信息安全服务管理制度(通用8篇)
1.信息安全服务管理制度 篇一
丹徒区食品药品监督管理局
餐饮服务食品安全监管信息管理和通报制度
第一条 为建立健全餐饮服务食品安全长效监管体系,增加餐饮经营的透明度,提高消费者的防范意识和自我防范能力,探索餐饮服务食品安全监管新模式,根据卫生部《食品安全信息公布管理办法》的要求,结合本区实际,制定本制度。
第二条 餐饮服务食品安全监管信息是指餐饮安全监管部门在执法检查、日常监督检查、餐饮服务许可现场核查及案件查处中生成的信息以及食品安全监管部门的基础信息、监管信息、行业信息、新闻媒体舆论监督、被证实的消费者投诉等。主要包括:
(一)餐饮服务食品安全总体趋势信息
(二)餐饮服务食品安全监测评估信息
(三)餐饮服务食品安全监督检查(含抽检)信息
(四)餐饮服务食品安全事件信息。包括食物中毒、突发食品污染事 件及人畜共患等涉及食品安全的信息;
(五)餐饮服务食品安全的监管大案要案、查处案件、执法情况及食 品安全工作动态信息;
(六)餐饮服务单位违反食品安全管理制度的不良信息(也可以包括餐饮服务单位遵守食品安全管理制度的良好信息)。
第三条 餐饮服务食品安全监管信息,应根据情况的不同,在新闻媒体、餐饮服务单位集中区域或路段、大型餐饮单位等适时予以公布、曝光,以警示、告诫餐饮服务单位,及时揭示潜在风险,增强消费者的防范意识和经营者的诚信自律意识。
第四条 餐饮服务食品安全监管信息的通报应遵循以下原则:
(一)经授权本局可代表县区政府或市局发布本区餐饮单位食品安监管信息;
(二)本局原则只负责发布本区餐饮服务单位的食品安全监管信息,应在发布该信息前三天,将信息内容向区政府及市局通报(特殊情况应及时通报);
(三)涉及部门交叉监管的环节,在同一时间、对同一食品,监督结果不一致的发布内容,应报送区政府县食品安全委员会统一协调。
第五条 根据具体情况,经区政府或区食品安全委员会批准,本局和相关部门可采取联合发布或独立发布的方式。
第六条 餐饮保化科作为局食品安全信息管理机构,负责收集、汇总食品安全信息,报局领导同意后报送相关单位,局各科室应当将本部门涉及的餐饮服务食品安全监管信息及时报送餐饮保化科。
第七条 局餐饮保化科负责代表本局会同食品安全委员会成员单位建立食品安全监管信息协调机制。并确定1名信息联络员负责食品安全信息联络报送工作。第八条 局餐饮保化科应当定期向相关单位报送本制度第二条涉及的食品安全信息,内容经单位领导审核后加盖公章,报送食品安全委员会办公室。
第九条 要加强与相关部门的信息交换,积极拓展获得信息的渠道,及时整合通过申述举报、执法检查、样品抽检、案件查处等途径获得的信息以及消费者协会、各行业协会提供的关于食品质量的信息,并及时进行分析、评估,利用各种渠道向社会公布,进行消费警示,提供消费指导。
2.信息安全服务管理制度 篇二
牢固可靠的技术安全架构
一、打造牢固的基础设施运行基础, 建立全方位监控体系。我行历来重视信息系统基础设施建设, 多年来投入大量人力、物力, 致力于改造基础设施, 建立生产安全的第一道屏障。先后完成省行中心机房异电站双路供电工程、UPS改造和更新、机房配电设施整合和更新、机房空调整改、核心设备双电源改造、生产设备整合与优化、生产设备区与操作区物理分隔等多项工程的建设。投产机房环境综合监控系统、UPS远程集中监控系统, 实现中心机房分区管理、联网监测、分级预警、实时处理的动态管理。
二、稳定可靠的网络架构和自动监控管理。我行全网分三层管理, 核心网络架构完全按照总行高可用性标准建设, 一、二级骨干网络传输线路使用不同运营商线路构成负载均衡热备份双线路结构, 在省行和分行中心机房均实施了电信运营商本地接入端双物理路由传输保护和自动切换改造, 核心网络设备实施双机热备份结构。同时, 统一部署集中网管系统, 对全行网络系统实施7×24小时自动监控, 统一视图、定制灵活、集中监控、两级联动, 及时诊断处理各种网络事件。整个网络结构安全、智能、可靠, 核心网络分区管理、控制严格、监控到位、持续优化。
此外, 我行充分利用网络平台积极推动行内视频会议、电话会议、内部IP电话等实施增值业务, 有效地降低了办公管理成本, 提高了工作效率。
三、核心平台“硬”处理稳定可靠, “软”管理灵活高效。大机集中后, 我行快速完成了开放平台技术队伍培养和技术平台的搭建, 实现安全技术与应用系统的有机结合, 组织完成系统投产的前、中、后三个阶段的全过程规范管理, 推动系统分级管理, 在前瞻性规划的基础上持续优化完善, 做到管理与技术并重, 有力地保障了信息系统的稳定运行。
省行数据处理中心核心机器设备采用业界顶级设备, 各类高中端服务器近百台, 多套集中存储设备以及光纤交换机实现高速的数据交换。建立集中存储系统、集中备份系统、近线存储系统的信息数据管理体系, 通过在线归档、磁带和光盘等介质设备, 有效完成了历史数据分级转存管理, 实现信息应用数据的集约化管理和集中保护。建立规范的实时监控、定期性能分析和按需优化整合的技术平台管理体系, 通过总行ECC集中监控和我行自行开发的特色监控系统实现了所有核心生产服务器系统、数据库、中间件、应用运行状态的实时监控并定期收集性能数据, 分析评估预测系统性能和容量, 持续优化信息系统服务能力。
类别丰富的应用产品体系
一、联机处理类。工商银行业务处理架构分为总行数据中心、省分行、二级分行和网点。信息系统主机在总行数据中心, 负责核心银行业务处理系统、中间业务系统、网上银行与电话银行业务系统、内部管理系统等全国数据集中处理;省级分行特色业务系统、ATM与POS等自助业务系统、特色统计分析系统实现省级分行集中处理;地市级分行只有外围前置系统, 提供业务交易渠道, 不进行数据处理。
二、后台处理类。总行数据中心进行通用文件传输、数据交换、代理业务, 省行进行报表接收、拆分、返传, 二级分行和网点执行报表打印、事后监督和历史明细查询等数据处理。
三、中间业务处理系统。我行紧密围绕全行业务经营和管理改革的需要, 加大各类特色应用的建设力度, 优化应用研发体系, 目前我行中间业务应用达到48个大类, 包括代理行政事业收费及非税业务, 跨行金融平台系统, 交通卡充值, 代收电话、移动、电费等各类特色业务, 拓宽了产品渠道建设, 增加了中间业务收入。
四、电子银行系统。电子银行体系是现代商业银行最具竞争力的服务渠道, 其发展状况反映一个银行电子化、信息化水平。网上银行、电话银行、手机银行与自助设备一起构成我行完整的电子银行体系。其中自助设备数量已接近柜台数量的80%, 自助设备功能已覆盖了大部分的柜台交易, 日交易量超过150万笔, 电子银行渠道交易占比不断提高, 目前占总交易量接近50%, 分流柜台业务和节约一线人力成本作用显著。
五、经营管理系统。近年来, 我行在抓紧一线产品创新促进业务发展的同时, 近年来围绕全行经营方针和内部改革管理的发展, 不断研发并投产各类办公自动化系统、管理信息系统、经营分析系统等内部经营管理系统, 为行内管理决策、统计分析、数据挖掘、客户营销、监督跟踪提供系统支撑工具。
规范高效的科技管理体系
一、科学严谨的管理体系。 (一) 长期坚持安全生产管理领导小组及每天、周、月例会制度, 及时沟通情况, 定期总结、协调管理问题, 实现生产运行与安全管理的有机统一, 不断完善安全生产管理流程。 (二) 定期召开技术审查工作小组及其审查会议, 加强对项目开发的业务可行性分析、成本及效益分析, 以及产品市场风险分析。通过需求研讨推动业务分析与市场开展, 通过项目管理达到产品质量与效率要求, 通过产品投产与应用推广实现科技创新能力转化为核心竞争力的目标, 推进产品创新与应用研发的相互结合。
二、精细有序的生产管理。我行坚持抓好日常生产运行管理, 提高应急处理和风险防控能力。 (一) 实施生产变更计划风险提示机制。统筹安排生产变更, 定期集中发布预警提示, 减少对业务影响程度。 (二) 实施变更评审机制。对重大、高风险变更实施方案重点评审, 协调沟通, 多重把关, 防范因变更原因引起生产故障事件。 (三) 实行变更差异分析总结。定期总结变更实施情况, 提高变更计划总体准确性。 (四) 加强对重大、多发生产事件、问题处理过程的跟踪, 强化问题根源分析, 提高事件、问题处理的质量和效率。 (五) 坚持重点工作督办机制。按照月度分行重点工作任务和内部重点工作, 落实责任部门任务分解, 每周进度督办与跟踪、报告, 确保按时保质完成重点工作。 (六) 完善应急管理机制。按照信息系统及业务发展状况, 每年制订并实施涵盖机房基础设施、系统、网络、核心应用等重要信息系统的应急演练, 分析存在问题, 总结经验, 完善资料库、应急预案和应急手册, 不断提高信息系统的应急处理能力。 (七) 开展客户满意度调查。定期组织业务部门和分行对信息系统运行情况及科技服务工作进行调查, 落实优化措施, 改进科技服务工作。
三、先进科学的管理制度和支持平台。基于ITIL的最佳实践理念, 建立全行信息科技管理架构, 以科技管理架构建立全面的管理制度, 包括运行管理类、项目管理类、综合管理类共126个制度, 以制度为基础每年组织修订本地化的工作手册和操作手册。同时, 建立并持续完善配套的技术平台, 如ServiceDesk系统、工作平台等, 实现生产集约化、标准化、规范化、流程化和信息化管理, 为技术支持与服务管理、设备维修与维护管理、产品功能与业务咨询、问题跟踪处理与知识库共享提供高效优质的一体化科技服务平台。
3.聚焦IT服务外包的信息安全管控 篇三
IT服务外包井喷式发展
在强调企业核心竞争力的今天,越来越多的公司将IT服务外包作为企业长期战略成本管理的新兴工具。服务外包的实质是企业和服务商之间的“委托—代理”关系。企业需要对自己重新进行定位,截取价值链中较短的部分,缩小经营范围,在此基础上重新配置企业的各种资源,将资源集中到最能反映企业优势的领域,从而更好地构筑竞争优势,以此获得可持续发展的能力。
随着企业业务发展过程中信息系统所涉及的内容越来越多、结构越来越庞大,企业信息化再也不仅仅是IT部门自己的事情。企业市场竞争压力越来越大,在信息化建设和管理期间迎来了严峻的考验。一方面是IT部门人员少、系统多、任务重,另一方面是公司要求IT部门削减成本、并消除由于缺乏内部控制和运作准则导致的混乱状态,以更高效地服务业务部门。
在多重压力之下,许多企业认为IT部门最重要的工作是确保信息和流程的顺畅,而服务器、存储系统、网络或者交换机等设备并不是最重要。因此,许多企业倾向于将某些应用系统、基础设施和部分非核心系统外包给服务商负责维护。
IT服务外包的风险
企业借外部力量提供专业化服务、将部分非核心业务进行离岸资源外包的过程中,面临着管控、运营等一系列风险,其中最重要的是信息安全风险的威胁。
从表面上看,采用IT外包策略不但可以节约成本,还能提高效率。但事实上,许多企业对IT外包都有许多道不尽的爱恨情仇。外包是一柄双刃剑,其好处是可以向企业灌输技术与人才,帮助企业摆脱繁琐的IT业务——有效的外包能让公司更好的专注于核心业务。
但是进行IT外包并不是一件轻松的事情,如果处理不好,不仅不会带来预期的效益,反而会变成一场噩梦和致命的灾难。所以对于企业IT主管部门而言,必须具有很强的经验和管理技能,才能谈“外包” 二字。
IT外包服务要成为一种商品,就必须形成一套规范和标准,以约束买卖双方。但目前国内IT外包服务领域既无统一规范也无公认标准。概念模糊的用户,面对同样概念模糊的IT厂商,如何评估、签合同、质量控制和定价等都是潜在的“风险”。
此外,IT外包还面临着 IT管理的复杂性、软件缺失、知识产权以及IT外包服务提供商自身能否健康成长等风险。因此企业需要在风险、成本与效果、效率之间找到平衡点。
同时,由于委托方和代理方之间可能存在信息不对称和信息扭曲等问题,加之市场及宏观环境的不确定性,导致委托方在实施外包过程中承担着种种风险。
外包服务关键词:信息安全
企业在IT服务外包过程中面临的最大挑战,就是如何确保企业信息和数据的安全,如何建立起有效的信息安全管控框架,以符合企业信息安全要求。
首先,确认企业内部信息安全管控过程是否可持续监管和优化。在信息防泄漏的“战争”中,相比于躲在暗处的泄密者和安全威胁,站在明处的企业显然略失先机。但如果企业能够做到预先防御,在对手出招之前采取针对性的保护措施,就能从根本上“转被动为主动”,做好内部数据安全防护。
因此,良好的信息防泄体系的前提就是要时刻掌握企业动态,做到要有的放矢。很重要的一点是要实现内部操作的“可视化”,以随时监测整个信息系统的安全状况,做到迅速反应,甚至还能预测到潜在的风险,化被动防御为积极防御。
其次,企业信息安全体系设计需进行全局评估和建设,规避疏漏和风险。安全领域中的木桶理论和马其顿防线的故事相信大家都了解——无论怎么豪华的防线,一个漏洞就可以毁灭所有一切。在企业中,有时候可能是一个小小的系统漏洞就可能毁灭了几百万投资的努力,或者一个无意的非法补丁行为就让企业蒙受损失。
因此,在解决安全问题之时,不能仅仅依赖透明加密等技术手段,“头痛医头,脚痛医脚”地堆砌不同安全产品及封堵安全漏洞,而是需要站在一个更高的战略角度来通盘考虑。如果缺乏整体的分析视角,企业可能会忽视或者低估某个安全攻击的真正威胁,采取的安全措施也可能无法解决真正的问题。
所以,在实际的防泄漏建设中,必须从整体上来评估企业的信息安全状况,运用统一平台来进行风险和安全管理,检测出内部问题,从而描绘出整个企业当前安全情况的更清晰和更准确的图景,采取针对性的防护措施,最大限度降低企业的安全风险。
另外,要有安全和防护等级措施。企业在构建立体化、全方位的整体信息防泄体系时并不是一刀切,不分轻重地在全公司范围内采取相同的策略,这样虽然看似达到了最为安全的效果,但对业务造成的巨大影响,以及因此产生的高额成本,对企业来说,都是巨大的负担。
对信息安全来说,威胁和风险往往和高价值的信息资产联系在一起,安全保护工作也就应该轻重有别,将重点放在高价值的信息资产上。在安全建设过程中,对涉密程度高的部门或岗位进行力度大的防御,对涉密程度低的部门采取相应的安全防御。同时衡量提升安全性可能带来的业务操作上的麻烦、企业安全成本等问题,是企业必须要做的事情。
在企业实施安全防护等级风险评估过程中,往往需要结合企业的实际情况,对三种技术手段整合运用:首先,在全公司范围内进行安全审计,掌握企业操作,发现安全隐患;其次,对特殊岗位和部门,进行严格管控,限制信息的带出;最后,在核心部门内部,对机密信息进行透明加密。这样既可保证公司的正常业务运作,又能有的放矢地实现最优化的信息防泄漏管理,还大大节约了投资成本。
此外,利用科学可行的安全策略和必要的技术手段实现动态性防护。动态性的信息泄露防护,对于目前泄密方式日益增多的企业来说,非常重要。某些企业往往在安全事件发生之后才对现在的策略进行被动的调整。这种“吃一堑、长一智”的防护模式,对于企业而言,有可能是致命的。一旦出了安全事故,恐怕亡羊补牢,为时已晚。
企业需要建立一个动态性的安全防护,前瞻性地发现安全威胁,并通过对技术或管理上的策略进行及时调整更新,防范潜在的安全风险。
最后要强调的是,信息安全体系必须便于使用和维护。如今,市场上五花八门的信息防泄漏产品让企业眼花缭乱,企业期望这种“强强组合”能给企业套上万无一失的金钟罩。殊不知这种做法往往意味着企业必须付出较高的成本,并增加了技术的复杂性,还容易导致产品软件冲突等问题,企业虽然“装”了安全产品,但根本“用”不了。
目前,能够提供整体解决方案的单一安全产品可谓不错的选择,它能够帮助企业建立统一的安全管理平台,无论企业安全边界防护、还是内部使用,都做了整体全面的考虑,同时简化了日常的操作与管理、降低了系统的资源占用、避免了软件冲突等多种问题,使用维护亦非常方便,大大节约了IT人员的时间和精力。
综上所述,如企业信息防泄漏建设符合以上检测标准,说明该企业已经建立了一个完善的整体信息防泄漏体系,机密信息也得到了最大化的保护,实现了“成本、效率、安全”三者的最佳平衡,这也是近年来被大家认可的“整体信息防泄漏”理念的核心。
实际上,信息防泄本身就是一种博弈,是企业和人的博弈。它是一场思维的交锋,企业只有掌握了内部的行为操作,同时针对内部安全威胁建立全面、立体化的安全防护,信息防泄才会立于不败之地。
天玑外包信息安全管控体系
天玑科技提供的IT外包(IT Outsourcing)服务,即“承接企业IT系统维护与管理,按双方服务协议内容完成相关服务”的业务模式。
随着客户对信息安全管理的要求越来越高,天玑科技把IT外包的信息安全管理放在首位,积极贯彻基于风险的管理方法,针对IT服务外包中的安全管理进行了系统思考和有益的尝试。
外包基础和简单重复的服务:考虑到信息安全管理问题,天玑科技初期外包服务范围主要以基础服务外包为主,即将IT系统日常的硬件与软件维护、Helpdesk呼叫中心、信息系统的编码等活动外包,而对于IT系统的规划与管理、核心应用系统(如ERP、CRM)的设计与维护仍然由企业IT部门承担。这样避免了IT服务人员接触组织的核心系统信息,降低了IT服务外包对IT系统敏感部分带来的安全风险。
具备信息安全管理资质:由于IT外包服务过程中,IT服务人员必然会接触到企业的系统设备甚至是内容,如何成为一家可靠安全的IT服务外包供应商也是在进行IT服务外包前必须考虑的重要方面。天玑科技是一家已经建立起完善的信息安全管理体系,并通过了BSI安全认证审核的IT服务外包供应商,专门从事IT服务外,拥有很多有影响的大客户。天玑科技会根据服务内容签订责任明确的服务合同,在服务合同中详细阐明双方在服务提供过程中对信息安全的责任十分关键。
强化日常服务的安全管理:信息安全管理的要求应该体现在IT服务日常管理的各个方面,主要包括:日常活动规范的建立;服务变更控制;服务人员管理;安全事件处理;业务持续管理;知识产权保护和监控与审核等内容。
日常活动规范的建立:针对服务协议中明确的服务内容,建立规范的服务流程是开展IT服务活动的基础。企业信息化主管部门根据双方签订的服务协议,与供应商IT服务主管人员一起建立一套完整的服务规范。服务规范中对服务过程中的安全风险均采取了适当的控制措施,确保了服务活动满足企业信息安全管理策略的要求。
服务变更控制:天玑科技遵从在调整其服务流程和变更服务技术前必须事前进行沟通,在企业评估变更的影响并确认采取了响应控制措施后才能进行服务过程的变更。
服务人员管理:服务人员是IT服务活动的直接执行者。为确保服务人员能够满足要求,天玑科技明确规定了IT服务人员的能力要求和标准,确保只有技术能力强、认真负责的服务人员才能进入服务项目组。同时,对服务人员筛选、培训和变动也提出了具体要求。
安全事件管理:发生安全事件后,双方人员的协调和互动将直接影响对事件处理的结果。在服务过程中发生和发现的信息安全事件必须第一时间上报企业主管部门,在企业主管部门的组织下完成对安全事件的处理。
业务持续管理:由于企业将核心网络和系统硬件均托管给了IT服务供应商进行日常维护。IT服务供应商是否具备满足组织业务需求的业务持续管理能力,成为保证企业信息系统业务持续的关键。在企业整个业务持续管理的框架下,对IT服务供应商的业务持续管理能力提出了明确的要求,在服务协议中进行了明确的定义。同时,针对具体服务系统双方共同制定了相应的灾难恢复计划。
知识产权保护:桌面服务中如何保护组织以及相关方的知识智力产权,是需要在进行IT服务外包过程中管理和控制的重要内容。天玑科技在软件安装和服务过程中工具的使用过程都明确规定了对软件许可证的跟踪与管理要求,确保服务活动满足对知识产权保护的要求。
监控与审核:为确保IT服务供应商能够履行相关责任,企业需以双方签订的服务协议为依据,服务方接受服务活动的监控与审核方法,包括工程师现场服务行为、人员与事件管理等各个环节。通过日常监控检查发现存在的问题并及时解决。同时,建立了与服务供应商每周例会制度,及时沟通和解决服务过程中双方发现的问题。
4.信息安全服务资质一级申请指南 篇四
信息安全服务资质申请指南
(安全工程类一级)
©版权2008—中国信息安全测评中心
2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
目录
一、认定依据................................................................................................................................4
二、级别划分................................................................................................................................4三、一级资质要求........................................................................................................................4
3.1 基本资格要求...................................................................................................................5 3.2 基本能力要求...................................................................................................................5
3.2.1 组织与管理要求.....................................................................................................5 3.2.2 技术能力要求.........................................................................................................5 3.2.3 人员构成与素质要求.............................................................................................6 3.2.4 设备、设施与环境要求.........................................................................................6 3.2.5 规模与资产要求.....................................................................................................6 3.2.6 业绩要求.................................................................................................................6 3.3 安全工程过程能力要求...................................................................................................7 3.4 项目和组织过程能力要求...............................................................................................7
四、资质认定................................................................................................................................8
4.1认定流程图........................................................................................................................8 4.2申请阶段.............................................................................................................................9 4.3资格审查阶段.....................................................................................................................9 4.4能力测评阶段.....................................................................................................................9
4.4.1静态评估..................................................................................................................9 4.4.2现场审核................................................................................................................10 4.4.3综合评定................................................................................................................10 4.4.4资质审定................................................................................................................10 4.5证书发放阶段...................................................................................................................10
五、监督、维持和升级..............................................................................................................11
六、处置......................................................................................................................................11
七、争议、投诉与申诉..............................................................................................................11
八、获证组织档案......................................................................................................................12
九、费用及周期..........................................................................................................................12
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
引言
中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的主要职能是:
1.为信息技术安全性提供测评服务; 2.信息安全漏洞分析; 3.信息安全风险评估;
4.信息技术产品、信息系统和工程安全测试与评估; 5.信息安全服务和信息安全人员资质测评; 6.信息安全技术咨询、工程监理与开发服务。
“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。
本指南适用于所有向CNITSEC提出信息安全工程服务一级资质申请的境内外组织。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
一、认定依据
信息安全工程服务资质认定是对信息安全工程服务提供者的资格状况、技术实力和安全工程实施过程质量保证能力等方面的具体衡量和评价。
信息安全工程服务资质级别的评定,是依据《信息安全服务资质评估准则》和不同级别的信息安全工程服务资质具体要求,在对申请组织的基本资格、技术实力、信息安全工程服务能力以及安全工程项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。
二、级别划分
信息安全工程服务资质认定是对信息安全工程服务提供者的综合实力的客观评价和确认,信息安全工程服务资质级别反映了信息安全工程服务提供者从事信息安全工程服务保障能力的成熟程度。资质级别划分的主要依据包括:基本资格与基本能力要求、安全工程过程能力要求、项目与组织管理能力要求和其他补充要求等。
信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。
一级:基本执行级 二级:计划跟踪级 三级:充分定义级 四级:量化控制级 五级:持续改进级三、一级资质要求
申请信息安全工程服务一级资质的组织需要在基本资格和基本能力、安全工程过程能力和项目与组织过程能力等几个方面符合《信息安全工程服务一级资质具体要求》的规定。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
3.1 基本资格要求
申请信息安全工程服务资质的组织必须是一个独立的实体,具有工商行政管理部门颁发的营业执照,并遵守国家现行法律法规。
3.2 基本能力要求 3.2.1 组织与管理要求
1.必须拥有健全的组织和管理体系,为持续的信息安全工程服务提供保障;
2.必须具有专业从事信息安全工程服务的队伍和相应的质量保证; 3.与安全工程服务相关的所有成员要签订保密合同,并遵守有关法律法规。
3.2.2 技术能力要求
1.了解信息系统技术的最新动向,有能力掌握信息系统的最新技术; 2.具有不断的技术更新能力;
3.具有对信息系统面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力;
4.能根据对用户信息系统风险的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度;
5.具有对发生的突发性安全事件进行分析和解决的能力;
6.具有对市场上的信息系统产品进行功能分析,提出安全策略和安全解决方案及安全产品的系统集成能力;
7.具有根据服务业务的需求开发信息系统应用、产品或支持性工具的能力;
8.具有对集成的信息系统进行检测和验证的能力; 9.有能力对信息系统系统进行有效的维护;
10.有跟踪、了解、掌握、应用国际、国家和行业标准的能力。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
3.2.3 人员构成与素质要求
1.具有充足的人力资源和合理的人员结构;
2.所有与信息安全服务有关的管理和销售人员应具有基本的信息安全知识;
3.有相对稳定的从事信息安全服务的技术队伍;
4.技术骨干人员应系统地掌握信息系统安全基础理论和核心技术,并有足够的专业工作经验;
5.必须有2名以上(含2名)专职的注册信息安全专业人员(CISP)。
3.2.4 设备、设施与环境要求
1.具有固定的工作场所和良好的工作环境; 2.具有先进的开发、测试或模拟环境; 3.具有先进的开发、生产和测试设备;
4.具有实施相关服务必需的开发、生产和测试工具。
3.2.5 规模与资产要求
1.有足够的注册资金和充足的流动资金;
2.具有与所申请安全服务业务范围、承担的安全工程规模相适应的服务体系;
3.有足够的人员从事直接与信息安全服务相关的活动。
3.2.6 业绩要求
1.从事信息安全服务1年以上; 2.至少承接过2个以上的安全工程项目;
3.近3年完成的信息安全服务的项目总值应在100万以上;
4.近3年内在信息安全工程服务方面,没有出现验收未通过的项目。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
3.3 安全工程过程能力要求
安全工程过程能力是评价信息安全工程服务专业水平高低的标志。申请组织应能实施以下11个安全工程过程域: 1.评估系统面临的安全威胁; 2.评估系统的脆弱性; 3.评估安全对系统的影响; 4.评估系统的安全风险; 5.确定系统的安全需求; 6.为系统提供必要的安全输入; 7.管理系统的安全控制; 8.监测系统的安全状况; 9.安全协调;
10.检验并证实系统的安全性; 11.建立并提供安全性保证论据。
3.4 项目和组织过程能力要求
项目和组织过程能力是评价信息安全工程服务规范性和质量保证成熟度标志。
申请组织应能实施以下8个项目和组织过程域: 1.质量保证; 2.管理配置; 3.管理项目风险; 4.监控技术活动; 5.规划技术活动; 6.管理系统工程支持环境; 7.提供不断发展的技能和知识; 8.与供应商协调。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
四、资质认定
4.1认定流程图
申请委托人申请不受理形式化审查申请阶段资格审查阶段受理决定受理静态评估现场审核限期整改综合评定不通过综合评定通过资质审定不通过发证决定抽样检查通过证书发放不予发证能力测评阶段证书发放阶段公告证后监督证后监督阶段
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
4.2申请阶段
申请组织应首先到CNITSEC网站(http://ITSEC,同时提交申请费。在向CNITSEC递交申请书前,须逐项检查所填报的材料的完整性和正确性。
4.3资格审查阶段
CNITSEC接到正式申请书及相关资料以及申请费后,根据所提交的资料进行资格审查,以确认申请单位是否满足资质的基本资格要求,提交资料是否完整。
资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容,CNITSEC将要求申请组织补充资料等。
当通过资格审查阶段后,CNITSEC将向申请组织发出受理通知书,正式受理该申请,并通知相关费用的缴纳事宜等。
4.4能力测评阶段
当申请组织通过资格审查并缴纳了相关费用后,资质申请进入能力测评阶段。
能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。
4.4.1静态评估
静态评估是对申请组织资料进行符合性审查,是对申请组织的信息安全工程服务能力做出基本判断,初步确定申请组织的信息安全工程服务能力水平状况,发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
为现场审核做准备。如果静态评估阶段发现有不符合要求的内容,CNITSEC将要求申请组织进一步补充资料,以便反映申请组织的客观情况。
4.4.2现场审核
现场审核是对申请组织从事信息安全工程服务的综合能力(包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面)进行核实和确认。
通过静态评估后,CNITSEC将与申请组织沟通现场审核事宜,安排审核组进行现场审核。
现场审核若发现需整改的不符合项,审核组将对申请组织提出限期整改的要求,并对整改效果进行验证。
4.4.3综合评定
在综合评定阶段,将依据静态评估和现场审核结果,对申请组织的基本资格、基本能力、信息安全工程服务能力以及资质所要求的其他内容进行综合评定,出具综合评定报告。
对评定结果不符合的,CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后,CNITSEC将对整改结果进行验证,整改仍不符合的,将不能通过能力测评。逾期未整改的,视作整改不符合。
4.4.4资质审定
根据综合评定的报告,CNITSEC技术委员会将组织技术专家对申请组织的信息安全工程服务资质进行审查,并最终做出是否通过的决定。
4.5证书发放阶段
资质审定通过后,CNITSEC将进行资质证书的制作、审批和发放,并在网站、报刊杂志等媒体上公布获证组织的相关信息。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
五、监督、维持和升级
获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全工程过程能力。CNITSEC将通过申诉系统、现场见证以及对信息安全服务项目进行抽样检查来验证每个获得资质组织的能力。
证书在三年有效期内实行年确认制度,每三年进行一次维持换证。获证后,每年在证书签发之日前30天内,获证组织要向CNITSEC提交调查表,并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的,将要求其限期整改,整改后仍不合格,CNITSEC将暂停或取消证书。
在证书有效期届满前90天内,由获证组织提出维持换证申请。根据申请组织的变化情况,CNITSEC将进行换证维持的资质审查或进一步要求进行现场审核,以确定获证组织符合信息安全工程服务能力一级资质要求的持续性。
若获证组织相关资料变动时,须及时通知CNITSEC,并申请更改。若获证组织实体发生变化,需要进行资质证书的转移,可到CNITSEC网站(http://ITSEC申请二级资质。
六、处置
获证组织存在违规行为时,CNITSEC有权视组织违规情节轻重予以以下处置:警告、限期整改、暂停证书、取消证书。
七、争议、投诉与申诉
对CNITSEC所作的评审、复查、处置等决定有异议时,可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查,CNITSEC在调查基础上做出结论。
发布日期:2008年8月1日
中国信息安全测评中心(CNITSEC)
信息安全服务资质申请指南(安全工程类一级)
获证组织应妥善处理因自身行为而发生的投诉,保留记录并采取措施防止问题的再发生。CNITSEC将在必要时查阅获证企业的申诉/投诉记录。
八、获证组织档案
CNITSEC将对每个获证组织建立专项档案,所有资料将保存10年以上,升级,确认或者复核换证时,只需补交所要求的相应材料,CNITSEC实行记录累加制度。
九、费用及周期
信息安全服务资质认定收费划分为如下四个部分:
(一)申请费:2000元
(二)测评费:3000元/人日
(三)审定与注册费(含证书费):3000元
(四)年金(含标志使用费):5000元/年
获得一级资质证书总体费用:
2000(申请费)+3000×3×2(三人二日测评费)+3000(审定与注册费)+5000(一年年金)=28000元。
申请组织还应承担因现场审核活动审核组成员所发生的交通和食宿费用。
从受理到颁发证书的周期为三个月,但由于申请方原因(如,资料补充需要的时间等)造成的时间不计算在内。
5.信息安全服务管理制度 篇五
关键词:网上银行;信息安全产品;服务质量;差距分析
中图分类号:F713.5 文献标识码:A 文章编号:1003-3890(2011)11-0039-04
一、引言
网上银行能够为用户带来许多快捷便利的服务,为银行节省巨大的成本费用和带来更多利润增长点,于是各大银行都积极拓展网上银行业务,工行、建行、农行、中行、招行已成为国内网上银行交易额排名居前的银行。为了消除客户对网银安全方面的担忧,网银都纷纷加大了技术力量的投入,推出了各种信息安全产品。易观国际发布的《中国网上银行用户研究报告2009》显示,工商银行的U盾、电子银行口令卡,用户覆盖率为53.3%,排名第一,建设银行的网银盾,用户覆盖率为39%,招商银行的免驱动“优key”,用户覆盖率为30.2%,农业银行的K宝,用户覆盖率为21.8%,中国银行的免费动态口令牌,用户覆盖率为14.1%,在保障网银客户信息、资金的安全方面取得了显著成效。
然而,我们对网上银行客户论坛数据的跟踪调查结果显示,客户在使用网银及其信息安全产品的过程中,仍然存在很多问题,这主要是因为网银提供的信息安全产品以及相关的服务与顾客所期望的服务存在一定的差距,即顾客感知的服务质量差距。本文试图从服务营销理论中的服务质量差距模型出发,分析出网上银行信息安全产品的服务质量差距的种种具体表现,识别出影响网银信息安全产品服务质量差距的主要因素,分析服务质量差距产生的主要原因,为研究服务质量差距弥合策略提供有价值的依据。
二、服务质量差距模型概述
服务质量差距分析模型是由美国的服务管理研究组合PZB(A.Parasuraman,Zeithaml,V.anLBerry)于1985年在长期实践基础上提出来的,如图1所示。
该模型将服务质量差距分为以下几个层次:
顾客期望与企业感知的差距,指企业没有能够准确地感知到顾客对服务的期望。企业感知与服务标准的差距,指企业没有能够准确地设计出服务标准。
服务标准与服务传递间的差距,指企业的服务传递没能达到其所制定的服务标准。服务传递与外部沟通间的差距,指企业提供的服务与对外沟通中所做的承诺不一致。顾客期望与顾客感知间的差距,指顾客所感知到的服务质量与其预期的不一致。
该模型认为:前面4个服务质量差距是供应商差距,属于企业内部行为,由于一个或多个
供应商差距的存在,导致了顾客感知的服务差距,虽然我们关注的核心是顾客差距,但是弥合顾客差距的关键在于弥合所有的供应商差距,并应使其处于持续弥合状态。服务质量差距模型层次清晰,简明易懂,是发现顾客与企业对服务质量的感知差距的一种直观而有效的工具,为企业诊断影响服务质量的因素提供了一条实用的路径问。
三、网上银行信息安全产品的服务质量差距分析
从服务质量差距分析模型出发,将面向顾客的外部沟通归纳到服务传递差距中,结合现今各大银行提供的网上银行信息安全产品及其相关服务,并根据对各大网银的网上论坛以及对传统网点顾客的问卷调查,我们可以清晰地分析出网上银行信息安全产品的服务质量差距的具体表现及其产生的原因,归纳出影响服务质量差距的各种主要因素,为网银制定信息安全产品的服务质量差距弥合策略提供依据。
(一)网银信息安全产品的顾客期望与银行感知的差距
当银行推出网上银行及其信息安全产品与相关服务的时候,由于互联网信息技术是一个全新的领域,银行常常会根据以往的经验来认知顾客的需求,而顾客则是通过售前宣传册、广告、对互联网服务的一些体验经历、相互交流等途径来期望这种全新产品及其相关服务,银行对顾客需求的认知和顾客的期望之间通常会产生一定的差距,这些具体表现如表1所示。
从表1我们可以看到,网上银行最为关注的是安全性,主观地认为只要安全性提高了,顾客就会满意,而顾客除了关注安全性外,还会更加关注价格、方便性、易用性以及出现问题后网银的解决速度,其对产品与服务的期望贯穿了购买、使用的全过程。由于我国银行业一直以来都是垄断行业,银行的服务意识一直比较薄弱,对顾客需求的挖掘不够重视;而且,网上银行是一个以互联网信息技术为基础的新生事物,近几年发展极为迅猛,网上银行和传统银行网点的管理层与员工对网银及其信息安全产品的认识也都极为有限,传统银行网点通常会认为其只需负责为顾客办理开通网上银行业务,销售网上银行信息安全产品,而与网银及其信息安全产品的相关服务都属于网上银行部门的责任范畴,这些都是导致银行认知与顾客期望之间产生差距的主要原因。
(二)网银对顾客期望的认知与服务设计的差距
一旦识别出顾客对网银信息安全产品及其服务的期望,网银管理者面临的下一个挑战就是如何准确地把对顾客期望的认知转化为具体的服务。网银管理者对顾客期望的认知和他们基于这些认知所设计的服务标准之间,通常也会产生一定的差距,具体表现如表2所示。
基于网银管理层对顾客期望的认知和服务设计之间所产生的差距,主要体现在没有考虑不同信息技术知识结构、不同收入层次的顾客对网银信息安全产品及其服务的需求,如大部分信息化程度较低的顾客仍然需要面对面的指导,对于收入较低的顾客,60元~100元的价格将是一个很高的门槛,因而产品的丰富多样性不够;再有,过分依赖网上的自助操作指南,与传统网点的沟通、协调、分工不够明确,对网点员工对网银的宣传、传播角色的服务设计不够;此外,没有把握好安全性与便捷性之间的平衡,过分强调了安全性,忽视了方便性、易用性、便捷性的服务设计,对新顾客的促销活动较多,而对老顾客的优惠活动的设计却很少,对特殊问题的服务模式设计不足。
(三)网银信息安全产品的服务设计与服务传递的差距
正确的服务设计和标准确立以后,网银还必须确保系统、流程、人员全部到位,才能保证服务传递与正确的服务设计和标准相匹配,否则就会导致网银员工的实际服务绩效与服务设计标准之间产生传递差距。网银信息安全产品的服务传递与服务设计之间的传递差距的具体表现如表3所示。
网银信息安全产品的服务传递差距主要表现在服务传递过程中面向顾客的外部沟通不足,没有充分利用传统网点及其网银体验中心进行顾客教育与培训。因为网上的自助服务指南只能满足信息化程
度较高的顾客,而对于大部分信息化程度较低的顾客还需要传统网点面对面的指导与培训,对网银信息安全产品这样一个全新的服务面向顾客的服务承诺也有欠缺,使得顾客不能完全放心地使用网银。其次,银行对传统网点员工信息化程度的提升、培训、约束和激励措施不足,传统网点员工的信息化程度普遍比较低,不能有效、及时地解答顾客在安装、使用、更新网银信息安全产品时所遇到的问题,对顾客的主动宣传力度也不够。另外,对老顾客的关注与优惠不足,U盾驱动程序版本过多,升级频率过高,安全控件安装和更新的提示页面会对顾客造成一定的心理负担,对特殊问题的解答不够及时等方面也存在一些服务传递差距。
(四)网银信息安全产品的顾客期望与顾客感知差距
享受任何产品及其服务的顾客都会自觉或不自觉地把自己所感知的服务质量与其所期望的服务质量进行对比,顾客所期望的服务和感知到的服务不一致时就会导致顾客感知的服务质量差距。网银对顾客期望的认知,信息安全产品设计的服务标准与实际传递的服务,最终都将导致顾客对网银信息安全产品服务的期望与其对服务的感知出现差距,具体表现如表4所示。在使用网银及其信息安全产品之前,顾客对网银信息安全产品的期望来自于网银的宣传册、广告以及各种传播途径,他们期望能享受免费的或低价的服务,除了安全性要有保障外,使用起来还应非常方便。在使用过网银及其信息安全产品之后,他们对于网银信息安全产品的期望更为深入和细化,对于网银信息安全产品及服务的期望集中在使用过程的各个环节,但仍然可以归结为使用的便捷性或在保证安全性上的便捷性。最后是对售后服务过程中疑难问题解答的及时性,希望有形展示以及面对面的指导,尽管网上有各个栏目、各种指南,顾客还是希望传统网点能够提供专业的、技术的、面对面的指导。
四、结束语
网上银行信息安全产品在保障网银用户信息和资金安全方面发挥着巨大的作用,由于网上银行及其信息安全产品的功能日趋完善,所以网上银行客户获取的竞争在很大程度上已经转化为网银及其信息安全产品的服务质量的竞争。通过将服务质量差距分析模型应用于网上银行信息安全产品及其服务质量差距识别中,我们从顾客期望与银行感知的差距,银行感知与服务标准设计的差距,服务设计与服务传递的差距,顾客感知与顾客期望的差距等几个方面,分析了导致网银信息安全产品服务质量差距的具体表现,识别出了影响网银信息安全产品服务质量差距的主要因素,如有网上银行部门与传统网点银行各部门之间的沟通协调不够,对传统网点员工信息化程度的培训与提升,服务绩效的考评与激励不够,没有能够设计出满足不同信息化水平、不同收入层次、不同个性的顾客需求的服务标准,没有充分利用传统网点与传统网点的网
6.信息安全服务管理制度 篇六
一、项目内容
XX银行股份有限公司成立于xxxx年,xxxx年末,资产规模达xxxx亿元。在北京、天津、沈阳、大连、哈尔滨等地区设立分行。目前,与70多个国家及地区500多个金融机构开展业务,代理行网络遍及世界各地。
作为重点金融机构,其信息系统承载了非常重要的患者数据。为保证本行信息系统安全、降低风险,提高管理能力,进一步加强内部网络的整体安全防护能力,全面提升我行信息系统整体安全防范能力。特对本行核心网络系统进行2015安全等级保护测评项目,本项目为预算为XX万。服务范围: 系统名称
级别
核心网络系统
第三级
二、服务年限
投标人中标,签订合同之日起一年
三、要求条款 要求项目
需求条款
是否为实质性条款
原因说明(实质性条款需列明原因)
资格要求
资格 要求
投标人必须是在天津工商行政管理部门注册的企业,投标时应提交加盖投标人公章的营业执照副本复印件。(复印件加盖公章,现场携带原件备查)
是
企业资格常规及本地化服务要求。
投标人必须具有公安部颁发的信息安全等级保护测评机构推荐证书。(复印件加盖公章,现场携带原件备查)
是
安全资质认证要求,有资格和能力对我单位进行等保评测响应和等保整改方案应对工作。
商务要求
企业 资信
投标人必须具有依法缴纳税收和社会保障款项的良好记录;(提供近一年的完税证明和社保缴存记录复印件,加盖公章)
否
投标人应提供税务登记证复印件,组织机构代码证复印件。(复印件加盖公章,原件携带备查)
否
企业 业绩
投标人应证明其履行等级保护测评服务的能力,提供2014年至今金融行业三级或三级以上信息系统测评成果案例一项。提供测评案例证明材料,包括合同复印件、验收报告复印件等(合同原件,验收报告原件,测评报告原件携带备查)。
否
人员 资格
现场实施人员应包含Cisco CCIE、华为、华三等认证的安全服务工程师。(复印件加盖公章,现场携带原件备查)。
否
应建立人员安排完备的安全服务小组,安全服务小组中应具备通过信息安全等级保护测评师认证的安全服务工程师组成。(证书复印件加盖公章,现场携带原件备查)。
否
安全服务小组内现场实施人员应包含ISO27001、ITIL等认证的安全服务工程师,该工程师必须为等保测评师(复印件加盖公章,现场携带测评师证和相关证书原件备查)。
否
验收 标准
项目实施过程中保证招标人系统正常运行,确保招标人信息系统经过安全建设后,顺利通过等级保护评测,并获得相关部门认可。
否
报价
投标方必须在报价中根据招标人实际情况列出总体方案价格和对应各项工作的详细报价。
否
售后 服务
项目验收后,投标人提供1年免费技术支持服务,对招标人安全加固提供咨询建议。
否
交货 时间
交货期:签订合同之日起12个月内。
否
交货 地点
交货地点:招标人指定地点。
否
付款 方式
合同签订5个工作日内,招标人向中标单位支付全部合同额。
否
罚则
未按约定的时间完成项目,招标人有权按照每延误一日扣除合同金额万分之五的处罚金,并向供应商索赔因此引起的全部损失。
否
四、技术要求 序号
采购项名称
需求条款
是否为实质性条款
原因说明(实质性条款需列明原因)
等级保护差距分析
投标人应对招标人提供信息系统差距分析服务,通过对信息系统安全差距分析,从信息系统现状出发,明确招标人重要信息系统中存在的风险和相关脆弱点,并出具《信息系统差距分析报告》
否
等保评测响应
在项目实施前,应根据差距分析的结果及招标人实际情况,编制信息安全等级保护测评方案。
否
投标人应对招标人重要信息系统提供正式测评,测评范围包括但不限于如下内容:
安全技术测评:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
否
投标人完成对招标人信息系统等级保护系统测评工作后,应出具符合国家要求的等级保护测评报告,并完成报告通过天津市网监备案工作,以保证信息系统可以顺利通过信息系统等级保护测评。
否
等保整改方案应对
根据招标人临时或计划的要求,响应等保整改方案中的所有内容。
否
测评质量控制
投标人应具备完善的项目质量管理能力,确保测评实施流程规范合理,测评结果准确有效。
否
应急处置方案
投标人应具备在项目实施过程中的风险控制能力,保证招标人系统正常稳定运行,对于系统突发安全事件有应急处置方案。
否
五、评分因素及评标标准 第一部分商务因素(35分)本地化服务(3分)
投标人是在天津工商行政管理部门注册企业(3分)
投标人在天津设有分公司、全资子公司或与本项目服务相关的投资公司(投资比例需超过50%,提供户卡或验资报告),并在天津依法纳税满一年的(提供纳税发票复印件)(2分)投标人在本市具有常驻机构,提供房屋租赁合同或产权证明(1分)
投标人具备GB/T19001系列或ISO9001系列质量管理体系认证,提供证书复印件(1分)具备1分,不具备0分
投标人需建立安全服务小组,投标人安全服务小组内实施人员应具备信息安全等级保护师认证(项目实施人员应为投标人的本单位的正式员工,提供相关认证原件、劳动合同和社保证明)(3分)
投标人安全服务小组内实施人员均为信息安全等级保护测评师,项目中安排高级、中级、初级测评师完成测评工作,分工合理。(3分)
投标人安全服务小组内实施人员部分具备信息安全等级保护测评师认证(1分)投标人安全服务小组内实施人员无信息安全等级保护测评师认证(0分)
安全服务小组内实施人员应包含Cisco CCIE、华为、华三等认证的安全服务工程师(项目实施人员应为投标人的本单位的正式员工,要求提供相关认证原件、劳动合同和社保证明)。(3分)
(1)现场实施人员提供上述所有认证资质证明文件:3分(2)现场实施人员提供上述1-2项证书资质证明文件:1分(3)未提供或不符合要求的:0分。
投标人安全服务小组内实施人员应包含ISO27001、ITIL等认证的安全服务工程师(项目实施人员应为投标人的本单位的正式员工,提供相关认证原件、劳动合同和社保证明)。(2分)(1)现场实施人员提供上述所有认证资质证明文件:3分
(2)现场实施人员提供上述任意一项项证书资质证明文件:1分(3)未提供或不符合要求的:0分。
投标人实施能力,提供自2014年至今金融行业三级或三级以上信息系统测评成果案例一项(3分)
测评系统为四级系统:3分 测评系统为三级系统:1分
测评系统为二级及以下系统:0分 价格(20分)
(1)投标报价超过采购预算的,投标无效,未超过采购预算的投标报价按以下公式进行计算
(2)投标报价得分=(评标基准价/投标报价)×20 注:满足招标文件要求且投标报价最低的投标报价为评标基准价
第二部分技术因素(65分)
信息安全等级保护差距分析(8分)
投标人应根据招标人信息系统现状情况,结合该信息系统级别要求,建立相关方案,分析招标人信息系统与等级保护要求的差距情况,并出具《信息安全等级保护差距分析报告》 投标人相关项目经验丰富,熟悉差距分析内容,建立详细的差距分析方案,并在差距分析工作完成后出具符合要求的《信息安全等级保护差距分析报告》(8分)
投标人相关项目经验较多,比较熟悉差距分析内容,所建立差距分析方案内容比较详尽,可在差距分析工作后出具相关文件(4分)
投标人相关项目经验很少,不熟悉差距分析内容,所建立差距分析方案内容不充分,无法在差距分析工作后出具相关文件(0分)信息安全等级保护方案(27分)
投标人服务方案规范化及标准化程度(7分)投标人相关项目经验非常丰富,非常熟悉完成项目所有工作内容,提供的服务方案规范性及标准化程度很高:7分; 投标人相关项目经验较多,比较熟悉完成项目所有工作内容,提供的服务方案规范性及标准化程度比较好:5分;
投标人相关项目经验很少,基本能够完成项目所有工作内容,提供的服务方案规范性及标准化程度一般:3分;
投标人服务方案的针对性、可行性、完整性(10分)
服务方案完整,充分考虑用户需求,服务方案针对性及可行性很高:10分 服务方案比较完整,服务方案具有一定的针对性及可行性:7分 服务方案不够完整,且服务方案的针对性及可行性一般:4分 投标人服务方案中对本服务项目任务、需求的理解程度(10分)
全面分析了用户现状、性能要求、实施要求等内容,对于本项目任务目标及需求理解深刻:10分;
对于用户系统现状、性能要求、实施要求等内容阐述不够充分,对于本项目任务目标及需求有基本了解:7分;
对用户信息化现状、业务需求了解不够充分:4分 信息安全等级保护响应(6分)
投标人应响应招标人信息系统等级评测需求,完成其重要信息系统等级安全测评,出具符合国家规定的等级测评报告,负责提交有关部门,并保证招标人信息系统可以顺利通过等保评测。
具有完善的等级测评计划,包含测评的各个环节、测评范围、质量控制、风险控制、完成标准,实施测评方案充分体现了完整性、针对性、专业性的:(6分)
具有较完善的等级测评计划,基本包含测评的各个环节、测评范围、质量控制、风险控制、完成标准,实施测评方案基本体现了完整性、针对性、专业性的:(3分)
无完善的等级测评计划,缺少等级测评的重要环节、测评范围、质量控制、风险控制、完成标准等,实施测评方案缺乏完整性、针对性、专业性的:(0分)测评内容应对(6分)
招标人应结合招标人信息系统现状进行信息安全等级保护测评,测评范围包括但不限于如下内容:
安全技术测评:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。测评内容详尽,具有测评方案,符合招标人要求,每项测评内容均具有测评指导书,每项环节均留有相关测评材料(6分)
测评内容不够详尽,无具体方案指导,不符合等保及招标人要求,测评指导书不够充实(3分)
对招标人需测评的内容把握不足,现在工作中不具备测评指导书,无法保证每项环节均具有相关测评材料(0分)
信息安全等级保护整改方案应对(6分)投标人根据招标人临时或计划的要求,响应等保整改方案中的所有内容,出具符合国家标准的等级测评报告,并对报告中设计的安全问题协助指导招标人进行改正。投标人出具符合国家标准的正式版测评报告,并报送相关部门; 投标人针对报告中提出的安全整改项协助投标人完成整改工作的;
投标人满足全部要求得6分,投标人满足一项要求得3分,无满足得0分。项目质量控制(6分)
投标人应编制相关方案证明投标人具备完善的项目质量管理能力,确保测评实施流程规范合理,测评结果准确有效。
具有完善的质量控制方案(6分)质量控制方案内容一般(3分)质量控制方案内容较差(1分)应急处置方案(6分)
7.信息安全服务管理制度 篇七
面向服务的架构是一种架构模型, 它能够结合具体的需求, 通过计算机网络来分布式的部署、组合和使用耦合度非常低的粗粒度的应用组件。服务能够直接被应用所调用, 它是面向服务的架构的基础, 从而对于应用系统中的和软件代理进行交互的人为依赖性进行有效的控制。因此, 在面向服务架构下, 安全问题是一个非常重要的问题。面向服务架构下的信息安全应用研究具有十分重要的意义。
1 面向服务的架构概述
在面向服务的架构中, “服务”的概念是其关键。万维网联盟对于服务的定义如下所述:服务提供者实现一组工作, 并将所需的最终结果交付给服务使用者进行使用。一般来说, 最终结果会改变服务使用者的状态, 同时, 也会改变服务提供者的状态, 或者同时改变服务使用者和服务提供者的状态。
根据上述定义, 我们可以发现, 面向服务的架构具有下列的一些特点:第一, 实现了粗粒度、松散耦合的服务架构;第二, 通过简单、精确定义接口进行服务之间的通讯;第三, 服务之间的通讯与底层编程接口和通讯模型是相互独立的。
面向服务的架构的核心是服务 (Service) 。在面向服务的架构中, 定义了服务提供者、服务请求者、服务代理、服务契约等一系列关于服务的实体, 这些实体对于怎样提供和消费服务进行了非常详细的说明。在采用了面向服务的架构进行构建的系统中, 一定要存在服务, 能够通过网络找到这些服务的地址, 同时, 这些服务是独立的、模块化的、能够实现互操作的、松散耦合的、具有明确的位置的。
2 面向服务架构下的信息安全参考模型分析
由于面向服务的架构下的开放性和分布性, 因此, 面向服务的架构下的信息安全的影响因素是非常多的, 应该建立一个抽象的面向服务的架构下的信息安全参考模型, 从而为面向服务的架构下的信息安全问题提供良好的保障。通过这个信息安全参考模型, 从而支持面向服务的架构下的信息安全问题的解决。
在设计好的信息安全参考模型的基础上, 结合面向服务的架构下的分层架构模式和当前存在的各种各样的安全规范, 用来指导实际安全服务设计的安全框架的设计也是十分必要的。最后, 可以根据具体的底层实现技术和安全框架, 设计出针对面向服务的架构环境的信息安全实现模型。面向服务的架构下的信息安全实现模型的抽象层次的设计采取的是从抽象到具体的方法, 设计出来的参考模型是高度抽象的, 从而满足面向服务的架构下的信息安全需求, 对于各种可选择的架构和方案或者当前存在的产品的安全性能进行合理有效的评估;安全框架结合分层结构的思想, 得到了构建面向服务的架构下的信息安全实现模型的分层逻辑;因为对于技术选型没有进行具体的指定, 因此, 在信息安全系统的实现中, 仍然需要一个关于底层实现技术的信息安全参考模型。
3 面向服务的架构下的信息安全框架分析
面向服务的架构这一个概念是非常抽象的, 只有合理的选择具体的实现技术, 才能够构建面向服务的架构下的系统。类似的, 面向服务的架构下的信息安全也是非常抽象的, 为了保障其安全性, 必须合理的选择具体的安全相关的实现技术, 所以, 有必要引入关于安全相关的具体实现技术的安全规范, 从而有效的保障面向服务的架构的安全性, 根据这些安全规范, 在面向服务的架构下的信息安全参考模型的基础上, 可以得到一个安全框架。通过这个安全框架, 能够设计和评估以Web服务为实现技术的面向服务的架构下的信息系统的安全方案。
在最近的一些年以来, 为了保证面向服务的架构下的系统的安全, 非常多的标准化组织开发了各种各样的安全规范。下面对于一些使用频率较高的安全规范进行简要的阐述。
XML-Signature:对于怎样在XML文档中对所选元素进行数字签名的语义和处理过程进行了描述, 使用对称密钥或者非对称密钥实现对签名的加密。
XML-Encryption:对于怎样在XML文档中对所选元素进行加密和解密的语义和处理过程进行了描述。
XML Key Management Specification:能够实现对于公钥注册与撤销以及密钥的处理的有效性检查, 为PKI (公钥基础设施, Public Key Infrastructure) 定义了一套抽象接口。
4 面向服务的架构下的信息安全实现模型分析
在当前形势下, 最适合于实现面向服务的架构的一种技术就是Web服务。目前已经存在基于Web服务的面向服务的架构应用的成功案例, 例如, 在电信、金融、医疗等领域都已经出现了基于Web服务的面向服务的架构应用的成功系统。因为基于XML的Web服务能够通过任意的一种编程语言、任意的一种协议或者任意的一种平台来实现, 另外, java具有良好的跨平台性, 这就简化了将业务应用发布为任何人在任何时间任何地点使用任何平台都能够获取的服务的过程。为此, 有必要实现基于Web服务的面向服务的架构应用的信息安全实现模型, 该模型可以在Java平台上实现。
5 结论
本文详细阐述了面向服务架构下的信息安全应用。笔者相信, 面向服务架构下的信息安全应用问题是一个热点问题, 仍然有待进一步的深入钻研。只有保证了面向服务架构下的信息安全, 才能够促进面向服务架构的进一步推广应用, 从而促进软件业的进一步发展。
摘要:随着面向服务架构的应用逐渐增多, 面向服务架构下的信息安全应用研究也变得日益重要起来, 有必要探讨面向服务架构下的信息安全应用。
关键词:面向服务架构,信息安全,应用研究
参考文献
[1]刘壮业, 姚郑.面向服务架构若干关键问题研究[J].计算机工程与设计, 2009 (3) .
[2]陈利国, 王艳萍.面向服务体系架构的研究[J].电脑知识与技术, 2009 (3) .
8.档案信息服务作业系统管理 篇八
[关键词]档案信息服务;作业系统;管理
一、档案信息服务作业系统
如图1中的大四方形描述的就是从用户角度看到的服务作业组织。而从服务者的角度看,这一组织也许是由几个部分组成,但用户却把它看成一个完整的系统。之所以要把用户放进四方形,是因为信息服务组织的用户不像在制造业那样完全处于生产过程之外,用户是处于服务过程之中,并且和服务作用过程发生相互作用,也就是说用户实际上属于服务作业系统中的一个组成部分。首先看相互接触部分。对于用户来说,他和服务组织发生相互接触的过程是他自己完全看得见的,所以这部分是用户看得见的服务活动,称其为服务作用系统的相互接触部分。它包括用户及用户直接接触的能够产生服务质量的资源。正是在这种用户与服务组织的直接接触过程中,形成了所谓的“关键时刻”。
1.介入服务过程的用户。用户是一种产生服务质量的资源,直接介入了服务作业系统。由于服务生产和消费的不可分离性,用户不仅仅是被动的顾客,在他们消费过程中,用户必须为服务人员提供必要的信息,配合服务人员的工作,才能获得优质服务。在不同的服务作用体系中,用户的参与程度会有所不同。如档案信息复制供应服务,咨询服务等服务,用户参与多一些;有时用户参与会少一些,如单纯提供档案证明服务。
2.服务组织的经营体制与管理规章。组织的经营管理体制与管理规章,是指一个组织内部的整个运行机制,包括行政管理、服务条例、工作章程等等,如档案馆中对员工的管理规章和对用户档案利用时的要求等。事实上,各个组织都拥有大量的管理规章和工作守则,而且不少的管理规章与工作守则会影响用户对服务的消费,影响用户发挥协作作用。如果是正面作用,这些管理规章和工作守则就是服务导向型的,否则,如果是负面影响,就亟待加以改进。
3.各种不同的经营体制与管理规章对服务质量有着双重作用。一方面会直接影响到用户对服务质量的评价。因为用户要与经营体制、管理规章发生接触。如果他们对此感觉满意,就可以认为这样的体制和规章是服务导向的;而如果反过来,他们感到不得不被动地去适应这些东西,那就说明其中有弊病。在这种情况下,服务质量就会遭到经营体制和管理规章的破坏,至少也是损害。另一方面,管理规章和工作守则也对内部员工有着影响。如果员工认为某些制度、规定、章程已经过时,或是过于复杂繁琐,那就说明这些东西是非服务导向型的,履行这些制度、规定、章程的员工就会有不满甚至发牢骚,这当然对服务质量有着负面影响。
因为用户在自我服务过程中或多或少会感到使用这些资源和设备的难易度,而给用户留下好的或不好的印象。另外,其他有些物质资源对功能质量也会产生影响,如档案信息服务环境会对人的心理带来是否舒适、美感、荣誉感等的影响。这样,一线员工、经营体制与管理规章、物质资源和设备设施三者合为一体,就在用户心目中形成了一个完整可见的服务作业系统。当然,从现代档案信息服务组织的角度看,这个系统还应该包括用户。因为用户不仅仅是简单的服务消费者,只有服务者与用户实现互动,才能确保系统中的每一部分与整个系统相协调、相匹配。
其次分析后勤辅助部分。在接触档案信息服务组织时,用户极少有机会看见视野分界线后面发生的事情,他们通常不会想到在自己看不见的地方还在紧张地进行着服务生产,而且是为自己消费的服务进行的生产。这对服务供方来说,至少造成了两个问题。一是在这条可见线之后发生的事,用户不是总能理解的,因而用户认识不到那部分服务活动对整个服务质量作出的贡献。不论在上一阶段如档案信息收集、整理、鉴定、保管、编研等创造出何等优异的质量,如果档案信息提供利用的相互接触阶段的服务质量平庸或是低劣,用户就会认为整个服务质量不高,于是,在可见线后面创造的优质服务被在可见线前面表现的劣质服务败坏殆尽。
二、档案信息服务作业系统的要素及其关系
从服务理论来讲,在服务供需双方的相互接触中,用户是否愿意享用这项服务起着非常重要的作用,尤其是对于档案信息服务企业,甚至决定它的生死存亡。在服务供需双方的相互接触中,关键时刻将是至关重要的,应把档案信息服务组织的各种资源都加以恰当地组织和安排。为此,引入服务企业生产系统要素及其关系理论分析,来阐释档案信息作业系统中的各种资源要素关系。首先看服务观念与用户之间的关系。档案信息服务组织通过调研收集有关信息,了解用户的需要及愿意接受的服务方式,然后在此基础上确定本组织的服务观念。至于用户与其他要素之间的相互作用关系,需强调的是服务组织应充分调动用户的积极性来参与服务作业过程。这是因为服务中的用户具有双重身份,一方面他是前来消费服务的客人,另一方面他又是协助服务的半个主人。由于用户具有这种双重身份,因此,与用户保持不断发展的关系是十分必要的,尤其是对于档案信息服务企业来讲,只有长久地把用户留住,甚至使其能不断地购买增值服务,并能从用户那里获取反馈信息,以便今后不断改进服务和增加新的服务内容。组织的服务观念应该说明用户如何参与服务生产,比如需要用户提供一些什么样的自我服务,是否应该填写必要的表格,是否应该提供必要的个人信息等等。通过这些方式,用户参与共同设计或共同生产他们将要享用或购买的服务,从而成为服务生产系统中不可或缺的部分。而且一旦用户完成了协作企业生产服务的任务,就应当对他们表示酬谢。
也就是说,档案信息服务组织应该充分发挥用户的“生产伙伴”和“兼职员工”的作用,来实现自己生产和提供优质服务的目标。
参考文献
[1]郑新兴.档案馆档案信息公共服务体系构建问题研究[J].福建师范大学,2010年.
[2]姚红叶.信息生态视阈下数字档案馆信息服务研究[D].南昌大学,2012年
【信息安全服务管理制度】推荐阅读:
专业信息安全服务资质06-26
春节期间餐饮服务食品安全警示信息08-04
管理信息系统安全07-09
信息安全管理制度汇总08-07
信息安全管理责任制度07-07
信息安全管理协议07-09
医院信息系统安全管理07-23
信息安全管理体系文件08-20
信息安全管理技术解析08-27
学校信息安全管理办法09-06