上海网络与信息安全服务外包指引-上海信息安全行业协会

  • 格式:pdf
  • 大小:261.30 KB
  • 文档页数:6

上海市网络与信息安全服务外包指引 第一章 总则 【目的】 通过本指引,推动促进网络与信息安全外包服务市场健康发展,规范网络与信息安全外包服务过程,保障用户单位和服务提供方的合法权益。 【定义】 网络与信息安全服务是指涉及信息系统从设计、实施、测试到运行、维护的各个阶段,覆盖咨询、评估、监测、响应、恢复、培训等各个环节,为满足组织对信息系统安全保障需求,由专业的网络与信息安全服务人员提供的一系列活动。 【适用范围】 本指引适用于服务发包方(政府或企事业用户单位,以下简称甲方)通过一定的程序选择、采购、监督、考核服务提供方(网络与信息安全服务企业,以下简称乙方)的网络与信息安全外包服务的全过程。 第二章 服务的选择和管理 【服务外包责任】 甲方委托乙方开展网络与信息安全外包服务,甲方管理人应承担的责任不因外包而免除。 【服务机构选择】 甲方委托乙方开展服务活动前,应对乙方的服务能力和资质进行评价,优先从合格的服务机构中选择。评价内容包括但不限于企业资质、人员能力资质、产品技术能力证明、企业经营业绩和发展稳定性、诚信度等因素。 【服务过程监督】 在服务过程中,考虑到内部信息的敏感性,甲方应实施信息暴露最小范围的原则;甲方应对乙方的服务能力和服务质量进行监督并进行相应的记录,作为乙方的服务能力和信用评价参考,为下次采购提供参考。 【服务效果考评】 服务完成后,甲方应对乙方进行服务效果考评,考评结果可以作为甲方下次采购乙方服务的参考。 【服务合同执行】 甲方应为乙方开展网络与信息安全服务提供必要的配合,并按合同约定按时支付服务费用。 【服务质量投诉】 甲方对乙方提供的服务质量不满意,可以向乙方的服务质量管理部门进行投诉;如对乙方的处理结果不满意,可以向行业协会等第三方行业自律机构反应,要求协调处理。 【服务损失追偿】 乙方未按合同约定提供服务,在服务过程中给甲方信息系统带来破坏或造成损失的,甲乙双方应根据合同约定处理,必要时根据合同约定的管辖法院进行诉讼处理。 第三章 服务的提供和管理 【服务能力建设】 乙方通过管理体系的完善,人员能力的发展,不断提升网络与信息安全专业服务能力。 【评估服务需求】 乙方在获得甲方服务资格前,应充分理解甲方的服务需求,并确保自身具备足够的服务能力(如人才、设备、制度等),满足甲方服务需求。 【服务价格】 乙方应根据甲方需求制定服务报价,鼓励提供合理的服务价格,不应低价竞争,破坏行业秩序。 【开展服务】 乙方应建立良好的服务管理流程和体系,根据甲方的实际需求与管理要求安排项目管理人员和技术人员有序的开展服务工作。在服务过程中乙方应做到技术专业、响应及时、管理规范,并配合甲方完成对服务效果的评估。 【服务人员约束】 乙方应对服务人员进行约束,要求其遵守法律法规、保密规定及合同约定,诚实守信、勤勉尽责,不得将甲方系统漏洞、架构等情况泄漏给外部单位或无关的组织,不得与从事各类黑客活动的个人和组织形成利益输送。 【投诉处理】 乙方应建立外包投诉受理制度,设立服务质量管理负责岗位或部门,接受甲方的投诉并记录,对客户投诉及时处理。 第四章 服务满意度的监督和提升 【行业自律和服务监督】为维护服务外包过程中甲、乙双方的正当权益,鼓励行业协会加强行业自律、监督制度建设,建立相关制度,接受、协调服务外包过程中的争议处理,进行服务满意度监督和评价,利用行业服务历史数据,行业企业服务能力和信用数据,定期发布网络与信息安全服务外包能力评价报告,促进网络与信息安全服务规范的不断完善和服务满意度的不断提升。 第五章 附则 对网络与信息安全服务的详细分类阐述参照《附件一:网络与信息安全服务的分类和服务要素》 【发布实施】本指引自发布之日起试行。 上海市信息安全行业协会 2016年9月19日 附件一: 网络与信息安全服务的分类和服务要素 服务类别 服务项目 服务描述 服务要素

安全咨询服务

信息安全管理体系咨询服务 综合ISO27001、等级保护及其他相关制度、法规要求,协助用户建立信息安全管理体系,根据信息系统网络安全现状,完善现有信息安全管理制度,完善各项业务和管理过程中的信息安全措施,确保信息安全管理正规有序。 1、用户调研:了解用户信息安全管理体系现状及建设要求; 2、差距分析:结合信息安全管理体系现状和建设要求的差距进行对比,形成差距分析报告; 3、针对差距分析报告,进行针对性的查漏补缺,建立或完善相应制度; 4、结合管理体系建设情况,提交信息安全管理体系咨询报告。

信息系统等级保护咨询服务

依据国家信息系统安全等级保护标准对信息系统进行调研,协助客户定级、备案,并制定评估方案,进行差距分析,形成整改方案,有针对性地提出安全改进、加固建议,在整改完成后进行符合性预测评,并在第三方测评机构测评期间协助客户完成等保测评。

1、参照《信息系统信息安全等级保护定级指南》,对信息系统定级进行咨询,协助系统备案; 2、差距分析:根据技术要求(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复),管理要求(安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)进行对标,并形成差距分析报告; 3、针对差距分析报告,提供针对性的整改建议,协助进行安全整改; 4、整改完成后,进行符合性预测评,根据结果编制提交预测评报告。

安全监测服务

网站安全监

测及通告预警服务

利用在线监测平台对网站进行远程实时监测,及时发现网站是否存在安全漏洞、是否被挂马、是否被篡改、是否存在敏感信息泄露,以及1、网站可用性监测; 2、网页挂马监测; 3、网页反钓鱼监测; 4、网站漏洞监测; 5、发现重大问题实时通告预警。 网站是否还能够正常提供服务等安全问题。对严重安全漏洞或者其他可能影响系统安全的重要信息,进行实时提醒,提供具体的检测和修复办法。

检测与加固服务

漏洞扫描服务

使用漏洞扫描工具,检测网络设备、主机、操作系统、数据库和应用服务中存在的安全漏洞,并对高危漏洞进行验证、分析,提供漏洞评估报告和安全加固建议。

1、使用自动化的系统、Web、网络设备、主机漏洞扫描工具,对评估对象扫描; 2、由服务工程师对高危漏洞进行验证、分析; 3、提供扫描报告和加固建议; 4、提供加固后的复扫服务。

渗透测试服务 采取模拟入侵者可能采用的攻击技术和漏洞发现技术,利用专家经验对关键信息系统进行非破坏性质的模拟攻击,发现系统的最脆弱的环节和弱点等安全问题,为进一步加固信息系统提供依据,提供可行的评估整改报告。 1、测试手段包括:远程缓冲区溢出攻击、帐号与口令破解、SQL Injection、文件上传绕过、网络嗅探与会话劫持、本地提升权限、跨站脚本攻击、社会工程学等; 2、模拟黑客使用的漏洞发现技术与攻击技术,找出系统漏洞和安全风险点; 3、提供加固建议; 4、进行加固后的二次检查确认。

安全加固服务

针对安全漏洞和测试评估中发现的安全漏洞和安全缺陷,提供加固意见和方案,配合客户完成安全加固,包括移动APP系统的加固。

1、依据风险评估的结果; 2、协助用户进行安全加固服务; 3、加固完成后提供安全加固报告; 4、协助用户进行加固后的复查;

安全运维与应急响应服安全运维服务 为用户提供常规化安全运维服务,包括1、安全状态检查:检查安全产品硬件和软件运行状态; 务 安全架构运维、网络安全运维、安全设备运维、安全设备切割服务、常规安全问题咨询、安全分析报告服务等。 2、安全策略优化:对安全设备进行策略检查,并根据检查结果提供策略优化建议。 3、安全日志收集和分析:收集日志信息并分析,发现面临的安全风险,并提出改进加固建议;

应急响应服务

当业务系统发生突发性的安全事件时,提供专家顾问级的安全事件响应服务,尽可能降低突发性安全事件给企业带来的影响和损失。

1、应急响应服务内容包括:拒绝服务攻击、木马病毒、数据破坏、黑客攻击、数据丢失等安全事件; 2、远程和现场结合的方式; 3、协助制定应急响应流程; 4、服务完成后提供应急响应服务报告;

安全培训服务

安全意识培训 面向组织内一般员工和非技术人员,使员工了解信息安全的概念,理解信息安全对于组织的重要意义,提高员工的信息安全意识水平,从而提高整个组织普遍的安全意识和人员安全防护能力。

1、通过通俗易懂的解释使员工了解信息安全的概念和内涵; 2、通过具体数据和例子,使员工了解目前国内外信息安全相关形势,以及信息安全对于企业的重要意义; 3、使员工了解需要关注的信息安全主题,以及应当注意的信息安全防护措施,提高全体员工的安全意识水平。

安全技术培训

面向组织内的安全运维人员,使运维人员了解常见的攻击手段和攻击方式,攻击造成危害和影响,以及如何有意识的对攻击进行防范,如何处理常规和紧急的信息安全事件,提高安全运维人员的技术能力。

1、了解主流攻击和防护手段; 2、了解常用安全评估和加固方法; 3、结合实际例子,进行操作演练。