8.6　服務商管理和監控

8.6　服務商管理和監控

8.6.1　服務商選擇

活動目標：
本項活動的目標是確定符合國家規定或行業規定的設計、測評、建設資質的服務商，為后續的管理和監控奠定基礎。
參與角色：運營、使用單位，網絡安全服務機構
活動輸入：安全詳細設計方案，實施方案等。
活動描述：
本活動主要包括以下子活動內容：
a) 服務能力分析
從影響系統、業務安全性等關鍵要素層面分析服務商服務能力，根據國家招投標相關要求，選擇最佳服務商，這些要素可能包括服務商的基本情況、企業資質和人員資質、信譽、技術力量和行業經驗、內部控制和管理能力、持續經營狀況、服務水平及人員配備情況等。
b) 網絡安全風險分析
在選擇服務商時，需要識別服務商的網絡安全風險，防止高風險、不合格服務商承擔安全運行維護項目，網絡安全風險點包括但不限于以下幾點：
——服務商可能的泄密行為。
——服務商服務能力及行業經驗。
——物理訪問、信息資料丟失、系統越權訪問、誤操作等。
——服務商企業資質、人員資質及網絡安全口碑、業績。
——服務商以往服務項目案例。
c) 服務內容互斥分析
在選擇服務商時，需要識別服務商提供的服務與之前或后續提供的服務之間沒有互斥性。承擔等級保護對象安全建設服務的機構必須具備等級保護安全建設服務機構資質。承擔等級測評服務的機構必須具備等級測評機構資質。

8.6.2　服務商管理

活動目標：
本活動的目標是對服務商從多維度進行切實有效管理，使得服務商在約定范圍內開展服務工作。
參與角色：運營、使用單位，網絡安全服務機構。
活動輸入：已選擇的服務商。
活動描述：
本活動主要包括以下子活動內容：
a) 人員管理
——使用單位需制定服務商人員管理規定，包含但不限于上崗資質審核機制、保密協議、品行管理、服務技能考核、行為管理、系統權限管理、口令管理等。
——使用單位負責對服務商核心人員的確定和變更進行備案。
——服務商人員在為使用單位提供服務的過程中，嚴格遵守使用單位的各項規定、管理要求、服從使用單位安排。
——如因服務商人員原因，給使用單位或第三方造成人員人身傷害或財產損失的，服務商應承擔賠償責任。
——使用單位督促服務商對服務人員開展培訓及安全教育工作。
b) 服務管理
為確保服務商服務工作符合約定要求，服務商應滿足但不限于：
——服務商提供齊全進場相關資料（如企業資質、人員資質、人員名單、物資資料等），并接受使用單位的審核。
——服務商基本信息發生變更，如：法人、單位名稱、銀行帳戶等，須提前通知使用單位。
——按照約定要求服務商提供各項服務，保質保量完成服務目標；如因服務商未完成服務目標給使用單位造成損失的，應予賠償。
——服務商確保所提供服務不存在任何侵犯第三方著作權、商標權、專利權等合法權益的情形；服務商保護好對服務過程中產生的研究成果及知識產權，未經使用單位許可，服務商不得以任何形式向任何第三方轉讓權利義務。
——服務商提供項目驗收和考核的相關材料，配合使用單位組織開展項目結題驗收和考核工作。
——使用單位根據約定的售后服務內容及標準，實時跟蹤服務商售后服務考核情況，作為后續服務商選擇參考。

8.6.3　服務商監控

活動目標：
本活動的目標是通過對服務商及其人員在服務過程中的行為進行有效監控，若發現不合規行為，限時保質整改，確保服務商服務工作持續、規范、高效。
參與角色：運營、使用單位，網絡安全服務機構。
活動輸入：服務商日常服務記錄。
活動描述：
本活動主要包括以下子活動內容：
a) 使用單位負責組織制定服務評審標準及辦法，并依據辦法對服務質量進行評審；服務商應接受使用單位對其提供服務情況進行的監督和檢查，并應及時按照使用單位要求對所提供的服務進行改進或調整，使服務質量符合使用單位要求。
b) 使用單位對服務商日常工作進行指導，當發現服務商工作中存在問題時，要求服務商及時糾正，因服務商原因（故意或過失）給使用單位造成損失的，服務商應承擔全部賠償責任。
c) 使用單位監管項目進展情況期間，對于重大情況服務商應及時主動報告。
d) 使用單位負責對服務商人員定期進行考核評價，考核方式可采用日常考核、季度考核和年度考核，也可采用適合使用單位的考核方式；如發生嚴重違反合作原則、傷害使用單位利益、影響服務質量等行為，使用單位有權隨時向服務商提出人員撤換要求。
e) 服務過程中，服務商如因正當理由需要調整、變更人員的，應當提前通知使用單位，做好工作交接，并獲得使用單位同意后方可進行。