最近要帮一家企业做一些制度,人家自己说是真正想要做等保建设的,所以这些制度我也是真的想写得接地气的。于是我吭哧吭哧,借助AI的力量和自己的判断,一个个制度开始写起来。
今天分享一下外包运维制度,主要还是思路参考,当然都脱敏了。
先一起看看等保三级关于外包运维的要求,一共是4条:
1、应确保外包运维服务商的选择符合国家的有关规定。
解读:这条就是合规性底线控制,如果外包服务商都没资质,选到不合规的团队遇到数据泄露、恶意后门植入等安全风险可能性肯定更大些。通过国家规定进行初筛,可以排除一些技术能力不足和存在安全劣迹的服务商,从源头降低外包运维的安全风险。
2、应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容。
解读:这个就是把责任边界通过协议的方式清晰化,避免安全事件发生时责任推诿,还可以约束服务商的工作范围,防止未授权操作,减低误操作风险。协议条款还可支持对外包运维活动的监督管理。如果都没写清楚,你拿什么去监督管理运维活动是否未授权?
3、应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确。
解读:这就是要求服务商的技术和管理能力都匹配等保要求。能力要求也可以成为服务商服务质量的考核点。主要目的还是想确保服务商能提供满足等保要求的服务。如技术方面可以彻底的修复漏洞、能进行入侵检测。管理方面有数据保密制度,有人员背景审查等。
4、应在与外包运维服务商签订的协议中明确所有相关的安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。
解读:这个其实就是精细化管控。比如通过协议要求服务商遵循最小必要原则访问数据,明确服务器宕机时的应急职责等。
总之,就是要外包运维商相关的管理纳入甲方安全管理体系,要从“合规性、责任清晰、能力匹配、数据安全”等方面对外包运维商进行监管,进而可通过法律协议和技术手段确保服务商的行为始终符合等级保护标准。
下面把AI和我共同写的制度发出来。
一、总则
目的:为满足网络安全合规要求,规范公司外包运维工作,保障信息系统安全、稳定、持续运行,保护公司信息资产安全,特制定本制度。
适用范围:本制度适用于公司所有涉及信息系统外包运维服务的活动,包括但不限于网络、主机、应用、数据等层面的运维外包,适用于所有外包运维服务商及其工作人员,以及公司内部与外包运维服务相关的管理部门和人员。
原则:遵循 “安全第一、严格审查、全程监督、责任明确” 的原则开展外包运维活动。
二、外包运维服务商选择
基本资质:外包运维服务商必须是在中华人民共和国境内合法注册的独立法人企业,具备有效的营业执照、税务登记证和组织机构代码证。企业运营时间不少于 5 年,以确保其稳定性和行业经验积累。
专业资质:根据运维服务类型,具备相应专业资质认证。如提供信息安全运维服务,需具有中国网络安全审查技术与认证中心颁发的 CCRC 信息安全资质证书,且等级不低于一 级;涉及系统集成运维,需持有工业和信息化部颁发的计算机信息系统集成资质证书,等级符合项目需求。此外,应拥有相关行业的服务经验证明,如成功实施过类似规模和复杂度信息系统运维项目的案例,数量不少于5个。
关键人员背景调查:对承担公司信息系统运维关键岗位的人员,如项目负责人、系统架构师、安全专家等,外包运维服务商需提供其身份信息、学历证明、工作履历等资料。公司对其进行背景审查,包括无犯罪记录查询、个人信用报告审查等,确保人员可靠性。
专业技能要求:运维人员应具备丰富的专业知识和技能,熟悉主流操作系统(如 Windows Server、Linux)、数据库管理系统(如 Oracle、MySQL)、网络设备(如 Cisco、华为交换机和路由器)的运维操作。相关人员需持有行业认可的专业证书,如微软认证系统工程师(MCSE)、Oracle 数据库管理员认证(OCP)、华为认证网络工程师(HCNP)等,每个关键技术领域至少有 [X] 名持有相关证书的人员。同时,所有运维人员应接受过等级保护相关知识培训,熟悉等保三级标准要求,培训时长不少于 [X] 小时,并提供培训证明。
体系认证:外包运维服务商应建立完善的信息安全管理体系,并通过国际标准认证,如 ISO 27001 信息安全管理体系认证。认证证书需在有效期内,且认证范围涵盖其拟提供的运维服务内容。
制度与流程:审查其内部安全管理制度,包括人员安全管理、访问控制管理、数据安全管理、应急响应管理等制度。要求其具备详细的运维操作流程和规范,如设备巡检流程、故障处理流程、变更管理流程等,确保运维活动有序、安全开展。提供制度文件和流程文档,并对制度执行情况进行抽样检查,如查阅人员访问权限审批记录、安全事件应急响应报告等。
服务能力:考察外包运维服务商的服务交付能力,包括服务团队规模、技术支持体系、服务响应时间承诺等。要求具备 7×24 小时的技术支持能力,服务响应时间不超过 [X] 分钟(紧急故障),一般故障解决时间不超过 [X] 小时。拥有完善的服务监控和管理平台,能实时监测运维服务状态,提供服务报告,包括服务内容、执行情况、问题及解决措施等,报告周期为每月一次。
业绩案例:提供过去 [X] 年内,为其他客户提供类似信息系统运维服务的业绩案例,包括客户名称、项目内容、服务期限、客户评价等。案例数量不少于 [X] 个,其中至少有 [X] 个项目涉及的信息系统安全等级不低于二级,以证明其具备承担公司等保三级信息系统运维服务的能力。
三、合同与保密管理
服务内容与标准:在与外包运维服务商签订的合同中,明确规定运维服务的详细内容、服务级别协议(SLA)和质量标准。服务内容应涵盖信息系统日常运维、故障处理、安全管理、性能优化、应急演练等方面。SLA 应约定服务可用性、响应时间、故障解决时间等关键指标,如系统可用性达到 99.9% 以上,紧急故障响应时间不超过 15 分钟,一般故障解决时间不超过 4 小时。质量标准应符合国家相关法律法规、行业标准以及公司内部的技术规范和要求。
安全责任与义务:合同中明确外包运维服务商的安全责任和义务,要求其遵守国家网络安全法律法规和公司的安全管理制度。规定服务商在运维过程中应采取的安全技术措施和管理措施,如实施访问控制、安全审计、数据加密等。明确因服务商原因导致的安全事故责任认定和赔偿机制,包括但不限于数据泄露、系统瘫痪等事故的赔偿标准和方式。
知识产权与数据归属:明确合同涉及的知识产权归属,对于外包运维服务商在服务过程中产生的工作成果,其知识产权归公司所有。同时,确保公司对自身数据的所有权和控制权,服务商不得擅自使用、复制、传播公司数据,在服务结束后,应及时删除或归还所有公司数据。
人员保密:外包运维服务商所有参与公司信息系统运维的人员,包括正式员工和临时聘用人员,在接触公司信息资产前,必须与公司签订保密协议。保密协议应明确保密信息的范围,包括但不限于公司业务数据、技术文档、系统架构、用户信息等;规定保密期限,不少于服务期限及服务结束后 [X] 年;明确违约责任,对于违反保密协议的人员,应承担相应的法律责任和经济赔偿责任。
服务商整体保密责任:外包运维服务商作为一个整体,应与公司签订保密承诺书,承诺对公司信息资产承担保密责任。保证建立有效的保密管理机制,防止公司信息泄露给第三方。若因服务商内部管理不善导致保密信息泄露,服务商应承担全部责任,并采取有效措施进行补救,降低损失。
四、人员管理
申请与审批:外包运维服务商派遣人员到公司进行运维服务前,需向公司提交人员派遣申请,包括人员基本信息、简历、资质证书、培训记录、背景审查结果等资料。公司相关管理部门对申请进行审批,重点审查人员资质、背景是否符合要求,审批通过后方可安排人员入场。审批时间一般不超过 [X] 个工作日。
权限分配:根据运维人员的工作职责和任务,按照最小权限原则为其分配访问公司信息系统的权限。权限分配需经过严格的审批流程,由运维项目负责人提出申请,公司信息安全管理部门审核,相关业务部门负责人审批。权限分配记录应妥善保存,定期进行审查和更新,确保权限的合理性和安全性。
安全意识培训:公司定期组织外包运维人员参加安全意识培训,培训内容包括网络安全法律法规、公司安全管理制度、信息安全基础知识、安全防范技能等。培训频率为每季度至少一次,每次培训时长不少于 [X] 小时。培训结束后,对运维人员进行考核,考核结果作为其工作绩效评估的一部分,考核不合格者需重新参加培训。
业务与技术培训:外包运维服务商应负责对其人员进行业务知识和技术技能培训,使其熟悉公司信息系统的架构、功能、业务流程以及运维操作规范。培训计划需报公司备案,公司可根据实际情况参与培训效果评估。服务商应根据公司信息系统的升级、变更等情况,及时对运维人员进行针对性培训,确保其具备相应的运维能力。
提前通知:外包运维服务商若需更换运维人员,应提前 [X] 个工作日向公司提交人员变更申请,说明变更原因、新人员基本信息、资质情况等。未经公司同意,不得擅自更换人员。
交接与权限回收:在人员变更过程中,原运维人员和新运维人员应进行工作交接,交接内容包括运维工作进展、系统状态、文档资料、账号密码等。公司相关人员应监督交接过程,确保交接完整、准确。同时,在原运维人员离职或岗位变动后,及时回收其所有访问公司信息系统的权限,包括账号删除、权限撤销等操作,避免权限失控。
五、运维过程管理
运维计划制定:外包运维服务商应根据公司信息系统的特点和需求,制定详细的年度、季度和月度运维计划。运维计划应包括运维工作内容、执行时间、责任人、预期目标等。年度运维计划应在每年年初提交公司审批,季度和月度运维计划应在上一季度末和上一月末提交备案。运维计划应根据实际情况及时调整,并向公司报告调整原因和内容。
运维报告提交:定期向公司提交运维报告,包括周报、月报和年报。周报应在每周一提交,内容包括上周运维工作内容、完成情况、遇到的问题及解决措施、本周工作计划等;月报应在每月初 5 个工作日内提交,除包含周报内容外,还应包括系统运行状态分析、性能指标统计、安全事件汇总等;年报应在次年 1 月 15 日前提交,对全年运维工作进行全面总结,包括运维工作成果、存在问题、改进建议、下一年度运维计划调整建议等。运维报告应真实、准确、完整,作为公司对运维服务质量评估的重要依据。
设备巡检:按照规定的巡检周期和内容,对外包运维服务商负责的信息系统设备进行巡检,包括服务器、网络设备、存储设备、安全设备等。巡检应填写详细的巡检记录,记录设备运行状态、发现的问题及处理情况。巡检周期根据设备重要性和稳定性确定,关键设备每天巡检一次,一般设备每周巡检一次。
故障处理:建立故障处理流程和响应机制,当信息系统出现故障时,外包运维服务商应在规定时间内响应并进行处理。故障响应时间根据故障级别确定,紧急故障(如系统瘫痪、数据丢失)应在 15 分钟内响应,一般故障(如部分功能异常)应在 1 小时内响应。故障处理过程中,应及时向公司相关人员通报故障情况和处理进展,故障解决后,提交详细的故障处理报告,包括故障现象、原因分析、处理措施、预防建议等。
变更管理:对于信息系统的任何变更,包括硬件更换、软件升级、配置调整、网络拓扑变更等,外包运维服务商必须事先向公司提交变更申请,说明变更原因、变更内容、影响范围、实施计划、回退方案等。变更申请需经过公司相关部门的审批,审批通过后方可实施。变更实施过程应严格按照计划进行,并进行全程记录,变更完成后,对变更效果进行评估,向公司提交变更实施报告。
访问控制:严格执行公司的访问控制策略,对外包运维人员访问公司信息系统进行身份鉴别和授权管理。采用多因素身份认证方式,如用户名 / 密码 + 动态令牌、指纹识别等,确保运维人员身份真实可靠。根据运维人员的工作职责和任务,为其分配最小权限,定期审查和更新运维人员的权限,防止权限滥用。
安全审计:配合公司建立安全审计机制,对外包运维人员在信息系统中的操作行为进行审计。审计内容包括登录行为、操作记录、权限使用等。定期对审计数据进行分析,及时发现潜在的安全风险和违规行为。审计日志应妥善保存,保存期限不少于 [X] 年,以便在需要时进行追溯和调查。
数据安全:在运维过程中,加强对公司数据的安全保护。对敏感数据进行加密存储和传输,采用符合国家标准的加密算法和技术。严格控制数据的访问权限,确保只有授权人员能够访问和处理数据。禁止外包运维人员私自复制、传播、泄露公司数据,如因工作需要必须复制数据,需经过严格的审批流程,并采取相应的安全措施,确保数据安全。
六、监督与考核
日常监督:公司指定专人负责对外包运维服务商的日常运维工作进行监督,定期检查运维计划执行情况、运维操作规范遵守情况、安全管理措施落实情况等。通过现场检查、远程监控、文档审查等方式,及时发现运维工作中存在的问题,并要求服务商及时整改。监督人员应填写监督记录,记录监督过程中发现的问题、整改要求和整改结果。
定期评估:每季度对外包运维服务商的服务质量进行一次全面评估,评估内容包括运维工作完成情况、服务级别协议达成情况、安全管理情况、人员管理情况、客户满意度等。评估采用定量和定性相结合的方法,通过数据分析、问卷调查、现场访谈等方式收集评估数据。根据评估结果,形成评估报告,对服务商的服务质量进行评价,提出改进建议和要求。
考核指标设定:建立完善的考核指标体系,考核指标应与运维服务内容、服务级别协议、安全管理要求等紧密结合。主要考核指标包括系统可用性、故障处理及时率、变更成功率、安全事故发生率、人员培训完成率、客户满意度等。每个考核指标设定明确的目标值和权重,以便进行量化考核。
奖励机制:对于服务质量优秀、考核结果达到或超过目标值的外包运维服务商,公司给予一定的奖励。奖励方式包括但不限于增加服务费用、续签服务合同优先考虑、颁发荣誉证书等。对在运维工作中表现突出的个人,公司可建议服务商给予表彰和奖励。
惩罚机制:对于服务质量不达标的外包运维服务商,根据考核结果进行相应的惩罚。惩罚措施包括但不限于扣除服务费用、要求限期整改、暂停部分服务项目、终止服务合同等。若因服务商原因导致公司信息系统出现安全事故或造成重大经济损失,服务商应承担相应的法律责任和经济赔偿责任。
七、应急管理
联合制定:公司与外包运维服务商共同制定信息系统应急预案,应急预案应符合等保三级要求和公司的实际情况。应急预案包括应急组织架构、职责分工、应急响应流程、应急处置措施、恢复流程、培训与演练计划等内容。应急组织架构应明确公司和服务商在应急处置中的角色和职责,确保应急工作协调有序开展。
预案评审与更新:应急预案制定完成后,组织相关专家和部门进行评审,根据评审意见进行修改完善。应急预案应根据信息系统的变化、安全形势的发展以及应急演练和实际应急处置的经验教训,定期进行更新和优化,确保其有效性和实用性。更新后的应急预案需重新进行评审和备案。
演练计划:制定年度应急演练计划,演练计划应包括演练目的、演练内容、演练时间、参与人员、演练场景设置等。演练内容应涵盖信息系统可能面临的各类安全事件,如网络攻击、系统故障、数据丢失等。演练时间每年不少于 [X] 次,演练场景应具有一定的复杂性和真实性,以检验和提高应急响应能力。
演练实施与总结:按照演练计划组织应急演练,演练过程中,严格按照应急预案的流程和要求进行操作,记录演练过程中的各项数据和情况。演练结束后,对演练效果进行总结和评估,分析演练中存在的问题和不足,提出改进措施和建议。针对演练中发现的应急预案缺陷,及时对应急预案进行修订和完善。
事件报告:当信息系统发生安全事件或故障时,外包运维服务商应立即向公司报告,报告内容包括事件发生时间、事件类型、影响范围、初步原因分析等。报告方式应采用多种方式同时进行,如电话、邮件、即时通讯工具等,确保报告及时送达公司相关人员。
应急响应启动:公司接到报告后,根据事件的严重程度和影响范围,启动相应级别的应急响应。应急响应启动后,公司和外包运维服务商应按照应急预案的要求,迅速开展应急处置工作,采取有效措施控制事件发展,降低损失和影响。
应急处置与恢复:在应急处置过程中,外包运维服务商应积极配合公司,利用其技术力量和资源,对事件进行调查和处理。采取应急处置措施,如隔离故障设备、恢复数据备份、修复系统漏洞等,尽快恢复信息系统的正常运行。在信息系统恢复正常后,对事件进行全面调查和分析,查明事件原因,总结经验教训,提出改进措施,防止类似事件再次发生。
八、附则
制度解释:本制度由公司信息安全管理部门负责解释。在制度执行过程中,如遇到问题或需要进一步明确相关条款,由信息安全管理部门进行解答和说明。
制度修订:根据国家法律法规的变化、等保标准的更新以及公司业务发展和信息系统变化的需要,适时对本制度进行修订。制度修订需经过相关部门的讨论和审议,修订后的制度需正式发布并组织相关人员进行培训和学习。
生效日期:本制度自发布之日起生效实施。公司原有与外包运维管理相关的规定与本制度不一致的,以本制度为准。
当然,写得过于严格,也会导致可选供应商太小,或成本过高,所以在满足合规的前提下,可以删繁就简,多大碗盛多少菜。
THE END
ps :本人最近在学习网络安全运营平台SOC功能和相关技术,正在用相关平台的用户,或者研究开发过类似产品的朋友可以加我V:catfishfighting,务必备注SOC,我拉你进SOC群,大家一起交流学习。
原文始发于微信公众号(透明魔方):基于等保三级要求的外包运维制度
评论