信息安全運維服務資質(zhì)一級評價要求

Date16 8 月 2019

信息安全運維服務資質(zhì)一級評價要求針對服務準備、服務設計、服務實施、服務報告四個階段進行，
具體分級要求如下：

F3 信息安全運維服務資質(zhì)一級評價要求
組織申報一級資質(zhì)，除滿足二級能力要求外，還應滿足以下要求：
F3.1 準備階段
F3.1.1 需求調(diào)研與分析
a) 內(nèi)部團隊之間的安全運營級別協(xié)議應和與安全運維第三方之間的服務級別設計保持一致。
b) 安全組織中要設定安全領導小組。
F3.2 方案設計階段
a) 建立信息系統(tǒng)應急事件響應機制和恢復保障。
b) 編制安全運維項目作業(yè)指導書。
c) 建立應急響應和災難恢復機制，形成業(yè)務連續(xù)性計劃。
d) 基于漏洞發(fā)現(xiàn)與分析進行信息系統(tǒng)漏洞的管理工作。
F3.3 服務實施階段
a) 實施安全培訓服務：完成安全意識、基本安全技術的培訓服務。
b) 實施安全通告及漏洞分析服務：完成業(yè)界動態(tài)的通告、收集國家安全政策及法律法規(guī)、漏
洞通告、病毒通告、廠商安全通告及其他安全通告。
c) 實施應急響應服務：完成應急響應預案制定，對應急事件及時響應，并對應急預案進行演
練，形成相關記錄。
d) 依據(jù)運維變更管理程序，對運維實施過程中方案、資源變更進行有效控制，完整記錄變更
過程。
e) 制定運維應急處置方案和恢復策略，對運維過程中的應急事件及時進行響應。
f) 依據(jù)風險評估方案與計劃實施信息系統(tǒng)風險評估；依據(jù)滲透測試方案與計劃實施信息系統(tǒng)
滲透測試。
g) 依據(jù)漏洞管理方案實施信息系統(tǒng)漏洞管理工作。
F3.4 運維服務報告階段
a) 對客戶滿意度進行趨勢分析。
b) 對客戶系統(tǒng)的安全態(tài)勢做出分析，并給出安全建議。