首页 首页>新闻中心>平台动态

网络安全等级保护服务商管理和监控要求,ISO27001认证办理

1113 2022-11-12

网络安全等级保护服务商管理和监控要求,ISO27001认证办理


IT服务商根据公司发展需求可申请办理ISO27001信息安全办理体系认证证书。

1、服务商挑选

活动方针:确定符合国家规定或行业规定的设计、测评、建设资质的服务商,为后续的办理和监控奠定根底。

参与角色:运营、运用单位.网络安全服务机构。

活动输入:安全详细设计计划,实施计划等。

活动描述:

本活动主要包括以下子活动内容:

a) 服务能力剖析

从影响系统、事务安全性等要害要素层面剖析服务商服务能力,根据国家招投标相关要求,挑选最佳服务商,这些要素或许包括服务商的基本情况、企业资质和人员资质、信誉、技术力量和行业经验、内部控制和办理能力、持续经营状况、服务水平及人员配备情况等。

b)网络安全风险剖析

在挑选服务商时,需求识别服务商的网络安全风险,防止高风险、不合格服务商承当安全运行维护项目,网络安全风险点包括但不限于以下几点:

——服务商或许的泄密行为。

——服务商服务能力及行业经验。

——物理访问、信息资料丢失、系统越权访问、误操作等。

——服务商企业资质、人员资质及网络安全口碑、业绩。

——服务商以往服务项目案例。

c) 服务内容互斥剖析

在挑选服务商时,需求识别服务商供给的服务与之前或后续供给的服务之间没有互斥性。承当等级保护方针安全建设服务的机构应具备等级保护安全建设服务机构资质。承当等级测评服务的机构具备等级测评机构资质。

活动输出:已挑选的服务商,安全服务计划。


2、服务商办理

活动方针:对服务商从多维度进行切实有效办理,使得服务商在约定范围内展开服务作业。

参与角色:运营、运用单位,网络安全服务机构。

活动输入:已挑选的服务商,安全服务计划。

活动描述:

本活动主要包括以下子活动内容:

a) 人员办理

为保证服务商服务作业符合约定要求,运用单位对服务人员的办理措施应至少包括但不限于:

——运用单位需制定服务商人员办理规定,包含但不限于上岗资质审核机制、保密协议、品行办理、服务技能查核、行为办理、系统权限办理、口令办理等。

——运用单位负责对服务商核心人员的确定和变更进行备案。

——服务商人员在为运用单位供给服务的过程中,严格遵守运用单位的各项规定、办理要求,服从运用单位安排。

——如因服务商人员原因,给运用单位或第三方造成人员人身伤害或财产丢失的,服务商应承当补偿责任。

——运用单位督促服务商对服务人员展开培训及安全教育作业。

b)服务办理

为保证服务商服务作业符合约定要求,服务商应满足但不限于:

——服务商供给完全出场相关资料(如企业资质、人员资质、人员名单、物资资料等),并接受运用单位的审核。

——服务商基本信息产生变更,如:法人、单位名称、银行账户等,应提前通知运用单位。

——按照约定要求服务商供给各项服务,保质保量完成服务方针;如因服务商未完成服务方针给运用单位造成丢失的,应予补偿。

——服务商保证所供给服务不存在任何侵犯第三方著作权、商标权、专利权等合法权益的情形;服务商保护好对服务过程中产生的研究成果及知识产权,未经运用单位答应,服务商不得以任何方法向任何第三方转让权利义务。

——服务商供给项目验收和查核的相关材料.配合运用单位组织展开项目结题验收和查核作业。

——运用单位根据约定的售后服务内容及规范,实时跟踪服务商售后服务查核情况,作为后续服务商挑选参阅。

活动输出:服务商服务办理报告。

3、服务商监控

活动方针:通过对服务商及其人员在服务过程中的行为进行有效监控,若发现不合规行为,限时保质整改,保证服务商服务作业持续、规范、高效。

参与角色:运营、运用单位,网络安全服务机构。

活动输入:服务商日常服务记录,安全服务计划。

活动描述:

本活动主要包括以下子活动内容:

a) 运用单位负责组织制定服务评审规范及办法,并依据办法对服务质量进行评审;服务商应接受运用单位对其供给服务情况进行的监督和查看,并应及时按照运用单位要求对所供给的服务进行改进或调整,使服务质量符合运用单位要求。

b) 运用单位对服务商日常作业进行指导,当发现服务商作业中存在问题时,要求服务商及时纠正,因服务商原因(故意或过失)给运用单位造成丢失的,服务商应承当全部补偿责任。

c) 运用单位监管项目进展情况期间,对于严重情况服务商应及时主动报告。

d) 运用单位负 责对服务商人员定期进行查核评价,查核方法可采用日常查核、季度查核和年度查核,也可采用适合运用单位的查核方法;如产生严重违反协作原则、伤害运用单位利益、影响服务质量等行为.运用单位有权随时向服务商提出人员撤换要求。

e) 服务过程中,服务商如因正当理由需求调整、变更人员的,应提前通知运用单位,做好作业交接,并获得运用单位同意后方可进行。

最新文章