)告、改進(jìn)報(bào)告��。 |
|
10. |
僅二級(jí)/一級(jí)要求:編制信息系統(tǒng)的安全基線�。 |
信息系統(tǒng)安全基線�����。 |
|
11. |
僅一級(jí)要求:建立應(yīng)急響應(yīng)和災(zāi)難恢復(fù)機(jī)制�,形成業(yè)務(wù)連續(xù)性計(jì)劃�。 |
發(fā)布且通過審批的業(yè)務(wù)連續(xù)性計(jì)劃。 |
|
12. |
服務(wù)實(shí)施階段 |
實(shí)施初始服務(wù)��,根據(jù)合同約定服務(wù)范圍完成信息系統(tǒng)資產(chǎn)識(shí)別����。 |
資產(chǎn)識(shí)別表,為IT資產(chǎn)的標(biāo)識(shí)�、分級(jí)、保護(hù)和軟件配置建立基礎(chǔ)資料檔案�;有設(shè)備和系統(tǒng)的種類、型號(hào)�����、功能�����、物理位置�����、端口對(duì)應(yīng)情況、部署情況等資產(chǎn)詳細(xì)信息�。 |
|
13. |
采集信息系統(tǒng)重要資產(chǎn)的安全配置����、流量信息等安全信息。 |
對(duì)組織信息系統(tǒng)的安全配置����、流量信息等安全信息進(jìn)行定期記錄。 |
|
14. |
對(duì)安全設(shè)備進(jìn)行日常維護(hù)及監(jiān)控�����,并記錄硬件故障�����。 |
安全設(shè)備的日常維護(hù)記錄���,包括狀態(tài)檢查��、更新���、升級(jí)�、故障檢測及排除���、對(duì)安全設(shè)備出現(xiàn)的硬件故障進(jìn)行統(tǒng)計(jì)的記錄�。 |
|
15. |
收集與分析網(wǎng)絡(luò)及安全設(shè)備��、服務(wù)器��、數(shù)據(jù)庫���、中間件��、應(yīng)用系統(tǒng)的日志�。 |
進(jìn)行安全事件審計(jì)�����,應(yīng)有對(duì)網(wǎng)絡(luò)及安全設(shè)備����、服務(wù)器、數(shù)據(jù)庫、中間件���、應(yīng)用系統(tǒng)日志的保存記錄與審計(jì)分析報(bào)告���。 |
|
16. |
實(shí)施日常巡檢服務(wù):對(duì)用戶的安全設(shè)備、網(wǎng)絡(luò)設(shè)備�����、服務(wù)器提供業(yè)務(wù)操作巡檢���、狀態(tài)巡檢、安全策略配置巡檢服務(wù)���。 |
日常巡檢記錄,主要針對(duì)條款要求內(nèi)容����。 |
|
17. |
實(shí)施日常安全運(yùn)維服務(wù):完成安全設(shè)備����、網(wǎng)絡(luò)設(shè)備、服務(wù)器��、應(yīng)用系統(tǒng)安全事件監(jiān)控;病毒監(jiān)測���、查殺及網(wǎng)絡(luò)防病毒維護(hù)���;漏洞掃描、安全加固��、補(bǔ)丁安裝�;并有相關(guān)記錄。 |
日常安全運(yùn)維服務(wù)記錄,主要針對(duì)條款要求內(nèi)容�。& |