前面我們將安全設(shè)計(jì)與實(shí)施看了一遍，接下來(lái)我們則進(jìn)入安全運(yùn)行與維護(hù)，如圖所示進(jìn)入第四層左側(cè)部分安全運(yùn)行與維護(hù)。有關(guān)右側(cè)部分應(yīng)急響應(yīng)與保障另文說(shuō)明之，應(yīng)急這塊在《網(wǎng)絡(luò)安全法》中有第二十五條單獨(dú)進(jìn)行規(guī)范，所以也是非常重要的一個(gè)工作。完成上個(gè)階段實(shí)施后，就進(jìn)入運(yùn)行和維護(hù)階段，這是網(wǎng)絡(luò)生命周期的工作常態(tài)。

　　該階段的目標(biāo)是按照等級(jí)保護(hù)對(duì)象安全運(yùn)行與維護(hù)是等級(jí)保護(hù)實(shí)施過(guò)程中確保等級(jí)保護(hù)對(duì)象正常運(yùn)行的必要環(huán)節(jié)，涉及的內(nèi)容較多，包括安全運(yùn)行與維護(hù)機(jī)構(gòu)和安全運(yùn)行與維護(hù)機(jī)制的建立，環(huán)境、資產(chǎn)、設(shè)備、介質(zhì)的管理，網(wǎng)絡(luò)、系統(tǒng)的管理，密碼、密鑰的管理，運(yùn)行、變更的管理，安全狀態(tài)監(jiān)控和安全事件處置，安全審計(jì)和安全檢查等內(nèi)容。圖片

　　這些內(nèi)容在《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中，涉及從技術(shù)到管理眾多測(cè)評(píng)項(xiàng)。我一再說(shuō)，落實(shí)等級(jí)保護(hù)工作從規(guī)劃已經(jīng)開(kāi)始，而不是測(cè)評(píng)才開(kāi)始。從規(guī)劃開(kāi)始就遵循“三同步”原則叫安全建設(shè)；測(cè)評(píng)完成后，發(fā)現(xiàn)的安全問(wèn)題叫安全整改。等級(jí)測(cè)評(píng)后發(fā)現(xiàn)的有很多問(wèn)題是在安全規(guī)劃之初因?qū)Π踩ぷ髁私獠簧钊氩蝗妫z留問(wèn)題。安全建設(shè)過(guò)程中未考慮周全的地方，在安全整改過(guò)程中也是一個(gè)補(bǔ)救過(guò)程。安全建設(shè)整改最終目的是提升網(wǎng)絡(luò)安全綜合防護(hù)水平和能力。

　　做過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的朋友，對(duì)安全運(yùn)行與維護(hù)應(yīng)該比較熟悉了。對(duì)于扎實(shí)開(kāi)展了規(guī)劃設(shè)計(jì)實(shí)施的朋友其實(shí)對(duì)這塊應(yīng)該更熟悉。這涉及到運(yùn)行管控、變更管控、狀態(tài)監(jiān)控、服務(wù)商管控、等級(jí)測(cè)評(píng)、檢查改進(jìn)等幾部分內(nèi)容。接下來(lái)我們將展開(kāi)探討：

　　第一階段：運(yùn)行管理和控制

　　該階段又可以由運(yùn)行管理職責(zé)確定、運(yùn)行管理過(guò)程控制兩部分內(nèi)容構(gòu)成。

　　運(yùn)行管理職責(zé)確定是需要輸入安全詳細(xì)設(shè)計(jì)方案，安全組織機(jī)構(gòu)表，根據(jù)劃分運(yùn)行管理角色、授予管理權(quán)限、定義人員職責(zé)，通過(guò)對(duì)運(yùn)行管理活動(dòng)或任務(wù)的角色劃分，并授予相應(yīng)的管理權(quán)限，來(lái)達(dá)到確定安全運(yùn)行管理的具體人員和職責(zé)的目標(biāo)。應(yīng)至少劃分為系統(tǒng)管理員、安全管理員和安全審計(jì)員。最終輸出運(yùn)行管理人員角色和職責(zé)表。

　　劃分運(yùn)行管理角色應(yīng)注意：根據(jù)管理制度和實(shí)際運(yùn)行管理需求，劃分運(yùn)行管理需要的角色及用戶，并由系統(tǒng)管理員創(chuàng)建角色及用戶。越高安全保護(hù)等級(jí)的運(yùn)行管理角色劃分越細(xì)。

　　授予管理權(quán)限應(yīng)注意：根據(jù)管理制度和實(shí)際運(yùn)行管理需要，由安全管理員授予每一個(gè)運(yùn)行管理角色及用戶不同的管理權(quán)限。安全保護(hù)等級(jí)越高的系統(tǒng)管理權(quán)限的劃分也越細(xì)。

　　定義人員職責(zé)應(yīng)注意：根據(jù)不同的安全保護(hù)等級(jí)要求的控制粒度，分析所需要運(yùn)行管理控制內(nèi)容，并以此定義不同運(yùn)行管理角色的職責(zé)。由安全審計(jì)員對(duì)系統(tǒng)管理員、安全管理員操作日志進(jìn)行審計(jì)。

　　運(yùn)行管理過(guò)程控制是需要輸入運(yùn)行管理需求，運(yùn)行管理人員角色和職責(zé)表。通過(guò)制定運(yùn)行管理操作規(guī)程，確定運(yùn)行管理人員的操作目的、操作內(nèi)容、操作時(shí)間和地點(diǎn)、操作方法和流程等，并進(jìn)行操作過(guò)程記錄，確保對(duì)操作過(guò)程進(jìn)行控制。最終輸出各類運(yùn)行管理操作規(guī)程。

　　建立操作規(guī)程應(yīng)注意：將操作過(guò)程或流程規(guī)范化，并形成指導(dǎo)運(yùn)行管理人員工作的操作規(guī)程，操作規(guī)程作為正式文件處理。操作規(guī)程應(yīng)至少覆蓋運(yùn)維人員、使用用戶等的各類操作，如：移動(dòng)介質(zhì)使用規(guī)程、終端使用規(guī)程、數(shù)據(jù)庫(kù)操作規(guī)程等。安全保護(hù)等級(jí)越高的系統(tǒng)，對(duì)更多的操作要形成操作規(guī)程文件。

　　操作過(guò)程記錄應(yīng)注意：對(duì)運(yùn)行管理人員按照操作規(guī)程執(zhí)行的操作過(guò)程形成相關(guān)的記錄文件，可能是日志文件，記錄操作的時(shí)間和人員、正?；虍惓５刃畔ⅰ?/p>

　　這個(gè)階段的工作是由運(yùn)營(yíng)、使用單位完成。

　　第二階段：變更管理和控制

　　該階段又可以由變更需求和影響分析、變更過(guò)程控制兩部分內(nèi)容構(gòu)成。

　　變更需求和影響分析是需要輸入變更需求，通過(guò)對(duì)運(yùn)行與維護(hù)過(guò)程中的變更需求和變更影響的分析，來(lái)確定變更的類別，計(jì)劃后續(xù)的活動(dòng)內(nèi)容。最終形成變更方案。

　　變更需求分析應(yīng)注意：對(duì)運(yùn)行與維護(hù)過(guò)程中的變更需求進(jìn)行分析，確定變更的內(nèi)容、變更資源需求和變更范圍等，判斷變更的必要性和可行性。

　　變更影響分析應(yīng)注意：對(duì)運(yùn)行與維護(hù)過(guò)程中的變更可能引起的后果進(jìn)行判斷和分析、確定可能產(chǎn)生的影響大小、確定進(jìn)行變更的先決條件和后續(xù)活動(dòng)等。

　　明確變更的類別應(yīng)注意：確定等級(jí)保護(hù)對(duì)象是局部調(diào)整還是重大變更。如果是由等級(jí)保護(hù)對(duì)象類型發(fā)生變化、承載的信息資產(chǎn)類型發(fā)生變化、等級(jí)保護(hù)對(duì)象服務(wù)范圍發(fā)生變化和業(yè)務(wù)處理自動(dòng)化程度發(fā)生變化等原因引起等級(jí)保護(hù)對(duì)象安全保護(hù)等級(jí)發(fā)生變化的重大變更，則需要重新確定等級(jí)保護(hù)對(duì)象安全保護(hù)等級(jí)，返回到等級(jí)保護(hù)實(shí)施過(guò)程的等級(jí)保護(hù)對(duì)象定級(jí)階段。如果是局部調(diào)整，則確定需要配套進(jìn)行的其他工作內(nèi)容。

　　制定變更方案則需要依據(jù)上面變更需求分析、變更影響分析、明確變更的類別進(jìn)行方案開(kāi)發(fā)。

　　變更過(guò)程控制是需要輸入變更方案，通過(guò)變更內(nèi)容審核和審批、建立變更過(guò)程日志、形成變更結(jié)果報(bào)告，確保運(yùn)行與維護(hù)過(guò)程中的變更實(shí)施過(guò)程受到控制，各項(xiàng)變化內(nèi)容進(jìn)行記錄，保證變更對(duì)業(yè)務(wù)的影響最小。最終輸出并更結(jié)果報(bào)告。

　　變更內(nèi)容審核和審批應(yīng)注意：對(duì)變更目的、內(nèi)容、影響、時(shí)間和地點(diǎn)以及人員權(quán)限進(jìn)行審核，以確保變更合理、科學(xué)的實(shí)施。按照機(jī)構(gòu)建立的審批流程對(duì)變更方案進(jìn)行審批。

　　建立變更過(guò)程日志應(yīng)注意：按照批準(zhǔn)的變更方案實(shí)施變更，對(duì)變更過(guò)程各類系統(tǒng)狀態(tài)、各種操作活動(dòng)等建立操作記錄或日志。

　　形成變更結(jié)果報(bào)告應(yīng)注意：收集變更過(guò)程的各類相關(guān)文檔，整理、分析和總結(jié)各類數(shù)據(jù)，形成變更結(jié)果報(bào)告，并歸檔保存。

　　這個(gè)階段的工作是由運(yùn)營(yíng)、使用單位完成。

　　第三階段：安全狀態(tài)監(jiān)控

　　該階段又可以由監(jiān)控對(duì)象確定、監(jiān)控對(duì)象狀態(tài)信息收集、監(jiān)控狀態(tài)分析和報(bào)告三部分內(nèi)容構(gòu)成。

　　監(jiān)控對(duì)象確定需要輸入安全詳細(xì)設(shè)計(jì)方案，系統(tǒng)驗(yàn)收?qǐng)?bào)告等，通過(guò)對(duì)安全關(guān)鍵點(diǎn)分析、形成監(jiān)控對(duì)象列表，確定可能會(huì)對(duì)等級(jí)保護(hù)對(duì)象安全造成影響的因素，即確定安全狀態(tài)監(jiān)控的對(duì)象。最終輸出監(jiān)控列表。

　　安全關(guān)鍵點(diǎn)分析應(yīng)注意：對(duì)影響系統(tǒng)、業(yè)務(wù)安全性的關(guān)鍵要素進(jìn)行分析，確定安全狀態(tài)監(jiān)控的對(duì)象，這些對(duì)象可能包括防火墻、人侵檢測(cè)、防病毒、核心路由器、核心交換機(jī)、主要通信線路、關(guān)鍵服務(wù)器或客戶端等系統(tǒng)范圍內(nèi)的對(duì)象；也可能包括安全標(biāo)準(zhǔn)和法律法規(guī)等外部對(duì)象。

　　形成監(jiān)控對(duì)象列表應(yīng)注意：根據(jù)確定的監(jiān)控對(duì)象，分析監(jiān)控的必要性和可行性、監(jiān)控的開(kāi)銷和成本等因素，形成監(jiān)控對(duì)象列表。

　　監(jiān)控對(duì)象狀態(tài)信息收集需要輸入監(jiān)控對(duì)象列表，通過(guò)選擇監(jiān)控工具、狀態(tài)信息收集，收集安全狀態(tài)監(jiān)控的信息，識(shí)別和記錄入侵行為，對(duì)等級(jí)保護(hù)對(duì)象的安全狀態(tài)進(jìn)行監(jiān)控。最終輸出安全狀態(tài)信息。

　　選擇監(jiān)控工具應(yīng)注意：根據(jù)監(jiān)控對(duì)象的特點(diǎn)、監(jiān)控管理的具體要求、監(jiān)控工具的功能、性能特點(diǎn)等，選擇合適的監(jiān)控工具。

　　監(jiān)控工具也可能不是自動(dòng)化的工具，而只是由各類人員構(gòu)成的，遵循一定規(guī)則進(jìn)行操作的組織或者是兩者的綜合。

　　狀態(tài)信息收集應(yīng)注意：收集來(lái)自監(jiān)控對(duì)象的各類狀態(tài)信息，可能包括網(wǎng)絡(luò)流量、日志信息、安全報(bào)警和性能狀況等；或者是來(lái)自外部環(huán)境的安全標(biāo)準(zhǔn)和法律法規(guī)的變更信息。

　　監(jiān)控狀態(tài)分析和報(bào)告需要輸人安全狀態(tài)信息，通過(guò)對(duì)安全狀態(tài)信息進(jìn)行分析，及時(shí)發(fā)現(xiàn)安全事件或安全變更需求，并對(duì)其影響程度和范圍進(jìn)行分析，形成安全狀態(tài)結(jié)果分析報(bào)告。最終輸出安全狀態(tài)分析報(bào)告。

　　狀態(tài)分析應(yīng)注意：對(duì)安全狀態(tài)信息進(jìn)行分析，及時(shí)發(fā)現(xiàn)險(xiǎn)情、隱患或安全事件，并記錄這些安全事件，分析其發(fā)展趨勢(shì)。

　　影響分析應(yīng)注意：根據(jù)對(duì)安全狀況變化的分析，分析這些變化對(duì)安全的影響，通過(guò)判斷他們的影響決定是否有必要作出響應(yīng)。

　　形成安全狀態(tài)分析報(bào)告應(yīng)注意：根據(jù)安全狀態(tài)分析和影響分析的結(jié)果，形成安全狀態(tài)分析報(bào)告，上報(bào)安全事件或提出變更需求。

　　這個(gè)階段的工作是由運(yùn)營(yíng)、使用單位完成。

　　第四階段：安全自查和持續(xù)改進(jìn)

　　該階段又可以由安全狀態(tài)自查、改進(jìn)方案制定、安全改進(jìn)實(shí)施三部分內(nèi)容構(gòu)成。

　　安全狀態(tài)自查需要輸入等級(jí)保護(hù)對(duì)象詳細(xì)描述文件、變更結(jié)果報(bào)告、安全狀態(tài)分析報(bào)告，通過(guò)對(duì)等級(jí)保護(hù)對(duì)象的安全狀態(tài)進(jìn)行自查，為等級(jí)保護(hù)對(duì)象的持續(xù)改進(jìn)過(guò)程提供依據(jù)和建議，確保等級(jí)保護(hù)對(duì)象的安全保護(hù)能力滿足相應(yīng)等級(jí)安全要求。安全自查報(bào)告。最終輸出安全自查報(bào)告。這點(diǎn)需要給大家強(qiáng)調(diào)一下，其實(shí)公安機(jī)關(guān)每年都有安全監(jiān)督檢查，其前期階段也是需要各單位進(jìn)行安全自查，在這個(gè)過(guò)程中可以把工作做在平時(shí)，以便更好的應(yīng)對(duì)公安機(jī)關(guān)要求以及自查后的臨檢工作。

　　確定自查對(duì)象和自查方法應(yīng)注意：確定檢查的對(duì)象和方法，確定本次安全自查的范圍及安全自查工具、調(diào)研表格等。

　　制定自查計(jì)劃和自查方案應(yīng)注意：確定自查工作的角色和職責(zé)，確定自查工作的方法，成立安全自查工作組。制定安全自查工作計(jì)劃和安全自查方案，說(shuō)明安全自查的范圍、對(duì)象、工作方法等，準(zhǔn)備安全自查需要的各類表單和工具。

　　安全自查實(shí)施應(yīng)注意：根據(jù)安全自查計(jì)劃，通過(guò)詢問(wèn)、檢查和測(cè)試等多種手段，進(jìn)行安全狀況自查，記錄各種自查活動(dòng)的結(jié)果數(shù)據(jù)，分析安全措施的有效性、安全事件產(chǎn)生的可能性和定級(jí)對(duì)象的實(shí)際改進(jìn)需求等。

　　安全自查結(jié)果和報(bào)告應(yīng)注意：總結(jié)安全自查的結(jié)果，提出改進(jìn)的建議，并產(chǎn)生安全自查報(bào)告。將安全自查過(guò)程的各類文檔、資料歸檔保存。

　　改進(jìn)方案制定需要輸入安全自查報(bào)告，依據(jù)安全檢查的結(jié)果，調(diào)整等級(jí)保護(hù)對(duì)象的安全狀態(tài)，保證等級(jí)保護(hù)對(duì)象安全防護(hù)的有效性。最終輸出安全改進(jìn)方案。

　　在這里，再多說(shuō)一句。很多單位在等級(jí)保護(hù)測(cè)評(píng)結(jié)束后，公安機(jī)關(guān)要求限期整改，感覺(jué)到疑惑。網(wǎng)絡(luò)安全工作開(kāi)展的目標(biāo)和態(tài)度如果正確了，其實(shí)這點(diǎn)理論上沒(méi)有什么可以感覺(jué)疑惑的，網(wǎng)絡(luò)安全最終的目標(biāo)或目的是達(dá)到整體安全。工作目標(biāo)和目的在，與公安機(jī)關(guān)要求理論上沒(méi)關(guān)系，而是應(yīng)該主動(dòng)完成整改工作。不然，你的安全工作做得是什么呢？難道只是別人給你評(píng)一個(gè)分?jǐn)?shù)嗎？這只是面子問(wèn)題，沒(méi)有解決里子存在的問(wèn)題。

　　安全改進(jìn)的立項(xiàng)應(yīng)注意：根據(jù)安全檢查結(jié)果確定安全改進(jìn)的策略，如果涉及安全保護(hù)等級(jí)的變化，則應(yīng)進(jìn)入安全保護(hù)等級(jí)保護(hù)實(shí)施的一個(gè)新的循環(huán)過(guò)程；如果安全保護(hù)等級(jí)不變，但是調(diào)整內(nèi)容較多、涉及范圍較大，則應(yīng)對(duì)安全改進(jìn)項(xiàng)目進(jìn)行立項(xiàng)，重新開(kāi)始安全實(shí)施/實(shí)現(xiàn)過(guò)程；如果調(diào)整內(nèi)容較小，則可以直接進(jìn)行安全改進(jìn)實(shí)施。

　　制定安全改進(jìn)方案應(yīng)注意：確定安全改進(jìn)的工作方法、工作內(nèi)容、人員分工、時(shí)間計(jì)劃等，制定安全改進(jìn)方案。安全改進(jìn)方案只適用于小范圍內(nèi)的安全改進(jìn)，如安全加固、配置加強(qiáng)、系統(tǒng)補(bǔ)丁等。

　　安全改進(jìn)實(shí)施需要輸入安全改進(jìn)方案，通過(guò)安全方案實(shí)施控制、安全措施測(cè)試與驗(yàn)收、配套技術(shù)文件和管理制度的修訂，保證按照安全改進(jìn)方案實(shí)現(xiàn)各項(xiàng)補(bǔ)充安全措施，并確保原有的技術(shù)措施和管理措施與各項(xiàng)補(bǔ)充的安全措施一致有效地工作。最終輸出測(cè)試或驗(yàn)收?qǐng)?bào)告。按照安全改進(jìn)方案實(shí)施和落實(shí)各項(xiàng)補(bǔ)充的安全措施后，要調(diào)整和修訂各類相關(guān)的技術(shù)文件和管理制度，保證原有體系完整性和一致性。

　　這個(gè)階段的工作是由運(yùn)營(yíng)、使用單位完成。

　　第五階段：服務(wù)商管理和監(jiān)控

　　該階段又可以由服務(wù)商選擇、服務(wù)商管理、服務(wù)商監(jiān)控三部分內(nèi)容構(gòu)成。

　　服務(wù)商選擇需要輸入安全詳細(xì)設(shè)計(jì)方案，實(shí)施方案等，通過(guò)對(duì)安全服務(wù)商服務(wù)能力分析、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析、服務(wù)內(nèi)容互斥分析，來(lái)確定符合國(guó)家規(guī)定或行業(yè)規(guī)定的設(shè)計(jì)、測(cè)評(píng)、建設(shè)資質(zhì)的服務(wù)商，為后續(xù)的管理和監(jiān)控奠定基礎(chǔ)。最終輸出已選擇的服務(wù)商，安全服務(wù)方案。這方面屬于我們常規(guī)中說(shuō)的供應(yīng)鏈安全，作為網(wǎng)絡(luò)運(yùn)營(yíng)、使用單位應(yīng)該慎重選擇安全服務(wù)機(jī)構(gòu)，以免為單位引入新風(fēng)險(xiǎn)。

　　服務(wù)能力分析應(yīng)注意：從影響系統(tǒng)、業(yè)務(wù)安全性等關(guān)鍵要素層面分析服務(wù)商服務(wù)能力，根據(jù)國(guó)家招投標(biāo)相關(guān)要求，選擇最佳服務(wù)商，這些要素可能包括服務(wù)商的基本情況、企業(yè)資質(zhì)和人員資質(zhì)、信譽(yù)、技術(shù)力量和行業(yè)經(jīng)驗(yàn)、內(nèi)部控制和管理能力、持續(xù)經(jīng)營(yíng)狀況、服務(wù)水平及人員配備情況等。

　　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析應(yīng)注意：在選擇服務(wù)商時(shí)，需要識(shí)別服務(wù)商的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，防止高風(fēng)險(xiǎn)、不合格服務(wù)商承擔(dān)安全運(yùn)行維護(hù)項(xiàng)目，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)包括但不限于以下幾點(diǎn)：

　　——服務(wù)商可能的泄密行為；

　　——服務(wù)商服務(wù)能力及行業(yè)經(jīng)驗(yàn)；

　　——物理訪問(wèn)、信息資料丟失、系統(tǒng)越權(quán)訪問(wèn)、誤操作等；

　　——服務(wù)商企業(yè)資質(zhì)、人員資質(zhì)及網(wǎng)絡(luò)安全口碑、業(yè)績(jī)；

　　——服務(wù)商以往服務(wù)項(xiàng)目案例。

　　服務(wù)內(nèi)容互斥分析應(yīng)注意：在選擇服務(wù)商時(shí)，需要識(shí)別服務(wù)商提供的服務(wù)與之前或后續(xù)提供的服務(wù)之間沒(méi)有互斥性。承擔(dān)等級(jí)保護(hù)對(duì)象安全建設(shè)服務(wù)的機(jī)構(gòu)應(yīng)具備等級(jí)保護(hù)安全建設(shè)服務(wù)機(jī)構(gòu)資質(zhì)。承擔(dān)等級(jí)測(cè)評(píng)服務(wù)的機(jī)構(gòu)具備等級(jí)測(cè)評(píng)機(jī)構(gòu)資質(zhì)。

　　服務(wù)商管理需要輸入已選擇的服務(wù)商，安全服務(wù)方案，通過(guò)人員管理、服務(wù)管理，從而對(duì)服務(wù)商從多維度進(jìn)行切實(shí)有效管理，使得服務(wù)商在約定范圍內(nèi)開(kāi)展服務(wù)工作。

　　人員管理應(yīng)注意：為確保服務(wù)商服務(wù)工作符合約定要求，使用單位對(duì)服務(wù)人員的管理措施應(yīng)至少包括但不限于：

　　——使用單位需制定服務(wù)商人員管理規(guī)定，包含但不限于上崗資質(zhì)審核機(jī)制、保密協(xié)議、品行管理、服務(wù)技能考核、行為管理、系統(tǒng)權(quán)限管理、口令管理等。

　　——使用單位負(fù)責(zé)對(duì)服務(wù)商核心人員的確定和變更進(jìn)行備案。

　　——服務(wù)商人員在為使用單位提供服務(wù)的過(guò)程中，嚴(yán)格遵守使用單位的各項(xiàng)規(guī)定、管理要求，服從使用單位安排。

　　——如因服務(wù)商人員原因，給使用單位或第三方造成人員人身傷害或財(cái)產(chǎn)損失的，服務(wù)商應(yīng)承擔(dān)賠償責(zé)任。

　　——使用單位督促服務(wù)商對(duì)服務(wù)人員開(kāi)展培訓(xùn)及安全教育工作。

　　服務(wù)管理應(yīng)注意：為確保服務(wù)商服務(wù)工作符合約定要求，服務(wù)商應(yīng)滿足但不限于：

　　——服務(wù)商提供齊全進(jìn)場(chǎng)相關(guān)資料（如企業(yè)資質(zhì)、人員資質(zhì)、人員名單、物資資料等），并接受使用單位的審核。

　　——服務(wù)商基本信息發(fā)生變更，如：法人、單位名稱、銀行賬戶等，應(yīng)提前通知使用單位。

　　——按照約定要求服務(wù)商提供各項(xiàng)服務(wù)，保質(zhì)保量完成服務(wù)目標(biāo)；如因服務(wù)商未完成服務(wù)目標(biāo)給使用單位造成損失的，應(yīng)予賠償。

　　——服務(wù)商確保所提供服務(wù)不存在任何侵犯第三方著作權(quán)、商標(biāo)權(quán)、專利權(quán)等合法權(quán)益的情形；服務(wù)商保護(hù)好對(duì)服務(wù)過(guò)程中產(chǎn)生的研究成果及知識(shí)產(chǎn)權(quán)，未經(jīng)使用單位許可，服務(wù)商不得以任何形式向任何第三方轉(zhuǎn)讓權(quán)利義務(wù)。

　　——服務(wù)商提供項(xiàng)目驗(yàn)收和考核的相關(guān)材料，配合使用單位組織開(kāi)展項(xiàng)目結(jié)題驗(yàn)收和考核工作。

　　——使用單位根據(jù)約定的售后服務(wù)內(nèi)容及標(biāo)準(zhǔn)，實(shí)時(shí)跟蹤服務(wù)商售后服務(wù)考核情況，作為后續(xù)服務(wù)商選擇參考。

　　服務(wù)商監(jiān)控需要輸入服務(wù)商日常服務(wù)記錄，安全服務(wù)方案，通過(guò)對(duì)服務(wù)商及其人員在服務(wù)過(guò)程中的行為進(jìn)行有效監(jiān)控，若發(fā)現(xiàn)不合規(guī)行為，限時(shí)保質(zhì)整改，確保服務(wù)商服務(wù)工作持續(xù)、規(guī)范、高效。最終輸出服務(wù)商分析評(píng)價(jià)報(bào)告。

　　在選擇安全服務(wù)商過(guò)程中，需要注意包含但不限于以下注意事項(xiàng)：

　　——使用單位負(fù)責(zé)組織制定服務(wù)評(píng)審標(biāo)準(zhǔn)及辦法，并依據(jù)辦法對(duì)服務(wù)質(zhì)量進(jìn)行評(píng)審；服務(wù)商應(yīng)接受使用單位對(duì)其提供服務(wù)情況進(jìn)行的監(jiān)督和檢查，并應(yīng)及時(shí)按照使用單位要求對(duì)所提供的服務(wù)進(jìn)行改進(jìn)或調(diào)整，使服務(wù)質(zhì)量符合使用單位要求。

　　——使用單位對(duì)服務(wù)商日常工作進(jìn)行指導(dǎo)，當(dāng)發(fā)現(xiàn)服務(wù)商工作中存在問(wèn)題時(shí)，要求服務(wù)商及時(shí)糾正，因服務(wù)商原因（故意或過(guò)失）給使用單位造成損失的，服務(wù)商應(yīng)承擔(dān)全部賠償責(zé)任。

　　——使用單位監(jiān)管項(xiàng)目進(jìn)展情況期間，對(duì)于重大情況服務(wù)商應(yīng)及時(shí)主動(dòng)報(bào)告。

　　——使用單位負(fù)責(zé)對(duì)服務(wù)商人員定期進(jìn)行考核評(píng)價(jià)，考核方式可采用日?？己恕⒓径瓤己撕湍甓瓤己?，也可采用適合使用單位的考核方式；如發(fā)生嚴(yán)重違反合作原則、傷害使用單位利益、影響服務(wù)質(zhì)量等行為，使用單位有權(quán)隨時(shí)向服務(wù)商提出人員撤換要求。

　　——服務(wù)過(guò)程中，服務(wù)商如因正當(dāng)理由需要調(diào)整、變更人員的，應(yīng)提前通知使用單位，做好工作交接，并獲得使用單位同意后方可進(jìn)行。

　　這個(gè)階段工作主要由運(yùn)營(yíng)、使用單位，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等共同完成。

　　第六個(gè)階段：等級(jí)測(cè)評(píng)

　　該階段需要輸入等級(jí)保護(hù)對(duì)象詳細(xì)描述文件、等級(jí)保護(hù)對(duì)象安全保護(hù)等級(jí)定級(jí)報(bào)告、系統(tǒng)驗(yàn)收?qǐng)?bào)告等文件，通過(guò)網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)已經(jīng)完成等級(jí)保護(hù)建設(shè)的等級(jí)保護(hù)對(duì)象定期進(jìn)行等級(jí)測(cè)評(píng)，確保等級(jí)保護(hù)對(duì)象的安全保護(hù)措施符合相應(yīng)等級(jí)的安全要求。最終輸出安全等級(jí)測(cè)評(píng)報(bào)告，整改需求。所以測(cè)評(píng)結(jié)束之后測(cè)評(píng)報(bào)告必不可少，另外安全整改需求也是必須，整改工作也是本文第五階段持續(xù)改進(jìn)所強(qiáng)調(diào)的內(nèi)容。

　　在此階段，網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)有關(guān)等級(jí)保護(hù)對(duì)象安全保護(hù)等級(jí)測(cè)評(píng)的規(guī)范或標(biāo)準(zhǔn)對(duì)等級(jí)保護(hù)對(duì)象開(kāi)展等級(jí)測(cè)評(píng)。運(yùn)營(yíng)、使用單位參考等級(jí)測(cè)評(píng)出具的安全等級(jí)測(cè)評(píng)報(bào)告，分析確定整改需求。

　　這個(gè)階段是現(xiàn)階段所有單位最熟知的一個(gè)階段，也就是很多行業(yè)有硬性指標(biāo)，要求所謂“過(guò)等保”。

　　這個(gè)階段工作主要由主管部門(mén)，運(yùn)營(yíng)、使用單位，網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)機(jī)構(gòu)等共同完成。