所以你期望通過審核能夠達到什么標準?該MSPAlliance機構提供了一套的云服務及管理服務提供商統一認證標準(UCS)。該機構在簽發相關 的證書之前,必須考察服務提供商是否遵守了11大控制目標。企業可以以這十一條統一認證標準為控制導向,來選擇云服務供應商。這十一條控制目標如下:
供應商的組織、管理、規劃和風險管理。供應商必須證明他們有一套正規的管理結構和組織結構圖、風險評估策略,可供第三方服務提供商和供應商進行形式化的過程分析,以及相關的組織管理結構,以便有適當的職責分離。
成文的政策和程序。供應商必須提供他們的成文的政策和程序,并每年進行一次的審查和更新。員工必須要充分理解和堅持的公司制定的相關政策和程序,同時,新員工必須經過正規的培訓、教育,通過相關統一標準的測試。
服務變更管理。供應商必須有服務變更管理文檔以便進行變更控制。MSPAlliance建議的文件包括,容量規劃,并修改供應商和客戶端的配置。認證也需要客戶必須基于服務供應商的相關變化管理政策進行相關策略的變更。
事件管理。供應商必須有足夠的獲得網絡運營中心(NOC)配備的訓練有素的工作人員,進行必要的監測和管理,以便識別和解決供應商和客戶之間的服務 級別協議(SLA)所涵蓋的相關問題或事件。此外,供應商必須能夠提供一個問題管理系統,包括幫助服務臺和監控/管理系統集成的票務平臺。此外,該供應商 必須能夠證明他們定期進行事件報告的內部審查。
邏輯安全。用戶訪問供應商和客戶的信息系統和數據的權限必須在相關政策和程序的基礎上被授予,重新分配或終止權限的員工必須基于相關成文的政策和程 序撤銷自己的訪問。供應商必須顯示文檔以便控制用戶認證信息系統和數據,包括密碼策略和上層管理審查。該控制存在內部和遠程訪問。此外,供應商必須有書面 的管理員身份證政策,以及對供應商和第三方準入政策的記載和主題的管理審查。這也適用于物理訪問操作和數據中心以及信息系統和數據。此外,供應商必須有第 三方評估的供應商或客戶信息系統。
變更管理。認證要求供應商證明他們必須有正式的程序變化管理政策和變更管理信息系統,包括一個正式的處理請求、記錄、批準、測試和驗收變化。供應商還必須顯示他們的緊急變化具有正式的審查流程。
數據的完整性。供應商必須證明它有足夠的信息安全政策和程序,運行有效。每年都必須有嚴格的政策和程序審查,批準更新,并傳達給供應商的全體員工。這包括數據備份保留策略。
物理和環境安全。供應商必須有物理訪問IT資產的明文政策規定,包括來訪的客人日志適用設施。還必須在每一太設備都顯示安全控制,包括鑰匙卡、閉路 電視、現場安全和其他有效的安全控制。供應商必須顯示供應商的終端員工訪問客戶設備的記錄控制文檔。顯示物理訪問共同硬件設備的記錄,必須執行每個設施的 安全評估,包括跟蹤和解決任何問題的所確定的評估。此外,該網絡運營中心和數據中心必須采用環境維護、保養和測試維護合同以保護其免受破壞性事件損害。網 絡運營中心必須擁有有效的連接和電源冗余,包括災難恢復記錄/業務連續性計劃。
服務水平協議。供應商必須與客戶簽署服務水平協議(SLA),并能夠跟蹤和監控他們為客戶提供的服務。控制還必須包括在供應商的系統內跟蹤修改客戶端的安裝設置。
客戶報告,計費賬單和滿意度。供應商必須能夠提供業績報告,依照與客戶簽署的協議提供相關的計費發票。
財務狀況。供應商必須顯示其穩定的、健康的財務狀況,至少前六個月的是盈利的,或者即使沒有盈利也必須有足夠的資本來證明其穩定。其必須有足夠的收入來自多個客戶。
京公網安備 11010502049343號