IT服務商根據(jù)公司發(fā)展需求可申請辦理ISO27001信息安全辦理體系認證證書。
活動方針:確定符合國家規(guī)定或行業(yè)規(guī)定的設計、測評����、建設資質的服務商,為后續(xù)的辦理和監(jiān)控奠定根底���。
參與角色:運營�、運用單位.網(wǎng)絡安全服務機構��。
從影響系統(tǒng)、事務安全性等要害要素層面剖析服務商服務能力,根據(jù)國家招投標相關要求,挑選最佳服務商,這些要素或許包括服務商的基本情況���、企業(yè)資質和人員資質�����、信譽�����、技術力量和行業(yè)經(jīng)驗�����、內(nèi)部控制和辦理能力����、持續(xù)經(jīng)營狀況、服務水平及人員配備情況等���。
在挑選服務商時,需求識別服務商的網(wǎng)絡安全風險,防止高風險����、不合格服務商承當安全運行維護項目,網(wǎng)絡安全風險點包括但不限于以下幾點:
——服務商服務能力及行業(yè)經(jīng)驗����。
——物理訪問�����、信息資料丟失��、系統(tǒng)越權訪問�����、誤操作等���。
——服務商企業(yè)資質���、人員資質及網(wǎng)絡安全口碑、業(yè)績���。
在挑選服務商時,需求識別服務商供給的服務與之前或后續(xù)供給的服務之間沒有互斥性。承當?shù)燃壉Wo方針安全建設服務的機構應具備等級保護安全建設服務機構資質�。承當?shù)燃墱y評服務的機構具備等級測評機構資質。
活動輸出:已挑選的服務商,安全服務計劃�����。
活動方針:對服務商從多維度進行切實有效辦理,使得服務商在約定范圍內(nèi)展開服務作業(yè)����。
參與角色:運營、運用單位,網(wǎng)絡安全服務機構���。
為保證服務商服務作業(yè)符合約定要求,運用單位對服務人員的辦理措施應至少包括但不限于:
——運用單位需制定服務商人員辦理規(guī)定,包含但不限于上崗資質審核機制���、保密協(xié)議����、品行辦理���、服務技能查核�����、行為辦理���、系統(tǒng)權限辦理���、口令辦理等���。
——運用單位負責對服務商核心人員的確定和變更進行備案����。
——服務商人員在為運用單位供給服務的過程中,嚴格遵守運用單位的各項規(guī)定��、辦理要求,服從運用單位安排��。
——如因服務商人員原因,給運用單位或第三方造成人員人身傷害或財產(chǎn)丟失的,服務商應承當補償責任���。
——運用單位督促服務商對服務人員展開培訓及安全教育作業(yè)�。
為保證服務商服務作業(yè)符合約定要求,服務商應滿足但不限于:
——服務商供給完全出場相關資料(如企業(yè)資質���、人員資質����、人員名單��、物資資料等),并接受運用單位的審核�����。
——服務商基本信息產(chǎn)生變更,如:法人、單位名稱����、銀行賬戶等,應提前通知運用單位。
——按照約定要求服務商供給各項服務,保質保量完成服務方針;如因服務商未完成服務方針給運用單位造成丟失的,應予補償����。
——服務商保證所供給服務不存在任何侵犯第三方著作權、商標權��、專利權等合法權益的情形;服務商保護好對服務過程中產(chǎn)生的研究成果及知識產(chǎn)權,未經(jīng)運用單位答應,服務商不得以任何方法向任何第三方轉讓權利義務��。
——服務商供給項目驗收和查核的相關材料.配合運用單位組織展開項目結題驗收和查核作業(yè)���。
——運用單位根據(jù)約定的售后服務內(nèi)容及規(guī)范���,實時跟蹤服務商售后服務查核情況,作為后續(xù)服務商挑選參閱。
活動方針:通過對服務商及其人員在服務過程中的行為進行有效監(jiān)控,若發(fā)現(xiàn)不合規(guī)行為,限時保質整改,保證服務商服務作業(yè)持續(xù)���、規(guī)范�、高效���。
參與角色:運營、運用單位,網(wǎng)絡安全服務機構��。
活動輸入:服務商日常服務記錄,安全服務計劃���。
a) 運用單位負責組織制定服務評審規(guī)范及辦法,并依據(jù)辦法對服務質量進行評審;服務商應接受運用單位對其供給服務情況進行的監(jiān)督和查看,并應及時按照運用單位要求對所供給的服務進行改進或調整,使服務質量符合運用單位要求����。
b) 運用單位對服務商日常作業(yè)進行指導����,當發(fā)現(xiàn)服務商作業(yè)中存在問題時,要求服務商及時糾正,因服務商原因(故意或過失)給運用單位造成丟失的�,服務商應承當全部補償責任。
c) 運用單位監(jiān)管項目進展情況期間,對于嚴重情況服務商應及時主動報告����。
d) 運用單位負 責對服務商人員定期進行查核評價,查核方法可采用日常查核��、季度查核和年度查核���,也可采用適合運用單位的查核方法;如產(chǎn)生嚴重違反協(xié)作原則、傷害運用單位利益�、影響服務質量等行為.運用單位有權隨時向服務商提出人員撤換要求。
e) 服務過程中,服務商如因正當理由需求調整���、變更人員的,應提前通知運用單位,做好作業(yè)交接,并獲得運用單位同意后方可進行�。
