在線客服1
認(rèn)證知識(shí)
CCRC安全運(yùn)維服務(wù)資質(zhì)認(rèn)證
信息安全運(yùn)維服務(wù)資質(zhì)認(rèn)證主要是通過(guò)技術(shù)設(shè)施安全,技術(shù)設(shè)施安全加固,安全漏洞補(bǔ)丁通告、安全事件響應(yīng)以及信息安全運(yùn)維咨詢,協(xié)助組織的信息系統(tǒng)管理人員進(jìn)行信息系統(tǒng)的安全運(yùn)維工作,以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)中所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時(shí)加以響應(yīng)。從而提升安全運(yùn)維服務(wù)提供方的服務(wù)能力,質(zhì)量和水平。
安全運(yùn)維服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供方的安全運(yùn)維服務(wù)資格和能力的尺度。資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)共三個(gè)級(jí)別,其中一級(jí),三級(jí)。
從面向業(yè)務(wù)的運(yùn)維服務(wù)出發(fā),依據(jù)安全需求對(duì)信息系統(tǒng)進(jìn)行安全運(yùn)維準(zhǔn)備、安全運(yùn)維實(shí)施,并對(duì)實(shí)施安全運(yùn)維服務(wù)的有效性進(jìn)行評(píng)審,從而進(jìn)行持續(xù)性改進(jìn),全過(guò)程、全生命周期地為信息系統(tǒng)運(yùn)行提供安全保障的過(guò)程。
安全運(yùn)維服務(wù)資質(zhì)專業(yè)評(píng)價(jià)要求針對(duì)服務(wù)準(zhǔn)備、服務(wù)實(shí)施、監(jiān)視評(píng)審、持續(xù)改進(jìn)四個(gè)階段進(jìn)行,具體分級(jí)要求如下:一、準(zhǔn)備階段
1、需求調(diào)研與分析:
1、采集客戶對(duì)信息系統(tǒng)運(yùn)維服務(wù)時(shí)間的需求;
2、進(jìn)行信息系統(tǒng)運(yùn)維預(yù)算,定義運(yùn)維服務(wù);
3、與客戶進(jìn)行溝通,達(dá)成共識(shí)并形成記錄;
2、運(yùn)維服務(wù)設(shè)計(jì):
①、制定安全運(yùn)維服務(wù)目錄,包括但不限于:初始服務(wù)、安全設(shè)備運(yùn)維、日常巡檢服務(wù)、健康 檢查、安全事件審計(jì);
②、對(duì)信息系統(tǒng)相關(guān)的IT資產(chǎn)進(jìn)行識(shí)別;
③、對(duì)安全設(shè)備進(jìn)行日常維護(hù)及監(jiān)控,并記錄硬件故障;
④、提供安全設(shè)備、業(yè)務(wù)系統(tǒng)的健康檢查服務(wù),并約定服務(wù)方式、檢查頻次和檢查內(nèi)容;
⑤、采集系統(tǒng)配置、流量信息、系統(tǒng)狀態(tài)等安全信息。收集與分析網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用的日志
3、運(yùn)維服務(wù)導(dǎo)入:
①、收集與建立配置管理數(shù)據(jù)庫(kù),確保配置項(xiàng)目的機(jī)密性、完整性、可用性;
②、專業(yè)人員負(fù)責(zé)安全管理的接口;
③、建立服務(wù)目錄;
④、建立事件響應(yīng)和解決的機(jī)制,有基本的安全運(yùn)維報(bào)告模式;
4、明確服務(wù)協(xié)議特殊要求:
1、明確安全事件處理與應(yīng)急響應(yīng)流程,包括但不限于:安全事件的分類、安全事件上報(bào)流程、安全事件處理流程、安全事件的事后處理;
2、明確安全運(yùn)維方式,包括但不限于:駐場(chǎng)值守方式,定期巡檢方式,遠(yuǎn)程值守方式;
二、運(yùn)維服務(wù)實(shí)施階段:
1、實(shí)施初始服務(wù):完成資產(chǎn)識(shí)別,定期配置項(xiàng)的更新和維護(hù),實(shí)施相關(guān)運(yùn)維流程;
2、實(shí)施安全設(shè)備運(yùn)維服務(wù):完成日常維護(hù),狀態(tài)檢查,定期查殺,故障處理、保養(yǎng)、更新、升級(jí)、故障檢測(cè)及排除,并對(duì)安全設(shè)備出現(xiàn)的硬件故障進(jìn)行統(tǒng)計(jì)記錄;
3、實(shí)施日常巡檢服務(wù):完成安全設(shè)備監(jiān)控;病毒監(jiān)測(cè)、查殺及網(wǎng)絡(luò)防病毒維護(hù),并有相關(guān)記錄;
4、實(shí)施健康檢查服務(wù):完成安全設(shè)備、業(yè)務(wù)系統(tǒng)的健康檢查服務(wù);
5、實(shí)施安全事件審計(jì)服務(wù):完成網(wǎng)絡(luò)及安全設(shè)備日志、服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用的日志、并且進(jìn)行記錄;
6、組建運(yùn)維服務(wù)臺(tái)職能,培養(yǎng)服務(wù)臺(tái)人員的專業(yè)能力;
7、建立事件管理程序和信息安全服務(wù)請(qǐng)求管理程序;
三、運(yùn)維監(jiān)視評(píng)審階段:
1、應(yīng)定期收集與分析安全運(yùn)維報(bào)告的數(shù)據(jù),包括但不限于:異常報(bào)告及時(shí)率、異常漏報(bào)率、 維護(hù)作業(yè)計(jì)劃的及時(shí)完成率、故障隱患發(fā)現(xiàn)率、異常主動(dòng)發(fā)現(xiàn)率、問(wèn)題解決率、漏洞掃描 覆蓋率、加固設(shè)備覆蓋率、安全補(bǔ)丁安裝及時(shí)率、安全事件次數(shù);
2、對(duì)運(yùn)維實(shí)現(xiàn)情況進(jìn)行監(jiān)視測(cè)量,未能實(shí)現(xiàn)的目標(biāo)應(yīng)采取糾正預(yù)防措施;
3、建立與分析客戶滿意度調(diào)查;
四、運(yùn)維持續(xù)改進(jìn)階段:
1、應(yīng)在運(yùn)維過(guò)程和監(jiān)視過(guò)程中識(shí)別改進(jìn)項(xiàng)目,制定持續(xù)改進(jìn)計(jì)劃,包括但不限于對(duì)改進(jìn)機(jī)會(huì)的評(píng)估標(biāo)準(zhǔn);
2、應(yīng)有文件化的程序,用以識(shí)別、記錄、批準(zhǔn)、評(píng)估、測(cè)量和報(bào)告改進(jìn)措施;
3、應(yīng)采取預(yù)防措施,以消除潛在的不符合項(xiàng)的原因,以防止其發(fā)生。
流程
一、自評(píng)估:
組織在中國(guó)信息安全認(rèn)證中心網(wǎng)站下載《信息安全服務(wù)自評(píng)估表》,并實(shí)施自主評(píng)估;
二、認(rèn)證申請(qǐng):
組織依據(jù)信息安全服務(wù)資質(zhì)認(rèn)證程序、認(rèn)證實(shí)施規(guī)則中相關(guān)要求,確定申請(qǐng)服務(wù)資質(zhì)類別,并填寫《信息安全服務(wù)資質(zhì)認(rèn)證申請(qǐng)書》。組織向中國(guó)信息安全認(rèn)證中心或其指定機(jī)構(gòu)提交《信息安全服務(wù)資質(zhì)認(rèn)證申請(qǐng)書》、《信息安全服務(wù)自評(píng)估表》及相關(guān)證明材料;
三、申請(qǐng)材料評(píng)審:
中心依據(jù)認(rèn)證程序和相關(guān)標(biāo)準(zhǔn)要求,對(duì)申請(qǐng)組織提交的認(rèn)證相關(guān)材料進(jìn)行評(píng)審,并確定申報(bào)級(jí)別和資質(zhì)類別,簽訂認(rèn)證合同;
四、現(xiàn)場(chǎng)評(píng)審:
認(rèn)證機(jī)構(gòu)組成評(píng)審組,依據(jù)相關(guān)標(biāo)準(zhǔn)和評(píng)審要求,到申請(qǐng)組織現(xiàn)場(chǎng)進(jìn)行評(píng)審,并出具現(xiàn)場(chǎng)評(píng)審報(bào)告。特別,對(duì)申請(qǐng)一級(jí)資質(zhì)認(rèn)證的組織,必要時(shí)選擇申請(qǐng)組織的客戶進(jìn)行項(xiàng)目實(shí)施現(xiàn)場(chǎng)見證;
五、認(rèn)證決定:
認(rèn)證決定委員會(huì)由3名以上(含3名)奇數(shù)認(rèn)證決定人員組成,做出認(rèn)證決定;
六、證書頒發(fā):
對(duì)于符合認(rèn)證要求的申請(qǐng)組織,頒發(fā)認(rèn)證證書,并予以公示。
安全運(yùn)維服務(wù)資質(zhì)認(rèn)證需要準(zhǔn)備的材料:
1.營(yíng)業(yè)執(zhí)照
2.項(xiàng)目經(jīng)理1名
3.相應(yīng)的技術(shù)工程師2名
4.對(duì)應(yīng)的運(yùn)營(yíng)項(xiàng)目
5.技術(shù)、財(cái)務(wù)、管理負(fù)責(zé)人具有相應(yīng)資質(zhì)
6.3年的審計(jì)報(bào)告
實(shí)施安全運(yùn)維服務(wù)資質(zhì)作用
1.保障企業(yè)信息安全,及時(shí)發(fā)現(xiàn)安全隱患。
2.增強(qiáng)消費(fèi)者信心,擴(kuò)大市場(chǎng)份額。
3.降低安全隱患和被非法利用的可能性,減少企業(yè)運(yùn)營(yíng)成本和財(cái)產(chǎn)損失。
二、認(rèn)證意義
(1)是企業(yè)能力獲得第三方權(quán)威機(jī)構(gòu)認(rèn)證認(rèn)可的依據(jù);
(2)是需方選擇的依據(jù),可以提高需方對(duì)服務(wù)商的信任度;
(3)規(guī)范管理與技術(shù),提高客戶滿意度;
(4)拓寬企業(yè)的業(yè)務(wù)范圍,獲得更多業(yè)務(wù)機(jī)會(huì)。
深圳市新世紀(jì)認(rèn)證有限公司辦理CCRC安全運(yùn)維服務(wù)資質(zhì)認(rèn)證,費(fèi)用低,流程快,權(quán)威證書認(rèn)監(jiān)委網(wǎng)站可查詢
以上信息來(lái)自網(wǎng)絡(luò),如有侵權(quán)即聯(lián)系刪除