IT服務商根據公司發展需求可申請辦理ISO27001信息安全辦理體系認證證書。

1、服務商挑選

活動方針：確定符合國家規定或行業規定的設計、測評、建設資質的服務商，為后續的辦理和監控奠定根底。

參與角色：運營、運用單位.網絡安全服務機構。

活動輸入：安全詳細設計計劃,實施計劃等。

活動描述：

本活動主要包括以下子活動內容：

a) 服務能力剖析

從影響系統、事務安全性等要害要素層面剖析服務商服務能力,根據國家招投標相關要求,挑選最佳服務商,這些要素或許包括服務商的基本情況、企業資質和人員資質、信譽、技術力量和行業經驗、內部控制和辦理能力、持續經營狀況、服務水平及人員配備情況等。

b)網絡安全風險剖析

在挑選服務商時,需求識別服務商的網絡安全風險,防止高風險、不合格服務商承當安全運行維護項目,網絡安全風險點包括但不限于以下幾點：

——服務商或許的泄密行為。

——服務商服務能力及行業經驗。

——物理訪問、信息資料丟失、系統越權訪問、誤操作等。

——服務商企業資質、人員資質及網絡安全口碑、業績。

——服務商以往服務項目案例。

c) 服務內容互斥剖析

在挑選服務商時,需求識別服務商供給的服務與之前或后續供給的服務之間沒有互斥性。承當等級保護方針安全建設服務的機構應具備等級保護安全建設服務機構資質。承當等級測評服務的機構具備等級測評機構資質。

活動輸出：已挑選的服務商,安全服務計劃。

2、服務商辦理

活動方針：對服務商從多維度進行切實有效辦理,使得服務商在約定范圍內展開服務作業。

參與角色：運營、運用單位,網絡安全服務機構。

活動輸入：已挑選的服務商，安全服務計劃。

活動描述：

本活動主要包括以下子活動內容：

a) 人員辦理

為保證服務商服務作業符合約定要求,運用單位對服務人員的辦理措施應至少包括但不限于：

——運用單位需制定服務商人員辦理規定,包含但不限于上崗資質審核機制、保密協議、品行辦理、服務技能查核、行為辦理、系統權限辦理、口令辦理等。

——運用單位負責對服務商核心人員的確定和變更進行備案。

——服務商人員在為運用單位供給服務的過程中,嚴格遵守運用單位的各項規定、辦理要求,服從運用單位安排。

——如因服務商人員原因,給運用單位或第三方造成人員人身傷害或財產丟失的,服務商應承當補償責任。

——運用單位督促服務商對服務人員展開培訓及安全教育作業。

b)服務辦理

為保證服務商服務作業符合約定要求,服務商應滿足但不限于：

——服務商供給完全出場相關資料(如企業資質、人員資質、人員名單、物資資料等),并接受運用單位的審核。

——服務商基本信息產生變更,如：法人、單位名稱、銀行賬戶等,應提前通知運用單位。

——按照約定要求服務商供給各項服務,保質保量完成服務方針;如因服務商未完成服務方針給運用單位造成丟失的,應予補償。

——服務商保證所供給服務不存在任何侵犯第三方著作權、商標權、專利權等合法權益的情形;服務商保護好對服務過程中產生的研究成果及知識產權,未經運用單位答應,服務商不得以任何方法向任何第三方轉讓權利義務。

——服務商供給項目驗收和查核的相關材料.配合運用單位組織展開項目結題驗收和查核作業。

——運用單位根據約定的售后服務內容及規范，實時跟蹤服務商售后服務查核情況,作為后續服務商挑選參閱。

活動輸出：服務商服務辦理報告。

3、服務商監控

活動方針：通過對服務商及其人員在服務過程中的行為進行有效監控,若發現不合規行為,限時保質整改,保證服務商服務作業持續、規范、高效。

參與角色：運營、運用單位,網絡安全服務機構。

活動輸入：服務商日常服務記錄,安全服務計劃。

活動描述：

本活動主要包括以下子活動內容：

a) 運用單位負責組織制定服務評審規范及辦法,并依據辦法對服務質量進行評審;服務商應接受運用單位對其供給服務情況進行的監督和查看,并應及時按照運用單位要求對所供給的服務進行改進或調整,使服務質量符合運用單位要求。

b) 運用單位對服務商日常作業進行指導，當發現服務商作業中存在問題時，要求服務商及時糾正,因服務商原因(故意或過失)給運用單位造成丟失的，服務商應承當全部補償責任。

c) 運用單位監管項目進展情況期間,對于嚴重情況服務商應及時主動報告。

d) 運用單位負 責對服務商人員定期進行查核評價,查核方法可采用日常查核、季度查核和年度查核，也可采用適合運用單位的查核方法;如產生嚴重違反協作原則、傷害運用單位利益、影響服務質量等行為.運用單位有權隨時向服務商提出人員撤換要求。

e) 服務過程中,服務商如因正當理由需求調整、變更人員的,應提前通知運用單位,做好作業交接,并獲得運用單位同意后方可進行。