國際安全合規諮詢與實施服務

1.服務概述

1.1.服務說明

隨著雲端運算的高速增長，越來越多的企業包括金融機構選擇將IT基礎設施搬到雲上，但云上的安全合規性的問題也成為了企業在選擇上雲時的一大考量。

由於安全規範及雲上配置細節繁複，企業較難自行在雲上按合規內容建構完善安全合規環境。根據云安全聯盟於2021年9 月所推出的《 雲上安全風險，合規及錯誤配置研究報告》裡面指出，有多於六成的受訪企業認為他們內部沒有足夠的雲上安全及合規的專業知識是導致網路安全事故的主要成因。因此，我們希望能夠透過《安全合規諮詢與實施服務》去協助不同類型的企業去建構一個既安全，又合規的雲上環境，從而提高企業對於雲上安全的信心。

本次服務是基於國際安全合規諮詢服務的要求，為客戶提供相應的諮詢和實施服務。

阿里雲國際安全合規諮詢與實施服務包含6項子服務，客戶可以結合自身業務需求進行購買：

• 阿里雲國際安全合規諮詢與實施服務（必選，以下2選1）

  • 諮詢服務包

  • 諮詢及實施服務包

    • 在以上的兩個服務分類（諮詢服務包和諮詢及實施服務包）以下，還會根據監管要求中所列明的控制點數量進行細分，分為簡易版，普通版和進階版。

任何未在本SOW中定義的工作或方案均在本專案的範圍之外。

2.服務涵蓋範圍

以下服務涵蓋範圍按照2個類別進行分類，分別是阿里雲國際安全合規諮詢服務包及國際安全合規諮詢及實施服務包。另外，在以上的兩個服務包（諮詢服務包和諮詢及實施服務包）的基礎上，還會根據監管要求中所列明的控制點數量進行細分，分為簡易版，普通版和進階版，不同客戶類型可按照不同需求進行交付。

3.前提條件

• 客戶應提前至少15個工作日申請該服務，以便於阿里雲評估客戶營運目標及時間計劃可行，確認是否承接該服務申請。

• 如客戶的申請涉及大批量資源需求，建議客戶提前一個月申請，具體視供應鏈評估情況協商。

• 客戶應及時向乙方提供所有需要的合理的文檔、資訊、資料、圖表以及必要的系統許可權、遠端存取通道以使乙方可以提供服務。且所有這些資料將受到本協議項下的保密條款的約束。甲方同意向乙方已披露的或將要披露的所有資訊是真實、準確並且不會產生誤導。

• 國際安全合規諮詢服務包和國際安全合規諮詢及實施服務包，乙方的辦公地點不受專案約束，服務的提供方式主要以：電話、DingTalk、郵件等方式。

• 國際安全合規諮詢服務包和國際安全合規諮詢及實施服務包的服務內容並不包括客戶雲上應用。

• 本專案交付過程中，實施主體為甲方，乙方主要提供方案設計及技術驗證過程中的問題處理，具體的IT治理實施動作需要由甲方進行。

• 乙方將在正常業務時間，即星期一到星期五的正常業務時間，即北京時間上午 9:00 到下午 6:00（國家法定節假日除外）提供本專案的交付服務。

• 雙方在專案實施期間採用雙方同意的通訊方式，由雙方的專案經理負責傳遞本專案所需的書面資訊，可選擇的通訊方式包括：DingTalk，互連網、FAX、電子郵件等。

• 所有專案交付物為中文/英文，工作語言為中文/英文。所有交付作品採用Microsoft Office（包括PPT，WORD，Excel，Visio）格式，並以電子拷貝方式提交。

• 甲方與乙方應須按雙方事先達成一致的工作計劃、人員資源計劃與系統確定的工作起止日期投入專案工作。如遇到甲方相關業務系統迭代延期上線，相關項目進度將會產生順延，乙方對此不承擔責任。

• 如需引入第三方，甲乙雙方應分別負責同各自第三方簽訂合約。乙方不對甲方的其他分包商或廠商（除乙方的分包商外）的行為負責、亦不對由其造成的延遲負責；甲方不對乙方的其他分包商或廠商（除甲方的分包商外）的行為負責、亦不對由其造成的延遲負責。

• 任何一方均不對本合約項下的特殊、附帶、或間接損害或後果性經濟損害（包括利潤或節省金額損失）負責，即便該方已被告知該等損害賠償的可能性。

4.分工介面

4.1.客戶與阿里雲

• 客戶購買國際安全合規諮詢與實施服務（諮詢服務包+諮詢及實施服務包），經過阿里雲審核及交流後確認服務成立。

• 針對該服務期限內，雙方商定並確認具體營運目標及範圍。

• 具體分工介面見下圖

責任簡稱：R-Responsible執行人，A-Accountable負責人，C-Consulted徵求意見人，I-Informed被告知人，S-Support負責配合

4.1.1.客戶

• 客戶指定一名具備合適技能和經驗的專案經理作為與阿里雲溝通的主要連絡人，代表客戶直接負責專案實施的計劃、協調、監督與控制以及升級問題與風險，同時全權代表客戶在本專案的各個方面做出決策。

• 根據專案情況，由甲方專案經理協調各方資源主導國際安全合規諮詢與實施服務調研以及技術驗證工作。

• 專案開始由甲方提供企業內部國際安全合規諮詢與實施服務治理相關的資料和規範文檔，並明確說明執行要求。

4.1.2.阿里雲

• 指派一名有經驗的技術經理執行國際安全合規諮詢與實施服務專案管理，並引入、管理乙方專案組人員，與甲方專案經理溝通。

• 通過現狀調研瞭解客戶系統的基本架構、業務使用情境、國際安全合規諮詢與實施服務使用現狀等資訊進行評估。

• 基於現狀調研設計國際安全合規諮詢與實施服務方案，協助客戶理解國際安全合規諮詢服務的要求標準。

• 配合甲方進行國際安全合規諮詢與實施服務方案技術驗證，協助解決技術驗證過程中遇到的各類問題。

• 配合甲方發現現有的問題，並協助分析配置變更影響和修複建議。

• 交付前進行國際安全合規諮詢服務檢測，並提供相應的問題修複建議。

4.1.3.完工標準

• 阿里雲國際安全合規諮詢服務包完工標準

  • 阿里雲國際安全合規諮詢與實施服務方案設計完成並經過甲方確認，需包含相應的方案設計，方案技術驗證。

  • 產出交付物

    • 《國際安全合規諮詢服務設計方案》

• 阿里雲國際安全合規諮詢及實施服務包完工標準

  • 阿里雲國際安全合規諮詢服務方案設計完成並經過甲方確認，需包含相應的方案設計，方案技術驗證，方案實施，交付前檢測和問題修複建議。

  • 產出交付物

    • 《國際安全合規諮詢及實施服務設計方案》

    • 《國際安全合規諮詢及實施服務實施報告》

    • 《國際安全合規諮詢及實施服務驗收報告》

4.2.服務類別目錄

服務內容：國際安全合規諮詢服務針對客戶的營運目標，包含以下服務：

另外，在以上的兩個服務包 （諮詢及實施）的基礎上，還會根據監管要求中所列明的控制點數量進行細分，分為簡易版，普通版和進階版，包括：

5.服務SLA

• 提供國際安全合規諮詢服務。

• 在服務期間內向客戶提供安全合規方案，技術驗證支援群以及按需的現場保障。

• 按對應服務規格提供《國際安全合規諮詢服務設計方案》、《國際安全合規諮詢及實施服務設計方案》、《國際安全合規諮詢及實施服務實施報告》、《國際安全合規諮詢及實施服務驗收報告》。

6.服務流程

阿里雲國際安全合規諮詢與實施服務服務流程

7.驗收標準

7.1.1.驗收分項清單

7.2.驗收標準

• 乙方專案交付過程中提供阿里雲國際安全合規諮詢與實施服務諮詢，並將關鍵資訊記錄在文檔內，因此文檔類交付成果應著重文檔實質內容的驗收，確認乙方提交內容符合甲方需求。

• 若甲方商務程序要求在乙方提交交付成果前需進行各類內部評審，甲方應在約定的驗收時點前推動並及時完成其內部所需評審和彙報。

• 文檔內容經過評審會，若需要修改，乙方修改後提請甲方進行驗收，由甲方指定的代表進行簽收確認。驗收在公用雲端服務系統頁面上點擊驗收確認按鈕。

• 國際安全合規諮詢服務包驗收標準

  • 《國際安全合規諮詢服務設計方案》滿足預期

• 國際安全合規諮詢及實施服務包驗收標準

  • 《國際安全合規諮詢及實施服務設計方案》滿足預期

  • 《國際安全合規諮詢及實施服務實施報告》滿足預期

  • 《國際安全合規諮詢及實施服務驗收報告》滿足預期

7.3.驗收計劃

根據《7.1驗收分項清單》所列示各階段的交付內容與交付物，本專案將按照以下驗收計划進行專案驗收，甲方同意根據此驗收計劃對乙方的交付物進行驗收。

國際安全合規諮詢服務包驗收計劃

國際安全合規諮詢及實施服務包驗收計劃

8.完成標誌

客戶驗收完成