信息系统安全运维服务资质认证申报流程详解
随着我国信息化和信息安全保障工作的不断深入,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。
一、信息系统安全运维服务资质认证简介
安全运维资质认证是对安全运维服务方的基本资格、管理能力、技术能力和安全运维过程能力等方面进行评价。安全运维服务资质级别是衡量服务提供方的安全运维服务资格和能力的尺度。
通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。
二、申报流程
1、项目目标
从需求调研、准备资料到申请、现场审核、获得信息安全服务资质(安全运维三级)预计需要4-6个月。
2、项目成员
确定项目组成员,包括甲方配合人员、我方项目成员,明确分工、职责。
3、任务分解
(1)需求调研
了解甲方公司体系、资质情况、项目情况、技术规范情况。需充分解读甲方体系资料,为后续将安全运维三级的准则条款要求,形成规范融合到现有体系中,工作量较大公司体系、资质情况、项目情况、技术规范情况。需充分解读甲方体系资料,为后续将安全开发类三级的准则条款要求,形成规范融合到现有体系中,工作量较大。
(2)差距分析
根据需求调研结果,与安全运维三级评估准则核对,进行差距分析,确定需要增加、修订补充的技术规范、体系资料。
在熟悉甲方体系资料的前提下,依据准则条款,规划出融合思路,并确定人员分工,谁负责融合、编写哪部分技术规范。
(3)申请书与技术规范
各小组成员按照分工计划,编写技术规范、融合体系资料,工作量是最大的部分。
依据材料,编写申请书。
(4)确定项目
根据建立的技术体系,至少选择完整项目1个,要覆盖整个安全运维三级评估准则条款,并且覆盖整个项目生命周期。
此处选定项目后,要与项目经理沟通、规避不能拿出审核的项目风险,所以存在沟通协调的环节。
(5)递交申请书
递交申请书,官方系统线上受理,签认证合同、走流程,等待安排现场审核时间。
(6)补充项目资料
依据建立的技术体系、技术规范,结合现有的项目资料,补充完善项目资料。
依据以往ISO 20000体系项目资料,补充增加部分在70%,故有大量的技术资料需要补充,部分需要项目经理配合。
(7)模拟现场审核
确定甲方参加现场审核人员,并进行模拟现场审核,学习答辩技巧。
(8)文审/整改
初次申请此资质,先进行一阶段审核(俗称文审),先审核体系、技术规范、申请书、项目资料等,针对文审提出的整改项,进行整改。关键看提出的整改项是在技术规范、还是项目资料,通常整改项会贯穿前后,也就是技术规范需要修改、对应的项目资料也要修改。
整改通过后,进入现场审核阶段。
(9)现场审核
配合现场审核,一个认证单元现场审核按2人日,每增加一个认证单元增加0.5人日,以此类推,原则上最多不超过5人日。
(10)审核整改
根据现场审核提出的整改项,进行整改,准备整改资料、纠正措施资料,并提交。审核通过后,获取证书。
信息系统安全运维服务认证对企业来说具有重要的意义,通过认证,企业可以保护信息资产的安全,提高信息系统的稳定性,规范运维流程,增加企业竞争力。
擎标长期深耕数据管理领域,拥有多年行业认证经验,组建了专业的评估咨询团队,为参评企业提供优质、高效、便捷的全流程咨询服务。如果您有任何疑问,欢迎联系400-182-7001!