信息系統(tǒng)安全集成服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求

Date02 8 月 2019

信息系統(tǒng)安全集成服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求針對(duì)集成準(zhǔn)備、方案設(shè)計(jì)、建設(shè)實(shí)施、安全保障四個(gè)
過(guò)程進(jìn)行，具體分級(jí)要求如下：
B3 信息系統(tǒng)安全集成服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求
組織申報(bào)一級(jí)資質(zhì)，除滿足二級(jí)要求外，還應(yīng)滿足以下要求：
B3.1 集成準(zhǔn)備階段
B3.1.1 需求調(diào)研與分析
協(xié)助客戶有效識(shí)別系統(tǒng)建設(shè)過(guò)程中的政策、法律和約束條件，有效規(guī)避商業(yè)風(fēng)險(xiǎn)和泄密事件。
B3.2 方案設(shè)計(jì)階段
a) 結(jié)合項(xiàng)目需要，編制安全集成項(xiàng)目施工手冊(cè)和作業(yè)指導(dǎo)書(shū)。
b) 對(duì)于新建系統(tǒng)，建設(shè)實(shí)施過(guò)程應(yīng)重點(diǎn)關(guān)注信息系統(tǒng)的功能、性能和安全性等方面要求。對(duì)
于系統(tǒng)改造，還應(yīng)考慮改造前技術(shù)測(cè)試驗(yàn)證及在實(shí)施失敗后的回退措施。技術(shù)測(cè)試驗(yàn)證需
要考慮新舊系統(tǒng)的兼容問(wèn)題，包括網(wǎng)絡(luò)兼容、系統(tǒng)兼容、應(yīng)用兼容等。
c) 基于安全集成項(xiàng)目需求和進(jìn)度計(jì)劃，編制信息安全產(chǎn)品和工具定制開(kāi)發(fā)計(jì)劃。
B3.3 建設(shè)實(shí)施階段
B3.3.1 實(shí)施集成
a) 建立項(xiàng)目變更管理程序，對(duì)項(xiàng)目實(shí)施過(guò)程中方案、資源變更進(jìn)行有效控制，完整記錄變更
過(guò)程。
b) 制定項(xiàng)目應(yīng)急處置方案和恢復(fù)策略，對(duì)項(xiàng)目過(guò)程中的應(yīng)急事件及時(shí)進(jìn)行響應(yīng)。
B3.3.2 監(jiān)督管理
定期對(duì)項(xiàng)目實(shí)施情況進(jìn)行評(píng)審，采取適當(dāng)措施，控制項(xiàng)目風(fēng)險(xiǎn)。
B3.4 安全保障階段
B3.4.1 系統(tǒng)測(cè)試
基于建設(shè)系統(tǒng)的安全要求，制定系統(tǒng)安全性測(cè)試方案，模擬攻擊場(chǎng)景，對(duì)系統(tǒng)安全性進(jìn)行測(cè)試。
B3.4.2 系統(tǒng)試運(yùn)行
a) 制定系統(tǒng)試運(yùn)行計(jì)劃，建立應(yīng)急響應(yīng)服務(wù)保障團(tuán)隊(duì)，及時(shí)應(yīng)對(duì)突發(fā)事件。
b) 綜合分析系統(tǒng)運(yùn)行狀態(tài)，建立系統(tǒng)運(yùn)行策略和安全指南，并對(duì)相關(guān)產(chǎn)品和設(shè)備設(shè)施進(jìn)行配
置管理。
c) 提供三個(gè)月以上的試運(yùn)行記錄和報(bào)告。
B3.4.3 運(yùn)行維護(hù)
建立維保流程，制定維保方案，并按方案實(shí)施維保。