IT服務(wù)商根據(jù)公司發(fā)展需求可申請辦理ISO27001信息安全辦理體系認(rèn)證證書��。
活動方針:確定符合國家規(guī)定或行業(yè)規(guī)定的設(shè)計�����、測評�����、建設(shè)資質(zhì)的服務(wù)商��,為后續(xù)的辦理和監(jiān)控奠定根底�。
參與角色:運營���、運用單位.網(wǎng)絡(luò)安全服務(wù)機構(gòu)����。
活動輸入:安全詳細(xì)設(shè)計計劃,實施計劃等�。
從影響系統(tǒng)、事務(wù)安全性等要害要素層面剖析服務(wù)商服務(wù)能力,根據(jù)國家招投標(biāo)相關(guān)要求,挑選最佳服務(wù)商,這些要素或許包括服務(wù)商的基本情況��、企業(yè)資質(zhì)和人員資質(zhì)�、信譽�����、技術(shù)力量和行業(yè)經(jīng)驗����、內(nèi)部控制和辦理能力����、持續(xù)經(jīng)營狀況、服務(wù)水平及人員配備情況等���。
b)網(wǎng)絡(luò)安全風(fēng)險剖析
在挑選服務(wù)商時,需求識別服務(wù)商的網(wǎng)絡(luò)安全風(fēng)險,防止高風(fēng)險�、不合格服務(wù)商承當(dāng)安全運行維護(hù)項目,網(wǎng)絡(luò)安全風(fēng)險點包括但不限于以下幾點:
——服務(wù)商服務(wù)能力及行業(yè)經(jīng)驗��。
——物理訪問�、信息資料丟失�、系統(tǒng)越權(quán)訪問、誤操作等�。
——服務(wù)商企業(yè)資質(zhì)、人員資質(zhì)及網(wǎng)絡(luò)安全口碑�����、業(yè)績。
——服務(wù)商以往服務(wù)項目案例���。
在挑選服務(wù)商時,需求識別服務(wù)商供給的服務(wù)與之前或后續(xù)供給的服務(wù)之間沒有互斥性�����。承當(dāng)?shù)燃壉Wo(hù)方針安全建設(shè)服務(wù)的機構(gòu)應(yīng)具備等級保護(hù)安全建設(shè)服務(wù)機構(gòu)資質(zhì)��。承當(dāng)?shù)燃墱y評服務(wù)的機構(gòu)具備等級測評機構(gòu)資質(zhì)���。
活動輸出:已挑選的服務(wù)商,安全服務(wù)計劃。
活動方針:對服務(wù)商從多維度進(jìn)行切實有效辦理,使得服務(wù)商在約定范圍內(nèi)展開服務(wù)作業(yè)�����。
參與角色:運營�、運用單位,網(wǎng)絡(luò)安全服務(wù)機構(gòu)。
活動輸入:已挑選的服務(wù)商,安全服務(wù)計劃�。
為保證服務(wù)商服務(wù)作業(yè)符合約定要求,運用單位對服務(wù)人員的辦理措施應(yīng)至少包括但不限于:
——運用單位需制定服務(wù)商人員辦理規(guī)定,包含但不限于上崗資質(zhì)審核機制、保密協(xié)議�、品行辦理、服務(wù)技能查核�、行為辦理、系統(tǒng)權(quán)限辦理�����、口令辦理等���。
——運用單位負(fù)責(zé)對服務(wù)商核心人員的確定和變更進(jìn)行備案��。
——服務(wù)商人員在為運用單位供給服務(wù)的過程中,嚴(yán)格遵守運用單位的各項規(guī)定����、辦理要求,服從運用單位安排�����。
——如因服務(wù)商人員原因,給運用單位或第三方造成人員人身傷害或財產(chǎn)丟失的,服務(wù)商應(yīng)承當(dāng)補償責(zé)任�����。
——運用單位督促服務(wù)商對服務(wù)人員展開培訓(xùn)及安全教育作業(yè)���。
為保證服務(wù)商服務(wù)作業(yè)符合約定要求,服務(wù)商應(yīng)滿足但不限于:
——服務(wù)商供給完全出場相關(guān)資料(如企業(yè)資質(zhì)�、人員資質(zhì)�����、人員名單��、物資資料等),并接受運用單位的審核����。
——服務(wù)商基本信息產(chǎn)生變更,如:法人、單位名稱��、銀行賬戶等,應(yīng)提前通知運用單位���。
——按照約定要求服務(wù)商供給各項服務(wù),保質(zhì)保量完成服務(wù)方針;如因服務(wù)商未完成服務(wù)方針給運用單位造成丟失的,應(yīng)予補償��。
——服務(wù)商保證所供給服務(wù)不存在任何侵犯第三方著作權(quán)��、商標(biāo)權(quán)���、專利權(quán)等合法權(quán)益的情形;服務(wù)商保護(hù)好對服務(wù)過程中產(chǎn)生的研究成果及知識產(chǎn)權(quán),未經(jīng)運用單位答應(yīng),服務(wù)商不得以任何方法向任何第三方轉(zhuǎn)讓權(quán)利義務(wù)。
——服務(wù)商供給項目驗收和查核的相關(guān)材料.配合運用單位組織展開項目結(jié)題驗收和查核作業(yè)。
——運用單位根據(jù)約定的售后服務(wù)內(nèi)容及規(guī)范���,實時跟蹤服務(wù)商售后服務(wù)查核情況,作為后續(xù)服務(wù)商挑選參閱��。
活動輸出:服務(wù)商服務(wù)辦理報告����。
活動方針:通過對服務(wù)商及其人員在服務(wù)過程中的行為進(jìn)行有效監(jiān)控,若發(fā)現(xiàn)不合規(guī)行為,限時保質(zhì)整改,保證服務(wù)商服務(wù)作業(yè)持續(xù)����、規(guī)范、高效�����。
參與角色:運營��、運用單位,網(wǎng)絡(luò)安全服務(wù)機構(gòu)���。
活動輸入:服務(wù)商日常服務(wù)記錄,安全服務(wù)計劃��。
a) 運用單位負(fù)責(zé)組織制定服務(wù)評審規(guī)范及辦法,并依據(jù)辦法對服務(wù)質(zhì)量進(jìn)行評審;服務(wù)商應(yīng)接受運用單位對其供給服務(wù)情況進(jìn)行的監(jiān)督和查看,并應(yīng)及時按照運用單位要求對所供給的服務(wù)進(jìn)行改進(jìn)或調(diào)整,使服務(wù)質(zhì)量符合運用單位要求�����。
b) 運用單位對服務(wù)商日常作業(yè)進(jìn)行指導(dǎo)�����,當(dāng)發(fā)現(xiàn)服務(wù)商作業(yè)中存在問題時����,要求服務(wù)商及時糾正,因服務(wù)商原因(故意或過失)給運用單位造成丟失的�,服務(wù)商應(yīng)承當(dāng)全部補償責(zé)任。
c) 運用單位監(jiān)管項目進(jìn)展情況期間,對于嚴(yán)重情況服務(wù)商應(yīng)及時主動報告�����。
d) 運用單位負(fù) 責(zé)對服務(wù)商人員定期進(jìn)行查核評價,查核方法可采用日常查核�、季度查核和年度查核,也可采用適合運用單位的查核方法;如產(chǎn)生嚴(yán)重違反協(xié)作原則��、傷害運用單位利益�����、影響服務(wù)質(zhì)量等行為.運用單位有權(quán)隨時向服務(wù)商提出人員撤換要求��。
e) 服務(wù)過程中,服務(wù)商如因正當(dāng)理由需求調(diào)整、變更人員的,應(yīng)提前通知運用單位,做好作業(yè)交接,并獲得運用單位同意后方可進(jìn)行���。
