信息安全类运行维护服务的监理要点来源:信息技术服务监理规范 日期:[2022-12-03]
1.概述
信息安全包括:
(1)信息安全咨询,如信息安全规划、信息安全管理体系优化、信息安全风险评估;
(2)信息安全实施,如信息安全加固和优化、信息安全检查和测试、信息安全监控等;
(3)信息安全培训。
2.例行操作监理
信息安全类运行维护服务,例行操作监理要点如下:
(1)监理机构督促供方按照基础设施、应用系统和数据等对象安全属性的不同,采用不同的运行维护方法,设计详细的安全运行维护方案,并对方案进行审核;
(2)监理机构依据安全运行维护相关管理制度和系统安全定级情况,督促供方对基础设施、应用系统和数据定期开展安全巡检、安全加固、脆弱性检查、渗透性测试、安全风险评估等服务,以评估其是否能符合需方的安全要求。
3.响应支持监理
信息安全类运行维护服务,响应支持监理要点如下:
(1)监理机构督促供方提交安全事件应急响应支持方案,并对方案进行审核;
(2)监理机构对影响核心应用系统和数据安全的事件进行全程跟踪检查,审核事件处理过程的合规性、技术处理手段的正确性,并记录处理过程;
(3)监理机构督促供方及时纠正响应支持过程中的问题,如安全功能、安全性能等,监理机构对问题进行审核;
(4)监理机构督促供方在安全事件处理后,提交的分析报告,对报告中的风险判定、分析、解决方案、预防或整改措施等内容进行审核。
4.优化改善监理
信息安全类运行维护服务,优化改善监理要点如下:
(1)监理机构依据安全运行维护相关管理制度和系统安全定级情况,督促供方对安全运行维护方案进行调整和适应性改进,包括但不限于安全巡检、安全加固、脆弱性检查、渗透性测试、安全风险评估、应急保障等方案和措施;
(2)监理机构宜建议供方在安全运行维护过程中,优化完善安全运行维护方案,并对优化完善后的方案进行评审;
(3)监理机构可根据对安全运行维护记录、趋势的分析,结合安全运行的需求,发现安全运行过程的脆弱点,督促供方有针对性地进行改进性作业和预防性改进。
5.调研评估监理
信息安全类运行维护服务,调研评估监理要点如下:
(1)监理机构对调研评估计划进行审核,计划应明确调研评估的目标、内容、步骤、人员、进度、交付成果和沟通计划等内容;
(2)监理机构持续跟踪调研评估的执行和评估结果的改进情况;
(3)监理机构宜对调研评估报告进行审核,报告应包括现状评估、访谈调研、需求分析和评估建议等内容。