安全运维管理
控制点
14.
运维工作在等级保护对象生命周期中持续时间最长,直接关系到系统能否安全、稳定的运行。对于委托外部服务商执行运维工作的单位,要严格管控外包运维服务商的选择,在服务协议中明确指出对服务商的能力,要求、工作范围要求和工作内容等要求。
a)
安全要求:应确保外包运维服务商的选择符合国家的有关规定。
要求解读:外包服务商应满足国家相关主管部门的相关规定和要求,以证明其具有相应的服务能力。
检查方法
1.访谈运维负责人是否有外包运维服务情况。
2.如果采用外包运维服务,检查外包运维服务商是否符合国家的有关规定。
测评对象
运维负责人、外包运维服务商资质证明
期望结果
1.外包运维则本条不适用。
2.有外包运维,主要外包内容是什么,外包服务单位名称以及所承担服务的资质证明。
b)
安全要求:应与选定的外包运维服务签订相关的协议,明确约定外包运维的范围、工作内容。
要求解读:针对外包运维服务商提供哪些服务内容,应在相关协议中予以明确。
检查方法
1.检查外包运维服务协议。
2.协议是否包括了外包运维的范围和工作内容。
测评对象
外包运维服务协议文档
期望结果
1.具有外包运维服务协议。
2.协议包括了外包运维的范围和工作内容。
c)
安全要求:应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确。
要求解读:外包服务运维服务商应具有按照等级保护要求开展运维工作的能力,意味着该外包运维服务商以往具有根据等级保护开展运维工作的实例,选择方在考虑选择哪个服务商时,应着重考虑相关运维人员具备等级保护相关运维的能力(如进行过等级保护相关方面的培训)。
检查方法
检查外包运维服务协议是否包含了其具有按照等级保护要求的开展安全运维工作的能力要求。
测评对象
外包运维服务协议相关文档
期望结果
外包运维服务协议内容包括了服务商具有按照等级保护要求的开展安全运维工作的能力要求。
d)
安全要求:应在与外包运维服务商签订的协议中明确所有相关的安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对IT基础建设中断服务的应急保障要求等。
要求解读:与外包服务商签订的协议中,应明确相关网络安全要求,以确保在单位和服务商之间关于双方要履行的有关网络安全要求的义务不会存在误解和分歧。可能的网络安全要求包括:可以访问的信息类型及方法,权限分配、关于数据保护要求、网络安全培训等等。
检查方法
检查外包运维服务协议内容是否包括了可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。
测评对象
外包运维服务协议文档
期望结果
外包运维服务协议内容包括了可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。
相关推荐: 「GoCN酷Go推荐」golang 单元测试最佳实践
为什么要进行单元测试? 在没工作之前,说实话没怎么写过单元测试,很多情况下就是一边写代码,一边运行,用 fmt.Println() 打印变量,再稍微复杂一点的也许会用 dlv 去 debug 代码,找出问题。 但是在做公司做大型项目时就会发现,你根本就没办法把…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论