信息安全類運行維護服務的監理要點來源:信息技術服務監理規范 日期:[2022-12-03]
信息安全類運行維護服務的監理要點
1.概述
信息安全包括:
(1)信息安全咨詢,如信息安全規劃、信息安全管理體系優化、信息安全風險評估;
(2)信息安全實施,如信息安全加固和優化、信息安全檢查和測試、信息安全監控等;
(3)信息安全培訓。
2.例行操作監理
信息安全類運行維護服務,例行操作監理要點如下:
(1)監理機構督促供方按照基礎設施、應用系統和數據等對象安全屬性的不同,采用不同的運行維護方法,設計詳細的安全運行維護方案,并對方案進行審核;
(2)監理機構依據安全運行維護相關管理制度和系統安全定級情況,督促供方對基礎設施、應用系統和數據定期開展安全巡檢、安全加固、脆弱性檢查、滲透性測試、安全風險評估等服務,以評估其是否能符合需方的安全要求。
3.響應支持監理
信息安全類運行維護服務,響應支持監理要點如下:
(1)監理機構督促供方提交安全事件應急響應支持方案,并對方案進行審核;
(2)監理機構對影響核心應用系統和數據安全的事件進行全程跟蹤檢查,審核事件處理過程的合規性、技術處理手段的正確性,并記錄處理過程;
(3)監理機構督促供方及時糾正響應支持過程中的問題,如安全功能、安全性能等,監理機構對問題進行審核;
(4)監理機構督促供方在安全事件處理后,提交的分析報告,對報告中的風險判定、分析、解決方案、預防或整改措施等內容進行審核。
4.優化改善監理
信息安全類運行維護服務,優化改善監理要點如下:
(1)監理機構依據安全運行維護相關管理制度和系統安全定級情況,督促供方對安全運行維護方案進行調整和適應性改進,包括但不限于安全巡檢、安全加固、脆弱性檢查、滲透性測試、安全風險評估、應急保障等方案和措施;
(2)監理機構宜建議供方在安全運行維護過程中,優化完善安全運行維護方案,并對優化完善后的方案進行評審;
(3)監理機構可根據對安全運行維護記錄、趨勢的分析,結合安全運行的需求,發現安全運行過程的脆弱點,督促供方有針對性地進行改進性作業和預防性改進。
5.調研評估監理
信息安全類運行維護服務,調研評估監理要點如下:
(1)監理機構對調研評估計劃進行審核,計劃應明確調研評估的目標、內容、步驟、人員、進度、交付成果和溝通計劃等內容;
(2)監理機構持續跟蹤調研評估的執行和評估結果的改進情況;
(3)監理機構宜對調研評估報告進行審核,報告應包括現狀評估、訪談調研、需求分析和評估建議等內容。
