1.服務概述
1.1.服務說明
隨著雲端運算的高速增長,越來越多的企業包括金融機構選擇將IT基礎設施搬到雲上,但云上的安全合規性的問題也成為了企業在選擇上雲時的一大考量。
由於安全規範及雲上配置細節繁複,企業較難自行在雲上按合規內容建構完善安全合規環境。根據云安全聯盟於2021年9 月所推出的《 雲上安全風險,合規及錯誤配置研究報告》裡面指出,有多於六成的受訪企業認為他們內部沒有足夠的雲上安全及合規的專業知識是導致網路安全事故的主要成因。因此,我們希望能夠透過《安全合規諮詢與實施服務》去協助不同類型的企業去建構一個既安全,又合規的雲上環境,從而提高企業對於雲上安全的信心。
本次服務是基於國際安全合規諮詢服務的要求,為客戶提供相應的諮詢和實施服務。
阿里雲國際安全合規諮詢與實施服務包含6項子服務,客戶可以結合自身業務需求進行購買:
阿里雲國際安全合規諮詢與實施服務(必選,以下2選1)
諮詢服務包
諮詢及實施服務包
在以上的兩個服務分類(諮詢服務包和諮詢及實施服務包)以下,還會根據監管要求中所列明的控制點數量進行細分,分為簡易版,普通版和進階版。
任何未在本SOW中定義的工作或方案均在本專案的範圍之外。
2.服務涵蓋範圍
以下服務涵蓋範圍按照2個類別進行分類,分別是阿里雲國際安全合規諮詢服務包及國際安全合規諮詢及實施服務包。另外,在以上的兩個服務包(諮詢服務包和諮詢及實施服務包)的基礎上,還會根據監管要求中所列明的控制點數量進行細分,分為簡易版,普通版和進階版,不同客戶類型可按照不同需求進行交付。
3.前提條件
客戶應提前至少15個工作日申請該服務,以便於阿里雲評估客戶營運目標及時間計劃可行,確認是否承接該服務申請。
如客戶的申請涉及大批量資源需求,建議客戶提前一個月申請,具體視供應鏈評估情況協商。
客戶應及時向乙方提供所有需要的合理的文檔、資訊、資料、圖表以及必要的系統許可權、遠端存取通道以使乙方可以提供服務。且所有這些資料將受到本協議項下的保密條款的約束。甲方同意向乙方已披露的或將要披露的所有資訊是真實、準確並且不會產生誤導。
國際安全合規諮詢服務包和國際安全合規諮詢及實施服務包,乙方的辦公地點不受專案約束,服務的提供方式主要以:電話、DingTalk、郵件等方式。
國際安全合規諮詢服務包和國際安全合規諮詢及實施服務包的服務內容並不包括客戶雲上應用。
本專案交付過程中,實施主體為甲方,乙方主要提供方案設計及技術驗證過程中的問題處理,具體的IT治理實施動作需要由甲方進行。
乙方將在正常業務時間,即星期一到星期五的正常業務時間,即北京時間上午 9:00 到下午 6:00(國家法定節假日除外)提供本專案的交付服務。
雙方在專案實施期間採用雙方同意的通訊方式,由雙方的專案經理負責傳遞本專案所需的書面資訊,可選擇的通訊方式包括:DingTalk,互連網、FAX、電子郵件等。
所有專案交付物為中文/英文,工作語言為中文/英文。所有交付作品採用Microsoft Office(包括PPT,WORD,Excel,Visio)格式,並以電子拷貝方式提交。
甲方與乙方應須按雙方事先達成一致的工作計劃、人員資源計劃與系統確定的工作起止日期投入專案工作。如遇到甲方相關業務系統迭代延期上線,相關項目進度將會產生順延,乙方對此不承擔責任。
如需引入第三方,甲乙雙方應分別負責同各自第三方簽訂合約。乙方不對甲方的其他分包商或廠商(除乙方的分包商外)的行為負責、亦不對由其造成的延遲負責;甲方不對乙方的其他分包商或廠商(除甲方的分包商外)的行為負責、亦不對由其造成的延遲負責。
任何一方均不對本合約項下的特殊、附帶、或間接損害或後果性經濟損害(包括利潤或節省金額損失)負責,即便該方已被告知該等損害賠償的可能性。
4.分工介面
4.1.客戶與阿里雲
客戶購買國際安全合規諮詢與實施服務(諮詢服務包+諮詢及實施服務包),經過阿里雲審核及交流後確認服務成立。
針對該服務期限內,雙方商定並確認具體營運目標及範圍。
具體分工介面見下圖
服務類型 | 階段 | 任務明細 | 客戶 | 阿里雲 |
阿里雲國際安全合規諮詢與實施服務 | 現狀調研 | 通過遠程資訊收集及現場溝通的方式,瞭解客戶目前在阿里雲上的業務現狀,包括使用的產品及服務,確定客戶所面對的安全合規要求及標準條目,並根據企業所在的國家和地區、行業及安全風險等因素,初步明確客戶現有環境與相應要求之間的差距。 | A/S/C/I | R/I |
合規要求解讀 | 在前期的溝通過程中,若客戶針對所要滿足的安全合規要求細則存在疑問,例如訪問方式、操作記錄的合規要求該如何滿足,阿里雲安全合規團隊將逐一進行解答和合規方案說明,協助客戶理解相應的安全合規標準。 | A/S/C/I | R/I | |
方案設計 | 基於客戶雲上現狀與相應安全合規要求之間的差距,綜合考慮雲上使用方式、成本、是否有自建產品等因素,綜合為客戶設計一套符合雲上安全合規要求的解決方案,同時兼顧客戶業務的可擴充性及可延續性。 | A/S/C/I | R/I | |
技術驗證 | 完成方案設計後,針對方案是否與雲上現行業務系統有配置衝突,是否與線下IDC業務系統有衝突,是否影響安全產品的適配性、IT基礎架構的可用性等諸多方面,進行技術驗證,確保方案的可行性與可落地性。 | A/S/C/I | R/S/C/I | |
方案實施 | 如果客戶選購了實施服務,阿里雲將協助客戶進行方案的配置實施,確認相關配置的修改內容及操作時間,確保操作對線上業務系統無任何不利影響。若方案需延後實施,阿里雲會提供所需的部署示範及文檔說明。 | A/S/C/I | R/S/C/I | |
交付檢測 | 確認方案的交付環境及配置情況,完成環境檢測和複查,確保方案實施的效果符合客戶預期,實現雲上系統實際滿足相關安全合規要求。 | A/S/C/I | R/S/C/I |
責任簡稱:R-Responsible執行人,A-Accountable負責人,C-Consulted徵求意見人,I-Informed被告知人,S-Support負責配合
4.1.1.客戶
客戶指定一名具備合適技能和經驗的專案經理作為與阿里雲溝通的主要連絡人,代表客戶直接負責專案實施的計劃、協調、監督與控制以及升級問題與風險,同時全權代表客戶在本專案的各個方面做出決策。
根據專案情況,由甲方專案經理協調各方資源主導國際安全合規諮詢與實施服務調研以及技術驗證工作。
專案開始由甲方提供企業內部國際安全合規諮詢與實施服務治理相關的資料和規範文檔,並明確說明執行要求。
4.1.2.阿里雲
指派一名有經驗的技術經理執行國際安全合規諮詢與實施服務專案管理,並引入、管理乙方專案組人員,與甲方專案經理溝通。
通過現狀調研瞭解客戶系統的基本架構、業務使用情境、國際安全合規諮詢與實施服務使用現狀等資訊進行評估。
基於現狀調研設計國際安全合規諮詢與實施服務方案,協助客戶理解國際安全合規諮詢服務的要求標準。
配合甲方進行國際安全合規諮詢與實施服務方案技術驗證,協助解決技術驗證過程中遇到的各類問題。
配合甲方發現現有的問題,並協助分析配置變更影響和修複建議。
交付前進行國際安全合規諮詢服務檢測,並提供相應的問題修複建議。
4.1.3.完工標準
阿里雲國際安全合規諮詢服務包完工標準
阿里雲國際安全合規諮詢與實施服務方案設計完成並經過甲方確認,需包含相應的方案設計,方案技術驗證。
產出交付物
《國際安全合規諮詢服務設計方案》
阿里雲國際安全合規諮詢及實施服務包完工標準
阿里雲國際安全合規諮詢服務方案設計完成並經過甲方確認,需包含相應的方案設計,方案技術驗證,方案實施,交付前檢測和問題修複建議。
產出交付物
《國際安全合規諮詢及實施服務設計方案》
《國際安全合規諮詢及實施服務實施報告》
《國際安全合規諮詢及實施服務驗收報告》
4.2.服務類別目錄
服務內容:國際安全合規諮詢服務針對客戶的營運目標,包含以下服務:
階段名稱 | 服務類別目錄 | 國際安全合規諮詢服務包 | 國際安全合規諮詢及實施服務包 |
現狀調研 | 阿里雲業務現狀及規劃調研 | 支援 | 支援 |
國際安全合規諮詢服務合規要求解讀 | 支援 | 支援 | |
方案設計 | 國際安全合規諮詢服務方案設計 | 支援 | 支援 |
技術驗證 | 國際安全合規諮詢服務方案技術驗證 | 支援 | 支援 |
方案實施 | 國際安全合規諮詢服務方案實施 | 支援 | |
交付檢測 | 國際安全合規諮詢服務交付檢測 | 支援 |
另外,在以上的兩個服務包 (諮詢及實施)的基礎上,還會根據監管要求中所列明的控制點數量進行細分,分為簡易版,普通版和進階版,包括:
服務類別目錄 | 難易度 | 控制點數量 |
國際安全合規諮詢服務包 | 簡易 | 10-30 |
普通 | 31-150 | |
進階 | >150 | |
國際安全合規諮詢及實施服務包 | 簡易 | 10-30 |
普通 | 31-150 | |
進階 | >150 |
5.服務SLA
提供國際安全合規諮詢服務。
在服務期間內向客戶提供安全合規方案,技術驗證支援群以及按需的現場保障。
按對應服務規格提供《國際安全合規諮詢服務設計方案》、《國際安全合規諮詢及實施服務設計方案》、《國際安全合規諮詢及實施服務實施報告》、《國際安全合規諮詢及實施服務驗收報告》。
6.服務流程
阿里雲國際安全合規諮詢與實施服務服務流程
7.驗收標準
7.1.1.驗收分項清單
編號 | 交付階段 | 交付明細 | 交付物 | 交付物類型 |
1 | 方案設計階段 | 合規設計方案 | 《國際安全合規諮詢服務設計方案》或 《國際安全合規諮詢及實施服務設計方案》 | 文檔 |
2 | 實施階段 | 方案實施報告 | 《國際安全合規諮詢及實施服務實施報告》 | 文檔 |
3 | 驗收階段 | 方案驗收文檔 | 《國際安全合規諮詢及實施服務驗收報告》 | 文檔 |
7.2.驗收標準
乙方專案交付過程中提供阿里雲國際安全合規諮詢與實施服務諮詢,並將關鍵資訊記錄在文檔內,因此文檔類交付成果應著重文檔實質內容的驗收,確認乙方提交內容符合甲方需求。
若甲方商務程序要求在乙方提交交付成果前需進行各類內部評審,甲方應在約定的驗收時點前推動並及時完成其內部所需評審和彙報。
文檔內容經過評審會,若需要修改,乙方修改後提請甲方進行驗收,由甲方指定的代表進行簽收確認。驗收在公用雲端服務系統頁面上點擊驗收確認按鈕。
國際安全合規諮詢服務包驗收標準
《國際安全合規諮詢服務設計方案》滿足預期
國際安全合規諮詢及實施服務包驗收標準
《國際安全合規諮詢及實施服務設計方案》滿足預期
《國際安全合規諮詢及實施服務實施報告》滿足預期
《國際安全合規諮詢及實施服務驗收報告》滿足預期
7.3.驗收計劃
根據《7.1驗收分項清單》所列示各階段的交付內容與交付物,本專案將按照以下驗收計划進行專案驗收,甲方同意根據此驗收計劃對乙方的交付物進行驗收。
國際安全合規諮詢服務包驗收計劃
編號 | 驗收裡程碑 | 驗收內容 | 驗收完成標誌 |
1 | 《國際安全合規諮詢服務設計方案》設計與驗證完成 | 《國際安全合規諮詢服務設計方案》 | 甲方線上確認驗收方案 |
國際安全合規諮詢及實施服務包驗收計劃
編號 | 驗收裡程碑 | 驗收內容 | 驗收完成標誌 |
1 | 《國際安全合規諮詢及實施服務設計方案》設計與驗證完成 | 《國際安全合規諮詢及實施服務設計方案》 | 甲方線上確認驗收方案 |
2 | 《國際安全合規諮詢及實施服務實施報告》驗證完成 | 《國際安全合規諮詢及實施服務實施報告》 | 甲方線上確認驗收方案 |
3 | 《國際安全合規諮詢及實施服務驗收報告》驗證完成 | 《國際安全合規諮詢及實施服務驗收報告》 | 甲方線上確認驗收方案 |
8.完成標誌
客戶驗收完成