信息安全运维服务资质专业评价要求

标准描述备注ISO/IEC 27001:2013信息安全管理体系作为基础管理体系的框架，适用于所有类型和规模的组织。

ISO/IEC 27701:2019ISO/IEC 27001和ISO/IEC 27002的延伸,用于隐私信息管理个人身份信息相关组织和利益相关方要求；个人身份信息相关风险评估；适用于适用于所有类型和规模的组织，包括公共和私营公司、政府机构和非营利组织，他们是在ISMS中处理PII(个人可识别信息)的控制者或处理者。

ISO/IEC 29151:2017个人信息保护的行为准则36项ISO/IEC 27002附加控制要求；个人身份信息新增13个控制；适用于所有类型和规模的作为PII控制者的组织，包括处理PII的公共和私营公司、政府机构和非营利组织。

ISO/IEC 27017:2015基于ISO/IEC 27002的云服务信息安全控制实务守则37个与云安全相关的ISO/IEC 27002附加控制要求；

7个额外的云安全要求；适用于云服务提供商和云服务客户。

ISO/IEC 27018:2019公用云作为保护隐私数据处理者的实务守则与云相关的15项ISO/IEC 27002附加控制要求；

11个额外的基于云的个人信息要求；适用于所有类型和规模的组织，这些组织作为PII处理者通过与其他组织签订的云计算提供信息处理服务；也适用于PII控制者的组织。

安全运维服务资质专业评价要求针对服务准备、服务设计、服务实施、服务报告四个阶段进行，具体分级要求如下：

三级要求

1 准备阶段

1.1 需求调研与分析

a)调研客户信息系统安全现状，采集客户安全服务需求与目标，明确客户对信息系统安全运 维服务时间、服务期限、服务内容以及服务方式的需求。

b)进行信息系统运维预算，定义运维服务。

c)与客户进行沟通，达成共识并形成记录。

1.2 签订服务协议

a)与客户签订服务协议，明确范围、目标、时间、内容、金额、质量和输出等。

b)明确安全运维的方式，方式包括但不限于：驻场值守方式，定期巡检方式，远程值守方式。

2 方案设计阶段

a)根据系统安全运维需求，编制安全运维服务方案，明确安全运维服务时间、服务内容、服 务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管 理等方面要求。

b)提供安全设备、业务系统的健康检查服务，并约定服务方式、检查频次和检查内容。

c)专业人员负责安全管理的接口。

3 服务实施阶段

a)实施初始服务，完成资产识别。

b)采集信息系统重要资产的安全配置、流量信息等安全信息。

c)对安全设备进行日常维护及监控，并记录硬件故障。

d)收集与分析网络及安全设备、服务器、数据库、中间件、应用系统的日志。

e)实施日常巡检服务：对用户的安全设备、网络设备、服务器提供业务操作巡检、状态巡检、 安全策略配置巡检服务。

f)实施日常安全运维服务：完成安全设备、网络设备、服务器、应用系统安全事件监控；病 毒监测、查杀及网络防病毒维护；漏洞扫描、安全加固、补丁安装；并有相关记录。

g)对信息安全事件进行统计与分析。

h)实施健康检查服务：完成安全设备、业务系统的健康检查服务。

4 运维服务报告阶段

a)向客户提交服务报告，定期收集与报告安全运维实施情况。

b)汇总整理全年服务记录，形成年终安全运维服务总结报告。

c)根据合同约定，配合组织项目验收，出具项目验收报告。

二级要求

组织申报二级资质，除满足三级能力要求外，还应满足以下要求：

1 准备阶段

1.1 需求调研与分析

a)分析客户对信息系统安全服务的需求和类型。

b)收集与分析信息系统的可用性指标。

c)分析以往服务的数据，提取出来未来可自动化的服务(监审时适用)。

1.2 签订服务协议

签订服务级别协议。

2 方案设计阶段

a)编制信息系统的可用性计划，监控可用性事件，报告可用性执行，指导可用性的改进。

b)识别与分析信息系统运维过程中的历史数据，提出系统运维的保障策略和解决方案（监审 时适用）。

c)编制信息系统的安全基线。

d)建立信息系统安全的配置库。

3 服务实施阶段

a)收集与建立配置管理数据库，确保配置项目的机密性、完整性、可用性（专职管理）。

b)实施安全设备、网络设备、中间件、数据库、服务器等资产的安全配置管理，定期对配置项进行更新和维护。

c)根据制定的安全配置基线，定期进行安全配置核查工作。

d)实施运维监控与分析并形成记录。

4 运维服务报告阶段

a)应定期收集与分析安全运维的关键指标数据，数据包括但不限于：

（参照服务合同）

b)建立客户满意度调查机制。

一级要求

组织申报一级资质，除满足二级能力要求外，还应满足以下要求：

1 准备阶段

1.1 需求调研与分析