你的位置你的位置: 雄略首页 > ISO认证 > ISO27001认证
ISO认证 ISO9001认证 ISO13485认证 ISO14001认证 IATF16949认证 ISO20000认证 ISO45001认证 ISO50430认证 ISO27001认证 SA8000认证 QC080000认证 ISO22000认证 HACCP认证 FSC森林认证 TL9000认证
最新文章 ISO27001认证的好处 ISO27001认证是什么认证体系 ISO27001认证的发展 什么是ISO27001认证? 企业申请ISO27001的好处
热门文章 ISO27000信息安全管理体系介绍 ISO 27001和ISO 27002有什么区别? 等级保护与ISO27000系列的区别与联系 国内哪些iso27001认证机构才是合法的? ISO27001信息安全认证外审前准备资料
联系我们
  • 电话:0757-22177500
  • 邮箱:364871198@qq.com
  • 地址:佛山市顺德区容桂天富来环球广场

    • 信息安全运维服务资质专业评价要求

    时间:2023-02-04 10:50:20 作者:雄略企业管理

    信息安全标准适用范围:

    标准描述备注ISO/IEC 27001:2013信息安全管理体系作为基础管理体系的框架,适用于所有类型和规模的组织。ISO/IEC 27701:2019ISO/IEC 27001和ISO/IEC 27002的延伸,用于隐私信息管理个人身份信息相关组织和利益相关方要求;个人身份信息相关风险评估;适用于适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非营利组织,他们是在ISMS中处理PII(个人可识别信息)的控制者或处理者。ISO/IEC 29151:2017个人信息保护的行为准则36项ISO/IEC 27002附加控制要求;个人身份信息新增13个控制;适用于所有类型和规模的作为PII控制者的组织,包括处理PII的公共和私营公司、政府机构和非营利组织。ISO/IEC 27017:2015基于ISO/IEC 27002的云服务信息安全控制实务守则37个与云安全相关的ISO/IEC 27002附加控制要求;7个额外的云安全要求;适用于云服务提供商和云服务客户。ISO/IEC 27018:2019公用云作为保护隐私数据处理者的实务守则与云相关的15项ISO/IEC 27002附加控制要求;11个额外的基于云的个人信息要求;适用于所有类型和规模的组织,这些组织作为PII处理者通过与其他组织签订的云计算提供信息处理服务;也适用于PII控制者的组织。

    image.png


    安全运维服务资质专业评价要求针对服务准备、服务设计、服务实施、服务报告四个阶段进行,具体分级要求如下:

     

    三级要求

    1 准备阶段

    1.1 需求调研与分析

    a) 调研客户信息系统安全现状,采集客户安全服务需求与目标,明确客户对信息系统安全运 维服务时间、服务期限、服务内容以及服务方式的需求。

    b) 进行信息系统运维预算,定义运维服务。

    c) 与客户进行沟通,达成共识并形成记录。

     

    1.2 签订服务协议

    a) 与客户签订服务协议,明确范围、目标、时间、内容、金额、质量和输出等。

    b) 明确安全运维的方式,方式包括但不限于:驻场值守方式,定期巡检方式,远程值守方式。

     

    2 方案设计阶段

    a)  根据系统安全运维需求,编制安全运维服务方案,明确安全运维服务时间、服务内容、服 务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管 理等方面要求。

    b) 提供安全设备、业务系统的健康检查服务,并约定服务方式、检查频次和检查内容。

    c) 专业人员负责安全管理的接口。

     

    3 服务实施阶段

    a) 实施初始服务,完成资产识别。

    b) 采集信息系统重要资产的安全配置、流量信息等安全信息。c) 对安全设备进行日常维护及监控,并记录硬件故障。

    d) 收集与分析网络及安全设备、服务器、数据库、中间件、应用系统的日志。

    e) 实施日常巡检服务:对用户的安全设备、网络设备、服务器提供业务操作巡检、状态巡检、 安全策略配置巡检服务。

    f) 实施日常安全运维服务:完成安全设备、网络设备、服务器、应用系统安全事件监控;病 毒监测、查杀及网络防病毒维护;漏洞扫描、安全加固、补丁安装;并有相关记录。

    g) 对信息安全事件进行统计与分析。

    h ) 实施健康检查服务:完成安全设备、业务系统的健康检查服务。

     

    4 运维服务报告阶段

    a) 向客户提交服务报告,定期收集与报告安全运维实施情况。

    b) 汇总整理全年服务记录,形成年终安全运维服务总结报告。

    c) 根据合同约定,配合组织项目验收,出具项目验收报告。

     

     

    二级要求

    组织申报二级资质,除满足三级能力要求外,还应满足以下要求:

    1 准备阶段

    1.1 需求调研与分析

    a) 分析客户对信息系统安全服务的需求和类型。

    b) 收集与分析信息系统的可用性指标。

    c) 分析以往服务的数据,提取出来未来可自动化的服务(监审时适用)。

     

    1.2 签订服务协议

    签订服务级别协议。

     

    2 方案设计阶段

    a) 编制信息系统的可用性计划,监控可用性事件,报告可用性执行,指导可用性的改进。

    b)  识别与分析信息系统运维过程中的历史数据,提出系统运维的保障策略和解决方案(监审 时适用)。

    c) 编制信息系统的安全基线。

    d) 建立信息系统安全的配置库。

     

    3 服务实施阶段

    a) 收集与建立配置管理数据库,确保配置项目的机密性、完整性、可用性(专职管理)。

    b) 实施安全设备、网络设备、中间件、数据库、服务器等资产的安全配置管理,定期对配置项进行更新和维护。

    c) 根据制定的安全配置基线,定期进行安全配置核查工作。

    d) 实施运维监控与分析并形成记录。

     

    4 运维服务报告阶段

    a)  应定期收集与分析安全运维的关键指标数据,数据包括但不限于:异常报告及时率、异常 漏报率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆盖率、安全补丁安装及时率、安全事件次数。(参照服务合同)

    b) 建立客户满意度调查机制。

     

     

    一级要求

    组织申报一级资质,除满足二级能力要求外,还应满足以下要求:

    1 准备阶段

    1.1 需求调研与分析


    上一篇:信息系统灾难备份与恢复服务资质专业评价要求

    下一篇:信息安全应急处理服务资质专业评价要求有哪些?

    广东雄略企业管理咨询有限公司
    地址:佛山市顺德区容桂天富来环球广场 电话:0757-22177500
    备案号:粤ICP备2020077643号