1.服务概述
1.1.服务说明
随着云计算的高速增长,越来越多的企业包括金融机构选择将IT基础设施搬到云上,但云上的安全合规性的问题也成为了企业在选择上云时的一大考量。
由于安全规范及云上配置细节繁复,企业较难自行在云上按合规内容建构完善安全合规环境。根据云安全联盟于2021年9 月所推出的《 云上安全风险,合规及错误配置研究报告》里面指出,有多于六成的受访企业认为他们内部没有足够的云上安全及合规的专业知识是导致网络安全事故的主要成因。因此,我们希望能够透过《安全合规咨询与实施服务》去协助不同类型的企业去建构一个既安全,又合规的云上环境,从而提高企业对于云上安全的信心。
本次服务是基于国际安全合规咨询服务的要求,为客户提供相应的咨询和实施服务。
阿里云国际安全合规咨询与实施服务包含6项子服务,客户可以结合自身业务需求进行购买:
阿里云国际安全合规咨询与实施服务(必选,以下2选1)
咨询服务包
咨询及实施服务包
在以上的两个服务分类(咨询服务包和咨询及实施服务包)以下,还会根据监管要求中所列明的控制点数量进行细分,分为简易版,普通版和高级版。
任何未在本SOW中定义的工作或方案均在本项目的范围之外。
2.服务范围
以下服务范围按照2个类别进行分类,分别是阿里云国际安全合规咨询服务包及国际安全合规咨询及实施服务包。另外,在以上的两个服务包(咨询服务包和咨询及实施服务包)的基础上,还会根据监管要求中所列明的控制点数量进行细分,分为简易版,普通版和高级版,不同客户类型可按照不同需求进行交付。
3.前提条件
客户应提前至少15个工作日申请该服务,以便于阿里云评估客户业务目标及时间计划可行,确认是否承接该服务申请。
如客户的申请涉及大批量资源需求,建议客户提前一个月申请,具体视供应链评估情况协商。
客户应及时向乙方提供所有需要的合理的文档、信息、数据、图表以及必要的系统权限、远程访问通道以使乙方可以提供服务。且所有这些资料将受到本协议项下的保密条款的约束。甲方同意向乙方已披露的或将要披露的所有信息是真实、准确并且不会产生误导。
国际安全合规咨询服务包和国际安全合规咨询及实施服务包,乙方的办公地点不受项目约束,服务的提供方式主要以:电话、钉钉、邮件等方式。
国际安全合规咨询服务包和国际安全合规咨询及实施服务包的服务内容并不包括客户云上应用。
本项目交付过程中,实施主体为甲方,乙方主要提供方案设计及技术验证过程中的问题处理,具体的IT治理实施动作需要由甲方进行。
乙方将在正常业务时间,即星期一到星期五的正常业务时间,即北京时间上午 9:00 到下午 6:00(国家法定节假日除外)提供本项目的交付服务。
双方在项目实施期间采用双方同意的通讯方式,由双方的项目经理负责传递本项目所需的书面信息,可选择的通讯方式包括:钉钉,互联网、FAX、电子邮件等。
所有项目交付物为中文/英文,工作语言为中文/英文。所有交付作品采用Microsoft Office(包括PPT,WORD,Excel,Visio)格式,并以电子拷贝方式提交。
甲方与乙方应须按双方事先达成一致的工作计划、人员资源计划与系统确定的工作起止日期投入项目工作。如遇到甲方相关业务系统迭代延期上线,相关项目进度将会产生顺延,乙方对此不承担责任。
如需引入第三方,甲乙双方应分别负责同各自第三方签订合同。乙方不对甲方的其他分包商或厂商(除乙方的分包商外)的行为负责、亦不对由其造成的延迟负责;甲方不对乙方的其他分包商或厂商(除甲方的分包商外)的行为负责、亦不对由其造成的延迟负责。
任何一方均不对本合同项下的特殊、附带、或间接损害或后果性经济损害(包括利润或节省金额损失)负责,即便该方已被告知该等损害赔偿的可能性。
4.分工界面
4.1.客户与阿里云
客户购买国际安全合规咨询与实施服务(咨询服务包+咨询及实施服务包),经过阿里云审核及交流后确认服务成立。
针对该服务期限内,双方商定并确认具体业务目标及范围。
具体分工界面见下图
服务类型 | 阶段 | 任务明细 | 客户 | 阿里云 |
阿里云国际安全合规咨询与实施服务 | 现状调研 | 通过远程信息收集及现场沟通的方式,了解客户目前在阿里云上的业务现状,包括使用的产品及服务,确定客户所面对的安全合规要求及标准条目,并根据企业所在的国家和地区、行业及安全风险等因素,初步明确客户现有环境与相应要求之间的差距。 | A/S/C/I | R/I |
合规要求解读 | 在前期的沟通过程中,若客户针对所要满足的安全合规要求细则存在疑问,例如访问方式、操作记录的合规要求该如何满足,阿里云安全合规团队将逐一进行解答和合规方案说明,协助客户理解相应的安全合规标准。 | A/S/C/I | R/I | |
方案设计 | 基于客户云上现状与相应安全合规要求之间的差距,综合考虑云上使用情况、成本、是否有自建产品等因素,综合为客户设计一套符合云上安全合规要求的解决方案,同时兼顾客户业务的可扩展性及可延续性。 | A/S/C/I | R/I | |
技术验证 | 完成方案设计后,针对方案是否与云上现行业务系统有配置冲突,是否与线下IDC业务系统有冲突,是否影响安全产品的适配性、IT基础架构的可用性等诸多方面,进行技术验证,确保方案的可行性与可落地性。 | A/S/C/I | R/S/C/I | |
方案实施 | 如果客户选购了实施服务,阿里云将协助客户进行方案的配置实施,确认相关配置的修改内容及操作时间,确保操作对线上业务系统无任何不利影响。若方案需延后实施,阿里云会提供所需的部署演示及文档说明。 | A/S/C/I | R/S/C/I | |
交付检测 | 确认方案的交付环境及配置情况,完成环境检测和复查,确保方案实施的效果符合客户预期,实现云上系统实际满足相关安全合规要求。 | A/S/C/I | R/S/C/I |
责任简称:R-Responsible执行人,A-Accountable负责人,C-Consulted征求意见人,I-Informed被告知人,S-Support负责配合
4.1.1.客户
客户指定一名具备合适技能和经验的项目经理作为与阿里云沟通的主要联系人,代表客户直接负责项目实施的计划、协调、监督与控制以及升级问题与风险,同时全权代表客户在本项目的各个方面做出决策。
根据项目情况,由甲方项目经理协调各方资源主导国际安全合规咨询与实施服务调研以及技术验证工作。
项目开始由甲方提供企业内部国际安全合规咨询与实施服务治理相关的资料和规范文档,并明确说明执行要求。
4.1.2.阿里云
指派一名有经验的技术经理执行国际安全合规咨询与实施服务项目管理,并引入、管理乙方项目组人员,与甲方项目经理沟通。
通过现状调研了解客户系统的基本架构、业务使用场景、国际安全合规咨询与实施服务使用现状等信息进行评估。
基于现状调研设计国际安全合规咨询与实施服务方案,协助客户理解国际安全合规咨询服务的要求标准。
配合甲方进行国际安全合规咨询与实施服务方案技术验证,协助解决技术验证过程中遇到的各类问题。
配合甲方发现现有的问题,并协助分析配置变更影响和修复建议。
交付前进行国际安全合规咨询服务检测,并提供相应的问题修复建议。
4.1.3.完工标准
阿里云国际安全合规咨询服务包完工标准
阿里云国际安全合规咨询与实施服务方案设计完成并经过甲方确认,需包含相应的方案设计,方案技术验证。
产出交付物
《国际安全合规咨询服务设计方案》
阿里云国际安全合规咨询及实施服务包完工标准
阿里云国际安全合规咨询服务方案设计完成并经过甲方确认,需包含相应的方案设计,方案技术验证,方案实施,交付前检测和问题修复建议。
产出交付物
《国际安全合规咨询及实施服务设计方案》
《国际安全合规咨询及实施服务实施报告》
《国际安全合规咨询及实施服务验收报告》
4.2.服务目录
服务内容:国际安全合规咨询服务针对客户的业务目标,包含以下服务:
阶段名称 | 服务目录 | 国际安全合规咨询服务包 | 国际安全合规咨询及实施服务包 |
现状调研 | 阿里云业务现状及规划调研 | 支持 | 支持 |
国际安全合规咨询服务合规要求解读 | 支持 | 支持 | |
方案设计 | 国际安全合规咨询服务方案设计 | 支持 | 支持 |
技术验证 | 国际安全合规咨询服务方案技术验证 | 支持 | 支持 |
方案实施 | 国际安全合规咨询服务方案实施 | 支持 | |
交付检测 | 国际安全合规咨询服务交付检测 | 支持 |
另外,在以上的两个服务包 (咨询及实施)的基础上,还会根据监管要求中所列明的控制点数量进行细分,分为简易版,普通版和高级版,包括:
服务目录 | 难易度 | 控制点数量 |
国际安全合规咨询服务包 | 简易 | 10-30 |
普通 | 31-150 | |
高级 | >150 | |
国际安全合规咨询及实施服务包 | 简易 | 10-30 |
普通 | 31-150 | |
高级 | >150 |
5.服务SLA
提供国际安全合规咨询服务。
在服务期间内向客户提供安全合规方案,技术验证支持群以及按需的现场保障。
按对应服务规格提供《国际安全合规咨询服务设计方案》、《国际安全合规咨询及实施服务设计方案》、《国际安全合规咨询及实施服务实施报告》、《国际安全合规咨询及实施服务验收报告》。
6.服务流程
阿里云国际安全合规咨询与实施服务服务流程
7.验收标准
7.1.1.验收分项清单
编号 | 交付阶段 | 交付明细 | 交付物 | 交付物类型 |
1 | 方案设计阶段 | 合规设计方案 | 《国际安全合规咨询服务设计方案》或 《国际安全合规咨询及实施服务设计方案》 | 文档 |
2 | 实施阶段 | 方案实施报告 | 《国际安全合规咨询及实施服务实施报告》 | 文档 |
3 | 验收阶段 | 方案验收文档 | 《国际安全合规咨询及实施服务验收报告》 | 文档 |
7.2.验收标准
乙方项目交付过程中提供阿里云国际安全合规咨询与实施服务咨询,并将关键信息记录在文档内,因此文档类交付成果应着重文档实质内容的验收,确认乙方提交内容符合甲方需求。
若甲方业务流程要求在乙方提交交付成果前需进行各类内部评审,甲方应在约定的验收时点前推动并及时完成其内部所需评审和汇报。
文档内容经过评审会,若需要修改,乙方修改后提请甲方进行验收,由甲方指定的代表进行签收确认。验收在公共云服务系统页面上点击验收确认按钮。
国际安全合规咨询服务包验收标准
《国际安全合规咨询服务设计方案》满足预期
国际安全合规咨询及实施服务包验收标准
《国际安全合规咨询及实施服务设计方案》满足预期
《国际安全合规咨询及实施服务实施报告》满足预期
《国际安全合规咨询及实施服务验收报告》满足预期
7.3.验收计划
根据《7.1验收分项清单》所列示各阶段的交付内容与交付物,本项目将按照以下验收计划进行项目验收,甲方同意根据此验收计划对乙方的交付物进行验收。
国际安全合规咨询服务包验收计划
编号 | 验收里程碑 | 验收内容 | 验收完成标志 |
1 | 《国际安全合规咨询服务设计方案》设计与验证完成 | 《国际安全合规咨询服务设计方案》 | 甲方在线确认验收方案 |
国际安全合规咨询及实施服务包验收计划
编号 | 验收里程碑 | 验收内容 | 验收完成标志 |
1 | 《国际安全合规咨询及实施服务设计方案》设计与验证完成 | 《国际安全合规咨询及实施服务设计方案》 | 甲方在线确认验收方案 |
2 | 《国际安全合规咨询及实施服务实施报告》验证完成 | 《国际安全合规咨询及实施服务实施报告》 | 甲方在线确认验收方案 |
3 | 《国际安全合规咨询及实施服务验收报告》验证完成 | 《国际安全合规咨询及实施服务验收报告》 | 甲方在线确认验收方案 |
8.完成标志
客户验收完成