最近很多人再問安全運維服務(wù)資質(zhì)專業(yè)評價要求有哪些「運維資質(zhì)」，今天小編給大家整理了安全運維服務(wù)資質(zhì)專業(yè)評價要求有哪些「運維資質(zhì)」的相關(guān)內(nèi)容，請往下看。

安全運維服務(wù)資質(zhì)專業(yè)評價要求針對服務(wù)準(zhǔn)備、服務(wù)實施、監(jiān)視評審、持續(xù)改進四個階段進行，具體分級要求如下：

F1 三級要求

F1.1準(zhǔn)備階段

F1.1.1需求調(diào)研與分析

a) 采集客戶對信息系統(tǒng)運維服務(wù)時間的需求。

b) 進行信息系統(tǒng)運維預(yù)算，定義運維服務(wù)。

c) 與客戶進行溝通，達成共識并形成記錄。

F1.1.2運維服務(wù)設(shè)計

a) 制定安全運維服務(wù)目錄，包括但不限于：初始服務(wù)、安全設(shè)備運維、日常巡檢服務(wù)、健康

檢查、安全事件審計。

b) 對信息系統(tǒng)相關(guān)的IT資產(chǎn)進行識別。

c) 對安全設(shè)備進行日常維護及監(jiān)控，并記錄硬件故障。

d) 提供安全設(shè)備、業(yè)務(wù)系統(tǒng)的健康檢查服務(wù)，并約定服務(wù)方式、檢查頻次和檢查內(nèi)容。

e) 采集系統(tǒng)配置、流量信息、系統(tǒng)狀態(tài)等安全信息。

f)收集與分析網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用的日志。

F1.1.3運維服務(wù)導(dǎo)入

a) 收集與建立配置管理數(shù)據(jù)庫，確保配置項目的機密性、完整性、可用性。

b) 專業(yè)人員負責(zé)安全管理的接口。

c) 建立服務(wù)目錄。

d) 建立事件響應(yīng)和解決的機制，有基本的安全運維報告模式。

F1.1.4明確服務(wù)協(xié)議特殊要求

a) 明確安全事件處理與應(yīng)急響應(yīng)流程，包括但不限于：安全事件的分類、安全事件上報流程、安全事件處理流程、安全事件的事后處理。

b) 明確安全運維方式，包括但不限于：駐場值守方式，定期巡檢方式，遠程值守方式。

F1.2運維服務(wù)實施階段

a) 實施初始服務(wù)：完成資產(chǎn)識別，定期配置項的更新和維護，實施相關(guān)運維流程。

b) 實施安全設(shè)備運維服務(wù)：完成日常維護，狀態(tài)檢查，定期查殺，故障處理、保養(yǎng)、更新、

升級、故障檢測及排除，并對安全設(shè)備出現(xiàn)的硬件故障進行統(tǒng)計記錄。

c) 實施日常巡檢服務(wù)：完成安全設(shè)備監(jiān)控；病毒監(jiān)測、查殺及網(wǎng)絡(luò)防病毒維護，并有相關(guān)記錄。

d) 實施健康檢查服務(wù)：完成安全設(shè)備、業(yè)務(wù)系統(tǒng)的健康檢查服務(wù)。

e) 實施安全事件審計服務(wù)：完成網(wǎng)絡(luò)及安全設(shè)備日志、服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用的日志、并且進行記錄。

f) 組建運維服務(wù)臺職能，培養(yǎng)服務(wù)臺人員的專業(yè)能力。

g) 建立事件管理程序和信息安全服務(wù)請求管理程序。

F1.3運維監(jiān)視評審階段

a) 應(yīng)定期收集與分析安全運維報告的數(shù)據(jù)，包括但不限于：異常報告及時率、異常漏報率、

維護作業(yè)計劃的及時完成率、故障隱患發(fā)現(xiàn)率、異常主動發(fā)現(xiàn)率、問題解決率、漏洞掃描

覆蓋率、加固設(shè)備覆蓋率、安全補丁安裝及時率、安全事件次數(shù)。

b) 對運維實現(xiàn)情況進行監(jiān)視測量，未能實現(xiàn)的目標(biāo)應(yīng)采取糾正預(yù)防措施。

c) 建立與分析客戶滿意度調(diào)查。

F1.4運維持續(xù)改進階段

a) 應(yīng)在運維過程和監(jiān)視過程中識別改進項目，制定持續(xù)改進計劃，包括但不限于對改進機會

的評估標(biāo)準(zhǔn)。

b) 應(yīng)有文件化的程序，用以識別、記錄、批準(zhǔn)、評估、測量和報告改進措施。

c) 應(yīng)采取預(yù)防措施，以消除潛在的不符合項的原因，以防止其發(fā)生。

F2 二級要求

組織申報二級資質(zhì)，除滿足三級資質(zhì)的所有條件外，還需滿足以下要求。

F2.1運維服務(wù)準(zhǔn)備階段

F2.1.1需求調(diào)研與分析

a) 根據(jù)評估目標(biāo)和范圍，對安全運維對象中包含的信息系統(tǒng)，組織的資產(chǎn)進行分類。

b) 識別與分析信息系統(tǒng)運維過程中的歷史數(shù)據(jù)，提出系統(tǒng)運維的保障策略和解決方案。

c) 分析客戶對信息系統(tǒng)安全服務(wù)的需求和類型。

d) 收集與分析信息系統(tǒng)的可用性指標(biāo)，明確可用性指標(biāo)的類型。

e) 分析以往服務(wù)的數(shù)據(jù)，提取出來未來可自動化的服務(wù)。

F2.1.2運維服務(wù)設(shè)計

a) 對信息安全事件進行統(tǒng)計與分析；

b) 編寫安全運維服務(wù)目錄，包括但不限于：運維監(jiān)控與分析、終端安全監(jiān)控、合規(guī)性運維。

c) 建立信息系統(tǒng)安全運維的問題管理程序。

d) 建立知識管理程序及初步形成知識庫。

e) 編制信息系統(tǒng)的可用性計劃，監(jiān)控可用性事件，報告可用性執(zhí)行，指導(dǎo)可用性的改進。

f) 形成信息安全管理的組織架構(gòu)，組織結(jié)構(gòu)的構(gòu)成要素與安全運維活動角色相對應(yīng)。

F2.1.3運維服務(wù)導(dǎo)入

采用流程化管理方法，基于安全事件處理流程、安全培訓(xùn)服務(wù)流程、滲透測試流程進行標(biāo)準(zhǔn)化的信息系統(tǒng)安全運維工作。

F2.1.4明確服務(wù)協(xié)議特殊要求

a) 建立信息系統(tǒng)安全主動管理機制；

b) 簽訂信息系統(tǒng)安全運維服務(wù)級別協(xié)議，承諾信息系統(tǒng)核心指標(biāo)。

c) 建立問題管理程序。

d) 建立信息系統(tǒng)安全的配置庫及關(guān)聯(lián)關(guān)系信息。

F2.2運維服務(wù)實施階段

a) 實施運維監(jiān)控與分析并形成記錄。

b) 進行合規(guī)性運維。

F2.3運維監(jiān)視評審階段

F2.3.1內(nèi)審

按照計劃的時間間隔執(zhí)行內(nèi)部審核，滿足既定標(biāo)準(zhǔn)要求、安全運維服務(wù)需求和客戶所提出的SMS要求，并有效實施和維護。

F2.3.2管理評審

a) 定期回顧安全運維服務(wù)，確保其持續(xù)適用和有效。

b) 管理評審輸入至少包括但不限于：客戶反饋、服務(wù)和流程的執(zhí)行情況和符合性、當(dāng)前和預(yù)

測資源水平、糾正措施的進展情況、可能影響安全運維服務(wù)的變更、改進機會。

F2.4運維持續(xù)改進階段

a) 改進機會應(yīng)劃分優(yōu)先級，策劃被批準(zhǔn)的改進機會。

b) 改進活動應(yīng)進行管理，包括但不限于：設(shè)定改進目標(biāo)、確保批準(zhǔn)的改進活動被實施、報告

被實施的改進計劃。

F3一級要求

組織申報一級資質(zhì)，除滿足二級資質(zhì)的所有條件外，還需滿足以下要求。

F3.1運維服務(wù)準(zhǔn)備階段

a) 內(nèi)部團隊之間的安全運營級別協(xié)議應(yīng)和與安全運維第三方之間的的服務(wù)級別設(shè)計保持一致。

b) 安全組織中要設(shè)定安全領(lǐng)導(dǎo)小組；在采用外包模式的情況下，執(zhí)行組還應(yīng)包含安全運維服

務(wù)供應(yīng)商參與運維的人員。

c) 采用基于PDCA的管理模型，從策劃，實施，監(jiān)視與評審和持續(xù)改進進行體系化的信息系統(tǒng)安全運維服務(wù)。

d) 建立安全運維可視化視圖。

F3.1.1需求調(diào)研與分析

a) 基于信息系統(tǒng)安全的生命周期，建立信息系統(tǒng)安全運維的整體策略。

b) 基于客戶、業(yè)務(wù)的價值體現(xiàn)，形成安全運維的整體視圖。

F3.1.2運維服務(wù)設(shè)計

a) 編制安全運維項目作業(yè)指導(dǎo)書。

b) 建設(shè)實施過程中應(yīng)關(guān)注信息系統(tǒng)的功能、性能和安全性方面要求。

c) 改造過程中應(yīng)制定測試計劃及回退措施。

d) 編寫安全運維服務(wù)目錄，包括但不限于：安全通告及漏洞分析、應(yīng)急響應(yīng)服務(wù)。

F3.1.3運維服務(wù)導(dǎo)入

a) 基于滲透測試流程管理進行標(biāo)準(zhǔn)化的信息系統(tǒng)安全運維工作。

b) 編制信息安全產(chǎn)品和工具定制開發(fā)計劃。

F3.1.4明確服務(wù)協(xié)議的特殊要求

a) 建立信息系統(tǒng)安全運維服務(wù)級別管理程序，簽訂服務(wù)級別協(xié)議。

b) 建立信息系統(tǒng)應(yīng)急事件響應(yīng)機制和恢復(fù)保障。

c) 對客戶滿意度進行趨勢分析。

d) 建立應(yīng)急響應(yīng)和災(zāi)難恢復(fù)機制，形成業(yè)務(wù)連續(xù)性計劃。

F3.2運維服務(wù)實施階段

a) 實施安全通告及漏洞分析服務(wù)：完成業(yè)界動態(tài)的通告、收集國家安全政策及法律法規(guī)、漏

洞通告、病毒通告、廠商安全通告及其他安全通告

b) 實施應(yīng)急響應(yīng)服務(wù)：制定應(yīng)急響應(yīng)預(yù)案，對應(yīng)急事件及時響應(yīng)，并對應(yīng)急進行演練，形成

相關(guān)記錄

c) 建立運維變更管理程序，對運維實施過程中方案、資源變更進行有效控制，完整記錄變更

過程。

d) 制定運維應(yīng)急處置方案和恢復(fù)策略，對運維過程中的應(yīng)急事件及時進行響應(yīng)。

F3.3運維監(jiān)視評審階段

a) 形成體系化的審核機制及企業(yè)文化。

b) 體系化的服務(wù)監(jiān)視管理，形成審核機制。

c) 定期評審客戶對安全運維服務(wù)的滿意度。

F3.4運維持續(xù)改進階段

a) 持續(xù)服務(wù)改進，形成持續(xù)服務(wù)改進文化和意識。

b) 基于運維服務(wù)的缺陷，提出改進策略和方案。

c) 分析運維服務(wù)的數(shù)據(jù)并進行服務(wù)預(yù)測。