了解更多信息安全认证、信息技术服务体系认证办理信息,可关注官网 www.hdzygw.com

提升国家网络安全防护能力建设(网络安全等级保护服务商管理和监控要求)(1)

1、服务商选择

活动目标:确定符合国家规定或行业规定的设计、测评、建设资质的服务商,为后续的管理和监控奠定基础。

参与角色:运营、使用单位.网络安全服务机构。

活动输入:安全详细设计方案,实施方案等。

活动描述:

本活动主要包括以下子活动内容:

a) 服务能力分析

从影响系统、业务安全性等关键要素层面分析服务商服务能力,根据国家招投标相关要求,选择最佳服务商,这些要素可能包括服务商的基本情况、企业资质和人员资质、信誉、技术力量和行业经验、内部控制和管理能力、持续经营状况、服务水平及人员配备情况等。

b)网络安全风险分析

在选择服务商时,需要识别服务商的网络安全风险,防止高风险、不合格服务商承担安全运行维护项目,网络安全风险点包括但不限于以下几点:

——服务商可能的泄密行为。

——服务商服务能力及行业经验。

——物理访问、信息资料丢失、系统越权访问、误操作等。

——服务商企业资质、人员资质及网络安全口碑、业绩。

——服务商以往服务项目案例。

c) 服务内容互斥分析

在选择服务商时,需要识别服务商提供的服务与之前或后续提供的服务之间没有互斥性。承担等级保护对象安全建设服务的机构应具备等级保护安全建设服务机构资质。承担等级测评服务的机构具备等级测评机构资质。

活动输出:已选择的服务商,安全服务方案。

2、服务商管理

活动目标:

对服务商从多维度进行切实有效管理,使得服务商在约定范围内开展服务工作。

参与角色:运营、使用单位,网络安全服务机构。

活动输入:已选择的服务商,安全服务方案。

活动描述:

本活动主要包括以下子活动内容:

a) 人员管理

为确保服务商服务工作符合约定要求,使用单位对服务人员的管理措施应至少包括但不限于:

——使用单位需制定服务商人员管理规定,包含但不限于上岗资质审核机制、保密协议、品行管理、服务技能考核、行为管理、系统权限管理、口令管理等。

——使用单位负责对服务商核心人员的确定和变更进行备案。

——服务商人员在为使用单位提供服务的过程中,严格遵守使用单位的各项规定、管理要求,服从使用单位安排。

——如因服务商人员原因,给使用单位或第三方造成人员人身伤害或财产损失的,服务商应承担赔偿责任。

——使用单位督促服务商对服务人员开展培训及安全教育工作。

b)服务管理

为确保服务商服务工作符合约定要求,服务商应满足但不限于:

——服务商提供齐全进场相关资料(如企业资质、人员资质、人员名单、物资资料等),并接受使用单位的审核。

——服务商基本信息发生变更,如:法人、单位名称、银行账户等,应提前通知使用单位。

——按照约定要求服务商提供各项服务,保质保量完成服务目标;如因服务商未完成服务目标给使用单位造成损失的,应予赔偿。

——服务商确保所提供服务不存在任何侵犯第三方著作权、商标权、专利权等合法权益的情形;服务商保护好对服务过程中产生的研究成果及知识产权,未经使用单位许可,服务商不得以任何形式向任何第三方转让权利义务。

——服务商提供项目验收和考核的相关材料.配合使用单位组织开展项目结题验收和考核工作。

——使用单位根据约定的售后服务内容及标准,实时跟踪服务商售后服务考核情况,作为后续服务商选择参考。

活动输出:服务商服务管理报告。

3、服务商监控

活动目标:通过对服务商及其人员在服务过程中的行为进行有效监控,若发现不合规行为,限时保质整改,确保服务商服务工作持续、规范、高效。

参与角色:运营、使用单位,网络安全服务机构。

活动输入:服务商日常服务记录,安全服务方案。

活动描述:

本活动主要包括以下子活动内容:

a) 使用单位负责组织制定服务评审标准及办法,并依据办法对服务质量进行评审;服务商应接受使用单位对其提供服务情况进行的监督和检查,并应及时按照使用单位要求对所提供的服务进行改进或调整,使服务质量符合使用单位要求。

b) 使用单位对服务商日常工作进行指导,当发现服务商工作中存在问题时,要求服务商及时纠正,因服务商原因(故意或过失)给使用单位造成损失的,服务商应承担全部赔偿责任。

c) 使用单位监管项目进展情况期间,对于重大情况服务商应及时主动报告。

d) 使用单位负 责对服务商人员定期进行考核评价,考核方式可采用日常考核、季度考核和年度考核,也可采用适合使用单位的考核方式;如发生严重违反合作原则、伤害使用单位利益、影响服务质量等行为.使用单位有权随时向服务商提出人员撤换要求。

e) 服务过程中,服务商如因正当理由需要调整、变更人员的,应提前通知使用单位,做好工作交接,并获得使用单位同意后方可进行。

活动输出:服务商分析评价报告。

,