设为首页 | 加入收藏 | 网站地图
联系方式
    北京:海淀区西三环昌运宫紫竹桥  
             136-8120-0268
    上海:闵行区光华路18号  
             152-2175-9315
    青岛:市南区中山路10号  
             137-9194-1216
    杭州:滨江区伟业路1号
             158-6716-8335
    西安:西安市未央区未央路80号
             139-0928-9277
    深圳:南山区粤海街道环东路西环北路北滨海之窗花园
             130-7782-9315
    全国免费咨询:4006-010-725
    业务QQ:2970890153
你现在位置:网站首页 >IT行业认证咨询 >ISO27001信息安全管理体系认证ISO27001信息安全管理体系认证

网络安全等级保护服务商管理和监控要求,ISO27001信息安全体系认证办理

文章来源:北京华道众合咨询公司 编辑:北京华道众合咨询公司

1、服务商选择
活动目标:确定符合国家规定或行业规定的设计、测评、建设资质的服务商,为后续的管理和监控奠定基础。
参与角色:运营、使用单位.网络安全服务机构。
活动输入:安全详细设计方案,实施方案等。
活动描述:
本活动主要包括以下子活动内容:
a) 服务能力分析
从影响系统、业务安全性等关键要素层面分析服务商服务能力,根据国家招投标相关要求,选择最佳服务商,这些要素可能包括服务商的基本情况、企业资质和人员资质、信誉、技术力量和行业经验、内部控制和管理能力、持续经营状况、服务水平及人员配备情况等。
b)网络安全风险分析
在选择服务商时,需要识别服务商的网络安全风险,防止高风险、不合格服务商承担安全运行维护项目,网络安全风险点包括但不限于以下几点:
——服务商可能的泄密行为。
——服务商服务能力及行业经验。
——物理访问、信息资料丢失、系统越权访问、误操作等。
——服务商企业资质、人员资质及网络安全口碑、业绩。
——服务商以往服务项目案例。
c) 服务内容互斥分析
在选择服务商时,需要识别服务商提供的服务与之前或后续提供的服务之间没有互斥性。承担等级保护对象安全建设服务的机构应具备等级保护安全建设服务机构资质。承担等级测评服务的机构具备等级测评机构资质。
活动输出:已选择的服务商,安全服务方案。
2、服务商管理
活动目标:
对服务商从多维度进行切实有效管理,使得服务商在约定范围内开展服务工作。
参与角色:运营、使用单位,网络安全服务机构。
活动输入:已选择的服务商,安全服务方案。
活动描述:
本活动主要包括以下子活动内容:
a) 人员管理
为确保服务商服务工作符合约定要求,使用单位对服务人员的管理措施应至少包括但不限于:
——使用单位需制定服务商人员管理规定,包含但不限于上岗资质审核机制、保密协议、品行管理、服务技能考核、行为管理、系统权限管理、口令管理等。
——使用单位负责对服务商核心人员的确定和变更进行备案。
——服务商人员在为使用单位提供服务的过程中,严格遵守使用单位的各项规定、管理要求,服从使用单位安排。
——如因服务商人员原因,给使用单位或第三方造成人员人身伤害或财产损失的,服务商应承担赔偿责任。
——使用单位督促服务商对服务人员开展培训及安全教育工作。
b)服务管理
为确保服务商服务工作符合约定要求,服务商应满足但不限于:
——服务商提供齐全进场相关资料(如企业资质、人员资质、人员名单、物资资料等),并接受使用单位的审核。
——服务商基本信息发生变更,如:法人、单位名称、银行账户等,应提前通知使用单位。
——按照约定要求服务商提供各项服务,保质保量完成服务目标;如因服务商未完成服务目标给使用单位造成损失的,应予赔偿。
——服务商确保所提供服务不存在任何侵犯第三方著作权、商标权、专利权等合法权益的情形;服务商保护好对服务过程中产生的研究成果及知识产权,未经使用单位许可,服务商不得以任何形式向任何第三方转让权利义务。
——服务商提供项目验收和考核的相关材料.配合使用单位组织开展项目结题验收和考核工作。
——使用单位根据约定的售后服务内容及标准,实时跟踪服务商售后服务考核情况,作为后续服务商选择参考。
活动输出:服务商服务管理报告。
3、服务商监控
活动目标:通过对服务商及其人员在服务过程中的行为进行有效监控,若发现不合规行为,限时保质整改,确保服务商服务工作持续、规范、高效。
参与角色:运营、使用单位,网络安全服务机构。
活动输入:服务商日常服务记录,安全服务方案。
活动描述:
本活动主要包括以下子活动内容:
a) 使用单位负责组织制定服务评审标准及办法,并依据办法对服务质量进行评审;服务商应接受使用单位对其提供服务情况进行的监督和检查,并应及时按照使用单位要求对所提供的服务进行改进或调整,使服务质量符合使用单位要求。
b) 使用单位对服务商日常工作进行指导,当发现服务商工作中存在问题时,要求服务商及时纠正,因服务商原因(故意或过失)给使用单位造成损失的,服务商应承担全部赔偿责任。
c) 使用单位监管项目进展情况期间,对于重大情况服务商应及时主动报告。
d) 使用单位负 责对服务商人员定期进行考核评价,考核方式可采用日常考核、季度考核和年度考核,也可采用适合使用单位的考核方式;如发生严重违反合作原则、伤害使用单位利益、影响服务质量等行为.使用单位有权随时向服务商提出人员撤换要求。
e) 服务过程中,服务商如因正当理由需要调整、变更人员的,应提前通知使用单位,做好工作交接,并获得使用单位同意后方可进行。
活动输出:服务商分析评价报告。

1、ISO27001认证申请条件
(1)持有法人营业执照,必要时提供资质证明文件
(2)信息安全体系运行满3个月以上
(3)至少完成一次内部审核及管理评审
(4)企业配备相应的人员、设备设施、办公区域等
2、ISO27001认证周期
提交申请文件后2个月左右
3、ISO27001认证流程
签订合同--提交申请文件--评审--安排审核--现场审核--整改不符合--发证
4、ISO27001认证文件材料
(1)信息安全管理手册
(2)信息安全程序文件
(3)信息安全适用性声明(SOA)
(4)信息安全策略
(5)信息安全方针、目标
(6)信息安全内部审核、管理评审
(7)作业指导书
(8)记录文件(文件控制程序、记录控制程序、信息安全风险管理程序、信息安全法律法规程序、密码控制管理程序、信息安全测量管理程序等涉及的记录表单)等。
5、ISO27001认证证书有效期
证书有效期为3年,获证后每年进行一次年审(监督审核)

返回

       奔烁(上海)机电技术服务有限公司-新兴产业认证事业部    全国服务电话:4006-010-725    
   北京:海淀区西三环昌运宫紫竹桥       电话|微信:13681200268     QQ:2970890153
  上海:闵行区光华路18号                     电话|微信:15221759315     QQ:2215501312
   青岛:市南区中山路10号                    电话|微信:13791941216      QQ:1263118282
   杭州:滨江区伟业路1号                       电话|微信:15867168335     QQ:2668763939
   西安:未央区未央路80号                     电话|微信:13909289277     QQ:3568192523
         深圳:南山区粤海街道环东路西环北路北滨海之窗花园  电话|微信:130-7782-9315 QQ:574472821        
ICP证:沪ICP备16049303号-8      常年法律顾问:徐年达  胡克用
咨询服务项目铁路产品认证,军工认证,船级社认证,IT行业认证,能源管理认证,航空装备认证,石油行业认证,涉水产品卫生许可批件