信息安全运维服务资质二级评价要求

Date15 8月 2019

信息安全运维服务资质二级评价要求针对服务准备、服务设计、服务实施、服务报告四个阶段进行，
具体分级要求如下：

F2 信息安全运维服务资质二级评价要求
组织申报二级资质，除满足三级能力要求外，还应满足以下要求：
F2.1 准备阶段
F2.1.1 需求调研与分析
a) 分析客户对信息系统安全服务的需求和类型。
b) 收集与分析信息系统的可用性指标。
c) 分析以往服务的数据，提取出来未来可自动化的服务(监审时适用)。
F2.1.2 签订服务协议
签订服务级别协议。
F2.2 方案设计阶段
a) 编制信息系统的可用性计划，监控可用性事件，报告可用性执行，指导可用性的改进。
b) 识别与分析信息系统运维过程中的历史数据，提出系统运维的保障策略和解决方案（监审
时适用）。
c) 编制信息系统的安全基线。
d) 建立信息系统安全的配置库。
F2.3 服务实施阶段
a) 收集与建立配置管理数据库，确保配置项目的机密性、完整性、可用性（专职管理）。
b) 实施安全设备、网络设备、中间件、数据库、服务器等资产的安全配置管理，定期对配置
项进行更新和维护。
c) 根据制定的安全配置基线，定期进行安全配置核查工作。
d) 实施运维监控与分析并形成记录。
F2.4 运维服务报告阶段
a) 应定期收集与分析安全运维的关键指标数据，数据包括但不限于：异常报告及时率、异常
漏报率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆
盖率、安全补丁安装及时率、安全事件次数。（参照服务合同）
b) 建立客户满意度调查机制。