信息安全运维服务资质一级评价要求

Date16 8月 2019

信息安全运维服务资质一级评价要求针对服务准备、服务设计、服务实施、服务报告四个阶段进行，
具体分级要求如下：

F3 信息安全运维服务资质一级评价要求
组织申报一级资质，除满足二级能力要求外，还应满足以下要求：
F3.1 准备阶段
F3.1.1 需求调研与分析
a) 内部团队之间的安全运营级别协议应和与安全运维第三方之间的服务级别设计保持一致。
b) 安全组织中要设定安全领导小组。
F3.2 方案设计阶段
a) 建立信息系统应急事件响应机制和恢复保障。
b) 编制安全运维项目作业指导书。
c) 建立应急响应和灾难恢复机制，形成业务连续性计划。
d) 基于漏洞发现与分析进行信息系统漏洞的管理工作。
F3.3 服务实施阶段
a) 实施安全培训服务：完成安全意识、基本安全技术的培训服务。
b) 实施安全通告及漏洞分析服务：完成业界动态的通告、收集国家安全政策及法律法规、漏
洞通告、病毒通告、厂商安全通告及其他安全通告。
c) 实施应急响应服务：完成应急响应预案制定，对应急事件及时响应，并对应急预案进行演
练，形成相关记录。
d) 依据运维变更管理程序，对运维实施过程中方案、资源变更进行有效控制，完整记录变更
过程。
e) 制定运维应急处置方案和恢复策略，对运维过程中的应急事件及时进行响应。
f) 依据风险评估方案与计划实施信息系统风险评估；依据渗透测试方案与计划实施信息系统
渗透测试。
g) 依据漏洞管理方案实施信息系统漏洞管理工作。
F3.4 运维服务报告阶段
a) 对客户满意度进行趋势分析。
b) 对客户系统的安全态势做出分析，并给出安全建议。