IT服務(wù)商根據(jù)公司發(fā)展需求可申請辦理ISO27001信息安全辦理體系認證證書。
1、服務(wù)商挑選
活動方針:確定符合國家規(guī)定或行業(yè)規(guī)定的設(shè)計、測評、建設(shè)資質(zhì)的服務(wù)商,為后續(xù)的辦理和監(jiān)控奠定根底。
參與角色:運營、運用單位.網(wǎng)絡(luò)安全服務(wù)機構(gòu)。
活動輸入:安全詳細設(shè)計計劃,實施計劃等。
活動描述:
本活動主要包括以下子活動內(nèi)容:
a) 服務(wù)能力剖析
從影響系統(tǒng)、事務(wù)安全性等要害要素層面剖析服務(wù)商服務(wù)能力,根據(jù)國家招投標相關(guān)要求,挑選最佳服務(wù)商,這些要素或許包括服務(wù)商的基本情況、企業(yè)資質(zhì)和人員資質(zhì)、信譽、技術(shù)力量和行業(yè)經(jīng)驗、內(nèi)部控制和辦理能力、持續(xù)經(jīng)營狀況、服務(wù)水平及人員配備情況等。
b)網(wǎng)絡(luò)安全風(fēng)險剖析
在挑選服務(wù)商時,需求識別服務(wù)商的網(wǎng)絡(luò)安全風(fēng)險,防止高風(fēng)險、不合格服務(wù)商承當(dāng)安全運行維護項目,網(wǎng)絡(luò)安全風(fēng)險點包括但不限于以下幾點:
——服務(wù)商或許的泄密行為。
——服務(wù)商服務(wù)能力及行業(yè)經(jīng)驗。
——物理訪問、信息資料丟失、系統(tǒng)越權(quán)訪問、誤操作等。
——服務(wù)商企業(yè)資質(zhì)、人員資質(zhì)及網(wǎng)絡(luò)安全口碑、業(yè)績。
——服務(wù)商以往服務(wù)項目案例。
c) 服務(wù)內(nèi)容互斥剖析
在挑選服務(wù)商時,需求識別服務(wù)商供給的服務(wù)與之前或后續(xù)供給的服務(wù)之間沒有互斥性。承當(dāng)?shù)燃壉Wo方針安全建設(shè)服務(wù)的機構(gòu)應(yīng)具備等級保護安全建設(shè)服務(wù)機構(gòu)資質(zhì)。承當(dāng)?shù)燃墱y評服務(wù)的機構(gòu)具備等級測評機構(gòu)資質(zhì)。
活動輸出:已挑選的服務(wù)商,安全服務(wù)計劃。
2、服務(wù)商辦理
活動方針:對服務(wù)商從多維度進行切實有效辦理,使得服務(wù)商在約定范圍內(nèi)展開服務(wù)作業(yè)。
參與角色:運營、運用單位,網(wǎng)絡(luò)安全服務(wù)機構(gòu)。
活動輸入:已挑選的服務(wù)商,安全服務(wù)計劃。
活動描述:
本活動主要包括以下子活動內(nèi)容:
a) 人員辦理
為保證服務(wù)商服務(wù)作業(yè)符合約定要求,運用單位對服務(wù)人員的辦理措施應(yīng)至少包括但不限于:
——運用單位需制定服務(wù)商人員辦理規(guī)定,包含但不限于上崗資質(zhì)審核機制、保密協(xié)議、品行辦理、服務(wù)技能查核、行為辦理、系統(tǒng)權(quán)限辦理、口令辦理等。
——運用單位負責(zé)對服務(wù)商核心人員的確定和變更進行備案。
——服務(wù)商人員在為運用單位供給服務(wù)的過程中,嚴格遵守運用單位的各項規(guī)定、辦理要求,服從運用單位安排。
——如因服務(wù)商人員原因,給運用單位或第三方造成人員人身傷害或財產(chǎn)丟失的,服務(wù)商應(yīng)承當(dāng)補償責(zé)任。
——運用單位督促服務(wù)商對服務(wù)人員展開培訓(xùn)及安全教育作業(yè)。
b)服務(wù)辦理
為保證服務(wù)商服務(wù)作業(yè)符合約定要求,服務(wù)商應(yīng)滿足但不限于:
——服務(wù)商供給完全出場相關(guān)資料(如企業(yè)資質(zhì)、人員資質(zhì)、人員名單、物資資料等),并接受運用單位的審核。
——服務(wù)商基本信息產(chǎn)生變更,如:法人、單位名稱、銀行賬戶等,應(yīng)提前通知運用單位。
——按照約定要求服務(wù)商供給各項服務(wù),保質(zhì)保量完成服務(wù)方針;如因服務(wù)商未完成服務(wù)方針給運用單位造成丟失的,應(yīng)予補償。
——服務(wù)商保證所供給服務(wù)不存在任何侵犯第三方著作權(quán)、商標權(quán)、專利權(quán)等合法權(quán)益的情形;服務(wù)商保護好對服務(wù)過程中產(chǎn)生的研究成果及知識產(chǎn)權(quán),未經(jīng)運用單位答應(yīng),服務(wù)商不得以任何方法向任何第三方轉(zhuǎn)讓權(quán)利義務(wù)。
——服務(wù)商供給項目驗收和查核的相關(guān)材料.配合運用單位組織展開項目結(jié)題驗收和查核作業(yè)。
——運用單位根據(jù)約定的售后服務(wù)內(nèi)容及規(guī)范,實時跟蹤服務(wù)商售后服務(wù)查核情況,作為后續(xù)服務(wù)商挑選參閱。
活動輸出:服務(wù)商服務(wù)辦理報告。
3、服務(wù)商監(jiān)控
活動方針:通過對服務(wù)商及其人員在服務(wù)過程中的行為進行有效監(jiān)控,若發(fā)現(xiàn)不合規(guī)行為,限時保質(zhì)整改,保證服務(wù)商服務(wù)作業(yè)持續(xù)、規(guī)范、高效。
參與角色:運營、運用單位,網(wǎng)絡(luò)安全服務(wù)機構(gòu)。
活動輸入:服務(wù)商日常服務(wù)記錄,安全服務(wù)計劃。
活動描述:
本活動主要包括以下子活動內(nèi)容:
a) 運用單位負責(zé)組織制定服務(wù)評審規(guī)范及辦法,并依據(jù)辦法對服務(wù)質(zhì)量進行評審;服務(wù)商應(yīng)接受運用單位對其供給服務(wù)情況進行的監(jiān)督和查看,并應(yīng)及時按照運用單位要求對所供給的服務(wù)進行改進或調(diào)整,使服務(wù)質(zhì)量符合運用單位要求。
b) 運用單位對服務(wù)商日常作業(yè)進行指導(dǎo),當(dāng)發(fā)現(xiàn)服務(wù)商作業(yè)中存在問題時,要求服務(wù)商及時糾正,因服務(wù)商原因(故意或過失)給運用單位造成丟失的,服務(wù)商應(yīng)承當(dāng)全部補償責(zé)任。
c) 運用單位監(jiān)管項目進展情況期間,對于嚴重情況服務(wù)商應(yīng)及時主動報告。
d) 運用單位負 責(zé)對服務(wù)商人員定期進行查核評價,查核方法可采用日常查核、季度查核和年度查核,也可采用適合運用單位的查核方法;如產(chǎn)生嚴重違反協(xié)作原則、傷害運用單位利益、影響服務(wù)質(zhì)量等行為.運用單位有權(quán)隨時向服務(wù)商提出人員撤換要求。
e) 服務(wù)過程中,服務(wù)商如因正當(dāng)理由需求調(diào)整、變更人員的,應(yīng)提前通知運用單位,做好作業(yè)交接,并獲得運用單位同意后方可進行。
咨詢熱線:152-0755-8855 李老師
初審熱線: 0755-28877669
投訴建議: 0755-27788992
Q Q通訊: 2283864039
工作郵件: xrd-iso@foxmail.com
網(wǎng)站:m.jishuhan.cn