运维工作在等级保护对象生命周期中持续时间最长,直接关系到系统能否安全、稳定的运行。对于委托外部服务商执行运维工作的单位,要严格管控外包运维服务商的选择,在服务协议中明确指出对服务商的能力要求、工作范围要求和工作内容等要求。
|
10.14.1应确保外包运维服务商的选择符合国家的有关规定。 |
|
外包服务商应满足国家相关主管部门的相关规定和要求,以证明其具有相应的服务能力。 【测评方法】 1)访谈运维负责人是否有外包运维服务情况。 2)如果采用外包运维服务,核查外包运维服务商是否符合国家的有关规定。 【预期结果】 1)无外包运维,则本条不适用。 2)有外包运维,主要外包内容是什么,外包服务单位名称以及所承担服务的资质证明。 【权重】1 |
|
10.14.2应与选定的外包运维服务商签订相关的协议,明确定外包运维的范围、工作内容。 |
|
针对外包运维服务商提供哪些服务内容,应在相关协议中予以明确。 【测评方法】 1)核查外包运维服务协议。 2)协议是否包括了外包运维的范围和工作内容。 【预期结果或主要证据】 1)具有外包运维服务协议。 2)协议包括了外包运维的范围和工作内容。 【权重】1 |
|
10.14.3 应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确。 |
|
外包运维服务商应具有按照等级保护要求开展运维工作的能力,意味着该外包运维商以往具有根据等级保护开展运维工作的实例,选择方在考虑选择哪个服务商时,应着重考虑相关运维人员具备等级保护相关运维的能力(如进行过等级保护相关方面的培训)。 【测评方法】 核查外包运维服务协议是否包含了其具有按照等级保护要求的开展安全运维工作的能力要求。 【预期结果】 外包运维服务协议内容包括了服务商具有按照等级保护要求的开展安全运维工作的能力要求。 【权重】1 |
|
10.14.4 应在与外包运维服条商签订的协议中明确所有相关的安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。 |
|
与外包服务商签订的协议中,应明确相关网络安全要求,以确保在单位和服务商之间关于双方要履行的有关网络安全要求的义务不会存在误解和分歧。可能的网络安全要求包括:可以访问的信息类型及方法,权限分配、关于数据保护要求、网络安全培训等等。 【测评方法】 核查外包运维服务协议内容是否包括了可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。 【预期结果】 外包运维服务协议内容包括了可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等。 【权重】1 |