8.6服務終止

組織因某種因素制約，不再繼續提供某項服務時，可進行服務終止操作，服務終止應及時通知需方及相關方，做好服務終止風險控制，處理好終止后的事務。

如果要終止服務，應有書面的服務終止計劃，該計劃宜包括：

a)終止適用的條件；

b)終止的目標與成功要素；

c)其他各方執行流程的控制；

d)所有相關各方的角色與職責，如需方、外部供方、內部團隊；

e)約束、風險與問題；

f)里程碑和交付物；

g)活動分解和每個活動的描述；

h)約定的服務終止與責任終止的完成標準；

i)服務對需方不再有效的時間，服務終止的時間；

j)要終止的服務和其他服務之間的接口將如何由其他服務處理；

k)安排信息安全審查，包括敏感信息的刪除等；

l)確保任何懸而未決的事件、問題、用戶請求和變更請求的具體內容已與需方達成共識，與需方的協議包括由此產生的任何行動。

組織應做好服務終止確認文件的收集、資金、人力資源、基礎設施、信息資源的回收確認，應做好數據清理、資源釋放，做好需方和相關方應履行的事項。

組織應協商所有數據、文件和系統組件的所有權。如果需要，協商訪問數據或其他服務組件的安排，并計劃和實施。組織在數據歸檔、處置和轉讓時須滿足法律法規及相關方要求。

組織應建立服務終止的風險列表，并對風險等級進行評估，對風險等級較高的風險應制定應對措施方案。風險列表可包括：

a)數據風險；

b)業務連續性風險；

c)法律法規風險；

d)信息安全風險等。

風險的應對措施見第6章。

本文章首發在網安wangan.com 網站上。

暫無個人描述~

點贊