安全运维管理-（十四）外包运维管理

安全运维管理

 

控制点

14.包运维管理

运维工作在等级保护对象生命周期中的持续时间最长，直接关系到系统能否安全、稳定运行。委托外部服务商执行运维工作的单位，要严格管控外包运维服务商的选择工作，在服务协议中明确外包运维服务商的能力、工作范围和工作内容等。

a)

安全要求（关键）：应确保外包运维服务商的选择符合国家的有关规定。

要求解读：外包服务商应满足国家相关主管部门的相关规定和要求，以证明其具有相应的服务能力。

测评方法

1.访谈运维负责人是否有外包运维服务情况。

2.如果使用外包运维服务，则核查外包运维服务商是否符合国家的有关规定。

期望结果

1.若未使用外包运维服务，则此项不适用。

2.若使用了外包运维服务，则有关于外包内容，外包服务单位名称以及所承担服务的资质证明的文档。

b)

安全要求（一般）：应与选定的外包运维服务签订相关的协议，明确约定外包运维的范围、工作内容。

要求解读：外包运维服务商提供的服务内容，应在相关协议中予以明确。

测评方法

核查外包运维服务协议是否包含了外包运维的范围和工作内容。

期望结果

1.有外包运维服务协议。

2.外包运维服务协议包含了外包运维的范围和工作内容。

c)

安全要求（重要）：应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明确。

要求解读：外包服务运维服务商应具有按照等级保护要求开展运维工作的能力，意味着该外包运维服务商应能提供以往根据等级保护要求开展运维工作的实例，在选择运维服务商时，应重点考虑相关运维人员具备等级保护相关运维能力（如进行过等级保护相关方面的培训）。

测评方法

核查外包运维服务协议是否包含了其具有按照等级保护要求的开展安全运维工作的能力要求。

期望结果

外包运维服务协议内容包含了服务商具有按照等级保护要求的开展安全运维工作能力的内容。

d)

安全要求（一般）：应在与外包运维服务商签订的协议中明确所有相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求，对IT基础建设中断服务的应急保障要求等。

要求解读：应在与外包服务商签订的协议中明确相关网络安全要求，以确保单位和外包运维服务商在双方要履行的网络安全相关义务方面不存在误解和分歧。可能的网络安全要求包括：可以访问的信息类型及方法，权限分配、数据保护、网络安全培训等等。

测评方法

核查外包运维服务协议内容是否包括了可能涉及对敏感信息的访问、处理、存储要求，以及IT基础设施中断服务的应急保障要求等。

期望结果

外包运维服务协议的内容包括可能涉及的对敏感信息的访问、处理、存储要求，以及对IT基础设施中断服务的应急保障要求等。