如今，越來越多的互聯(lián)網(wǎng)企業(yè)去做CCRC信息安全運(yùn)維服務(wù)資質(zhì)認(rèn)證。那么安全運(yùn)維服務(wù)資質(zhì)認(rèn)證又需要滿足哪些的要求呢？

科普CCRC安全運(yùn)維服務(wù)資質(zhì)認(rèn)證?

信息安全運(yùn)維服務(wù)資質(zhì)認(rèn)證主要是通過技術(shù)設(shè)施安全評(píng)估，技術(shù)設(shè)施安全加固，安全漏洞補(bǔ)丁通告、安全事件響應(yīng)以及信息安全運(yùn)維咨詢，協(xié)助組織的信息系統(tǒng)管理人員進(jìn)行信息系統(tǒng)的安全運(yùn)維工作，以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時(shí)加以響應(yīng)。從而提升安全運(yùn)維服務(wù)提供方的服務(wù)能力，質(zhì)量和水平。

安全運(yùn)維服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供方的安全運(yùn)維服務(wù)資格和能力的尺度。資質(zhì)級(jí)別分為一級(jí)、二級(jí)、三級(jí)共三個(gè)級(jí)別，其中一級(jí)最高，三級(jí)最低。

從面向業(yè)務(wù)的運(yùn)維服務(wù)出發(fā)，依據(jù)安全需求對(duì)信息系統(tǒng)進(jìn)行安全運(yùn)維準(zhǔn)備、安全運(yùn)維實(shí)施，并對(duì)實(shí)施安全運(yùn)維服務(wù)的有效性進(jìn)行評(píng)審，從而進(jìn)行持續(xù)性改進(jìn)，全過程、全生命周期地為信息系統(tǒng)運(yùn)行提供安全保障的過程。

1通用評(píng)價(jià)要求（三級(jí)）

1、法律地位要求

a)?在中華人民共和國境內(nèi)注冊的獨(dú)立法人組織，發(fā)展歷程清晰，產(chǎn)權(quán)關(guān)系明確。?

b)?遵循國家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)要求，無違法違規(guī)記錄，資信狀況良好。

2財(cái)務(wù)資信要求

組織經(jīng)營狀況正常，建立財(cái)務(wù)管理制度，可為安全服務(wù)提供必要的財(cái)務(wù)支持。?

3公共場所要求

擁有長期固定辦公場所和相適應(yīng)的辦公條件，能夠滿足機(jī)構(gòu)設(shè)置及其業(yè)務(wù)需要。?

4人員能力要求

a)?組織負(fù)責(zé)人擁有2年以上信息技術(shù)領(lǐng)域管理經(jīng)歷。?

b)?技術(shù)負(fù)責(zé)人具備信息安全服務(wù)（與申報(bào)類別一致）管理能力，經(jīng)評(píng)價(jià)合格（與申報(bào)類別一致）。?

c)?項(xiàng)目負(fù)責(zé)人、項(xiàng)目工程師具備信息安全服務(wù)（與申報(bào)類別一致）技術(shù)能力，經(jīng)評(píng)價(jià)合格。

5業(yè)績要求

a)?從事信息安全服務(wù)（與申報(bào)類別一致）4個(gè)月以上。?

b)?（監(jiān)督審核時(shí)）近1年內(nèi)簽訂并完成至少1個(gè)信息安全服務(wù)（與申報(bào)類別一致）項(xiàng)目。?

6服務(wù)管理要求

a)?建立并運(yùn)行人員管理程序，識(shí)別安全服務(wù)人員的服務(wù)能力要求，明確安全服務(wù)人員的崗位職責(zé)、技術(shù)能力要求，并通過評(píng)價(jià)證明其能夠勝任其承擔(dān)的職責(zé)。?

b)?制定服務(wù)人員能力培養(yǎng)計(jì)劃，包括網(wǎng)絡(luò)與信息安全相關(guān)的技術(shù)、技能、管理、意識(shí)等內(nèi)容，并執(zhí)行計(jì)劃，確保服務(wù)人員持續(xù)勝任其承擔(dān)的職責(zé)。?

c)?建立并運(yùn)行文檔管理程序，包括組織管理、服務(wù)過程管理、質(zhì)量管理等內(nèi)容，明確項(xiàng)目產(chǎn)生、發(fā)布、保存、傳輸、使用（包括交付和內(nèi)部使用）、廢棄等環(huán)節(jié)的文檔控制。?

d)?建立并運(yùn)行項(xiàng)目管理程序，明確服務(wù)項(xiàng)目的組織、計(jì)劃、實(shí)施、風(fēng)險(xiǎn)控制、交付等環(huán)節(jié)的操作規(guī)程，提供項(xiàng)目風(fēng)險(xiǎn)管理記錄。?

e)?建立并運(yùn)行保密管理程序，明確崗位保密責(zé)任，簽訂保密協(xié)議，并能夠適時(shí)對(duì)相關(guān)人員進(jìn)行保密教育。?

f)?建立與運(yùn)行供應(yīng)商管理程序，確保其供應(yīng)商滿足服務(wù)安全要求（僅適用于安全集成、安全運(yùn)維、災(zāi)難備份與恢復(fù)方向）。?

g)?建立合同管理程序，制定統(tǒng)一合同模板，按照合同約定實(shí)施信息安全服務(wù)項(xiàng)目。按照客戶要求，對(duì)于接觸到的客戶敏感信息和知識(shí)產(chǎn)權(quán)信息予以保護(hù)，并確保服務(wù)方人員了解客戶的相關(guān)要求。?

7服務(wù)技術(shù)要求

a)?建立信息安全服務(wù)（與申報(bào)類別一致）要求的流程，并按照流程實(shí)施。?

b)?制定信息安全服務(wù)（與申報(bào)類別一致）要求的規(guī)范標(biāo)準(zhǔn)，并按照規(guī)范實(shí)施。

2專業(yè)評(píng)價(jià)要求（三級(jí)）

1、準(zhǔn)備階段

需求調(diào)研與分析?

a)?調(diào)研客戶信息系統(tǒng)安全現(xiàn)狀，采集客戶安全服務(wù)需求與目標(biāo)，明確客戶對(duì)信息系統(tǒng)安全運(yùn)維服務(wù)時(shí)間、服務(wù)期限、服務(wù)內(nèi)容以及服務(wù)方式的需求。?

b)?進(jìn)行信息系統(tǒng)運(yùn)維預(yù)算，定義運(yùn)維服務(wù)。?

c)?與客戶進(jìn)行溝通，達(dá)成共識(shí)并形成記錄。

簽訂服務(wù)協(xié)議?

a)?與客戶簽訂服務(wù)協(xié)議，明確范圍、目標(biāo)、時(shí)間、內(nèi)容、金額、質(zhì)量和輸出等。?

b)?明確安全運(yùn)維的方式，方式包括但不限于：駐場值守方式，定期巡檢方式，遠(yuǎn)程值守方式。?

2方案設(shè)計(jì)階段

a)?根據(jù)系統(tǒng)安全運(yùn)維需求，編制安全運(yùn)維服務(wù)方案，明確安全運(yùn)維服務(wù)時(shí)間、服務(wù)內(nèi)容、服務(wù)方式、服務(wù)期限、服務(wù)人員、服務(wù)交付物、服務(wù)質(zhì)量管理、服務(wù)溝通機(jī)制、服務(wù)風(fēng)險(xiǎn)管理等方面要求。?

b)?提供安全設(shè)備、業(yè)務(wù)系統(tǒng)的健康檢查服務(wù)，并約定服務(wù)方式、檢查頻次和檢查內(nèi)容。?c)?專業(yè)人員負(fù)責(zé)安全管理的接口。

3服務(wù)實(shí)施階段

a)?實(shí)施初始服務(wù)，完成資產(chǎn)識(shí)別。?

b)?采集信息系統(tǒng)重要資產(chǎn)的安全配置、流量信息等安全信息。?

c)?對(duì)安全設(shè)備進(jìn)行日常維護(hù)及監(jiān)控，并記錄硬件故障。?

d)?收集與分析網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)的日志。?

e)?實(shí)施日常巡檢服務(wù)：對(duì)用戶的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器提供業(yè)務(wù)操作巡檢、狀態(tài)巡檢、安全策略配置巡檢服務(wù)。?

f)?實(shí)施日常安全運(yùn)維服務(wù)：完成安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)安全事件監(jiān)控；病毒監(jiān)測、查殺及網(wǎng)絡(luò)防病毒維護(hù)；漏洞掃描、安全加固、補(bǔ)丁安裝；并有相關(guān)記錄。?g)?對(duì)信息安全事件進(jìn)行統(tǒng)計(jì)與分析。?

h)?實(shí)施健康檢查服務(wù)：完成安全設(shè)備、業(yè)務(wù)系統(tǒng)的健康檢查服務(wù)。?

4運(yùn)維服務(wù)報(bào)告階段

a)?向客戶提交服務(wù)報(bào)告，定期收集與報(bào)告安全運(yùn)維實(shí)施情況。

b)?匯總整理全年服務(wù)記錄，形成年終安全運(yùn)維服務(wù)總結(jié)報(bào)告。?

c)?根據(jù)合同約定，配合組織項(xiàng)目驗(yàn)收，出具項(xiàng)目驗(yàn)收報(bào)告。