安全运维服务资质认证办理流程及条件

信息安全运维服务资质认证主要是通过技术设施安全，技术设施安全加固，安全漏洞补丁通告、安全事件响应以及信息安全运维咨询，协助组织的信息系统管理人员进行信息系统的安全运维工作，以发现并修复信息系统中所存在的安全隐患，降低安全隐患被非法利用的可能性，并在安全隐患被利用后及时加以响应。从而提升安全运维服务提供方的服务能力，质量和水平。 　　安全运维服务资质级别是衡量服务提供方的安全运维服务资格和能力的尺度。资质级别分为一级、二级、三级共三个级别，其中一级，三级。 　　从面向业务的运维服务出发，依据安全需求对信息系统进行安全运维准备、安全运维实施，并对实施安全运维服务的有效性进行评审，从而进行持续性改进，全过程、全生命周期地为信息系统运行提供安全保障的过程。 安全运维服务资质专业评价要求针对服务准备、服务实施、监视评审、持续改进四个阶段进行，具体分级要求如下： 一、准备阶段 1、需求调研与分析： 1、采集客户对信息系统运维服务时间的需求； 2、进行信息系统运维预算，定义运维服务； 3、与客户进行沟通，达成共识并形成记录； 2、运维服务设计： ①、制定安全运维服务目录，包括但不限于：初始服务、安全设备运维、日常巡检服务、健康 检查、安全事件审计； ②、对信息系统相关的IT资产进行识别； ③、对安全设备进行日常维护及监控，并记录硬件故障； ④、提供安全设备、业务系统的健康检查服务，并约定服务方式、检查频次和检查内容； ⑤、采集系统配置、流量信息、系统状态等安全信息。收集与分析网络及安全设备、服务器、操作系统、网络应用的日志 3、运维服务导入： ①、收集与建立配置管理数据库，确保配置项目的机密性、完整性、可用性； ②、专业人员负责安全管理的接口； ③、建立服务目录； ④、建立事件响应和解决的机制，有基本的安全运维报告模式； 4、明确服务协议特殊要求： 1、明确安全事件处理与应急响应流程，包括但不限于：安全事件的分类、安全事件上报流程、安全事件处理流程、安全事件的事后处理； 2、明确安全运维方式，包括但不限于：驻场值守方式，定期巡检方式，远程值守方式； 二、运维服务实施阶段： 1、实施初始服务：完成资产识别，定期配置项的更新和维护，实施相关运维流程； 2、实施安全设备运维服务：完成日常维护，状态检查，定期查杀，故障处理、保养、更新、升级、故障检测及排除，并对安全设备出现的硬件故障进行统计记录； 3、实施日常巡检服务：完成安全设备监控；病毒监测、查杀及网络防病毒维护，并有相关记录； 4、实施健康检查服务：完成安全设备、业务系统的健康检查服务； 5、实施安全事件审计服务：完成网络及安全设备日志、服务器、操作系统、网络应用的日志、并且进行记录； 6、组建运维服务台职能，培养服务台人员的专业能力； 7、建立事件管理程序和信息安全服务请求管理程序； 三、运维监视评审阶段： 1、应定期收集与分析安全运维报告的数据，包括但不限于：异常报告及时率、异常漏报率、 维护作业计划的及时完成率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描 覆盖率、加固设备覆盖率、安全补丁安装及时率、安全事件次数； 2、对运维实现情况进行监视测量，未能实现的目标应采取纠正预防措施； 3、建立与分析客户满意度调查； 四、运维持续改进阶段： 1、应在运维过程和监视过程中识别改进项目，制定持续改进计划，包括但不限于对改进机会的评估标准； 2、应有文件化的程序，用以识别、记录、批准、评估、测量和报告改进措施； 3、应采取预防措施，以消除潜在的不符合项的原因，以防止其发生。 安全运维服务资质认证流程 一、自评估： 组织在中国信息安全认证中心网站下载《信息安全服务自评估表》，并实施自主评估； 二、认证申请： 组织依据信息安全服务资质认证程序、认证实施规则中相关要求，确定申请服务资质类别，并填写《信息安全服务资质认证申请书》。组织向中国信息安全认证中心或其指定机构提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料； 三、申请材料评审： 中心依据认证程序和相关标准要求，对申请组织提交的认证相关材料进行评审，并确定申报级别和资质类别，签订认证合同； 四、现场评审： 认证机构组成评审组，依据相关标准和评审要求，到申请组织现场进行评审，并出具现场评审报告。特别，对申请一级资质认证的组织，必要时选择申请组织的客户进行项目实施现场见证； 五、认证决定： 认证决定委员会由3名以上(含3名)奇数认证决定人员组成，做出认证决定； 六、证书颁发： 对于符合认证要求的申请组织，颁发认证证书，并予以公示。 七、安全运维服务资质认证需要准备的材料: 1.营业执照 2.项目经理1名 3.相应的技术工程师2名 4.对应的运营项目 5.技术、财务、管理负责人具有相应资质 6.3年的审计报告 九、实施安全运维服务资质作用 1.保障企业信息安全，及时发现安全隐患。 2.增强消费者信心，扩大市场份额。 3.降低安全隐患和被非法利用的可能性，减少企业运营成本和财产损失。 十、认证意义 (1)是企业能力获得第三方权威机构认证认可的依据; (2)是需方选择的依据，可以提高需方对服务商的信任度; (3)规范管理与技术，提高客户满意度; (4)拓宽企业的业务范围，获得更多业务机会。 举报/反馈