IT服務(wù)商根據(jù)公司發(fā)展需求可申請(qǐng)辦理ISO27001信息安全辦理體系認(rèn)證證書。

1、服務(wù)商挑選

活動(dòng)方針：確定符合國(guó)家規(guī)定或行業(yè)規(guī)定的設(shè)計(jì)、測(cè)評(píng)、建設(shè)資質(zhì)的服務(wù)商，為后續(xù)的辦理和監(jiān)控奠定根底。

參與角色：運(yùn)營(yíng)、運(yùn)用單位.網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)。

活動(dòng)輸入：安全詳細(xì)設(shè)計(jì)計(jì)劃,實(shí)施計(jì)劃等。

活動(dòng)描述：

本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：

a) 服務(wù)能力剖析

從影響系統(tǒng)、事務(wù)安全性等要害要素層面剖析服務(wù)商服務(wù)能力,根據(jù)國(guó)家招投標(biāo)相關(guān)要求,挑選最佳服務(wù)商,這些要素或許包括服務(wù)商的基本情況、企業(yè)資質(zhì)和人員資質(zhì)、信譽(yù)、技術(shù)力量和行業(yè)經(jīng)驗(yàn)、內(nèi)部控制和辦理能力、持續(xù)經(jīng)營(yíng)狀況、服務(wù)水平及人員配備情況等。

b)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)剖析

在挑選服務(wù)商時(shí),需求識(shí)別服務(wù)商的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),防止高風(fēng)險(xiǎn)、不合格服務(wù)商承當(dāng)安全運(yùn)行維護(hù)項(xiàng)目,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)包括但不限于以下幾點(diǎn)：

——服務(wù)商或許的泄密行為。

——服務(wù)商服務(wù)能力及行業(yè)經(jīng)驗(yàn)。

——物理訪問、信息資料丟失、系統(tǒng)越權(quán)訪問、誤操作等。

——服務(wù)商企業(yè)資質(zhì)、人員資質(zhì)及網(wǎng)絡(luò)安全口碑、業(yè)績(jī)。

——服務(wù)商以往服務(wù)項(xiàng)目案例。

c) 服務(wù)內(nèi)容互斥剖析

在挑選服務(wù)商時(shí),需求識(shí)別服務(wù)商供給的服務(wù)與之前或后續(xù)供給的服務(wù)之間沒有互斥性。承當(dāng)?shù)燃?jí)保護(hù)方針安全建設(shè)服務(wù)的機(jī)構(gòu)應(yīng)具備等級(jí)保護(hù)安全建設(shè)服務(wù)機(jī)構(gòu)資質(zhì)。承當(dāng)?shù)燃?jí)測(cè)評(píng)服務(wù)的機(jī)構(gòu)具備等級(jí)測(cè)評(píng)機(jī)構(gòu)資質(zhì)。

活動(dòng)輸出：已挑選的服務(wù)商,安全服務(wù)計(jì)劃。

2、服務(wù)商辦理

活動(dòng)方針：對(duì)服務(wù)商從多維度進(jìn)行切實(shí)有效辦理,使得服務(wù)商在約定范圍內(nèi)展開服務(wù)作業(yè)。

參與角色：運(yùn)營(yíng)、運(yùn)用單位,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)。

活動(dòng)輸入：已挑選的服務(wù)商，安全服務(wù)計(jì)劃。

活動(dòng)描述：

本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：

a) 人員辦理

為保證服務(wù)商服務(wù)作業(yè)符合約定要求,運(yùn)用單位對(duì)服務(wù)人員的辦理措施應(yīng)至少包括但不限于：

——運(yùn)用單位需制定服務(wù)商人員辦理規(guī)定,包含但不限于上崗資質(zhì)審核機(jī)制、保密協(xié)議、品行辦理、服務(wù)技能查核、行為辦理、系統(tǒng)權(quán)限辦理、口令辦理等。

——運(yùn)用單位負(fù)責(zé)對(duì)服務(wù)商核心人員的確定和變更進(jìn)行備案。

——服務(wù)商人員在為運(yùn)用單位供給服務(wù)的過程中,嚴(yán)格遵守運(yùn)用單位的各項(xiàng)規(guī)定、辦理要求,服從運(yùn)用單位安排。

——如因服務(wù)商人員原因,給運(yùn)用單位或第三方造成人員人身傷害或財(cái)產(chǎn)丟失的,服務(wù)商應(yīng)承當(dāng)補(bǔ)償責(zé)任。

——運(yùn)用單位督促服務(wù)商對(duì)服務(wù)人員展開培訓(xùn)及安全教育作業(yè)。

b)服務(wù)辦理

為保證服務(wù)商服務(wù)作業(yè)符合約定要求,服務(wù)商應(yīng)滿足但不限于：

——服務(wù)商供給完全出場(chǎng)相關(guān)資料(如企業(yè)資質(zhì)、人員資質(zhì)、人員名單、物資資料等),并接受運(yùn)用單位的審核。

——服務(wù)商基本信息產(chǎn)生變更,如：法人、單位名稱、銀行賬戶等,應(yīng)提前通知運(yùn)用單位。

——按照約定要求服務(wù)商供給各項(xiàng)服務(wù),保質(zhì)保量完成服務(wù)方針;如因服務(wù)商未完成服務(wù)方針給運(yùn)用單位造成丟失的,應(yīng)予補(bǔ)償。

——服務(wù)商保證所供給服務(wù)不存在任何侵犯第三方著作權(quán)、商標(biāo)權(quán)、專利權(quán)等合法權(quán)益的情形;服務(wù)商保護(hù)好對(duì)服務(wù)過程中產(chǎn)生的研究成果及知識(shí)產(chǎn)權(quán),未經(jīng)運(yùn)用單位答應(yīng),服務(wù)商不得以任何方法向任何第三方轉(zhuǎn)讓權(quán)利義務(wù)。

——服務(wù)商供給項(xiàng)目驗(yàn)收和查核的相關(guān)材料.配合運(yùn)用單位組織展開項(xiàng)目結(jié)題驗(yàn)收和查核作業(yè)。

——運(yùn)用單位根據(jù)約定的售后服務(wù)內(nèi)容及規(guī)范，實(shí)時(shí)跟蹤服務(wù)商售后服務(wù)查核情況,作為后續(xù)服務(wù)商挑選參閱。

活動(dòng)輸出：服務(wù)商服務(wù)辦理報(bào)告。

3、服務(wù)商監(jiān)控

活動(dòng)方針：通過對(duì)服務(wù)商及其人員在服務(wù)過程中的行為進(jìn)行有效監(jiān)控,若發(fā)現(xiàn)不合規(guī)行為,限時(shí)保質(zhì)整改,保證服務(wù)商服務(wù)作業(yè)持續(xù)、規(guī)范、高效。

參與角色：運(yùn)營(yíng)、運(yùn)用單位,網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)。

活動(dòng)輸入：服務(wù)商日常服務(wù)記錄,安全服務(wù)計(jì)劃。

活動(dòng)描述：

本活動(dòng)主要包括以下子活動(dòng)內(nèi)容：

a) 運(yùn)用單位負(fù)責(zé)組織制定服務(wù)評(píng)審規(guī)范及辦法,并依據(jù)辦法對(duì)服務(wù)質(zhì)量進(jìn)行評(píng)審;服務(wù)商應(yīng)接受運(yùn)用單位對(duì)其供給服務(wù)情況進(jìn)行的監(jiān)督和查看,并應(yīng)及時(shí)按照運(yùn)用單位要求對(duì)所供給的服務(wù)進(jìn)行改進(jìn)或調(diào)整,使服務(wù)質(zhì)量符合運(yùn)用單位要求。

b) 運(yùn)用單位對(duì)服務(wù)商日常作業(yè)進(jìn)行指導(dǎo)，當(dāng)發(fā)現(xiàn)服務(wù)商作業(yè)中存在問題時(shí)，要求服務(wù)商及時(shí)糾正,因服務(wù)商原因(故意或過失)給運(yùn)用單位造成丟失的，服務(wù)商應(yīng)承當(dāng)全部補(bǔ)償責(zé)任。

c) 運(yùn)用單位監(jiān)管項(xiàng)目進(jìn)展情況期間,對(duì)于嚴(yán)重情況服務(wù)商應(yīng)及時(shí)主動(dòng)報(bào)告。

d) 運(yùn)用單位負(fù) 責(zé)對(duì)服務(wù)商人員定期進(jìn)行查核評(píng)價(jià),查核方法可采用日常查核、季度查核和年度查核，也可采用適合運(yùn)用單位的查核方法;如產(chǎn)生嚴(yán)重違反協(xié)作原則、傷害運(yùn)用單位利益、影響服務(wù)質(zhì)量等行為.運(yùn)用單位有權(quán)隨時(shí)向服務(wù)商提出人員撤換要求。

e) 服務(wù)過程中,服務(wù)商如因正當(dāng)理由需求調(diào)整、變更人員的,應(yīng)提前通知運(yùn)用單位,做好作業(yè)交接,并獲得運(yùn)用單位同意后方可進(jìn)行。