39、信息安全外包運(yùn)維管理制度

信息安全外包運(yùn)維治理制度第一章總則第一條為標(biāo)準(zhǔn)XXX單位信息安全外包效勞工作，確保我單位網(wǎng)絡(luò)與信息系統(tǒng)安全、穩(wěn)定運(yùn)行，保證我單位的信息安全，降低信息安全效勞外包引發(fā)的風(fēng)險(xiǎn)，特制定本制度。其次條本制度適用XXX單位信息安全外包效勞治理。其次章術(shù)語(yǔ)和定義第三條外包效勞治理單位:XXX單位屬于外包治理單位，是信息安全效勞的治理和執(zhí)行單位，督查處是外包效勞治理的具體執(zhí)行部門。第四條外包效勞廠商:為XXX單位供給效勞的軟件開(kāi)發(fā)商、產(chǎn)品供給商、系統(tǒng)集成商、設(shè)備維護(hù)商和安全效勞供給商等。第五條信息安全外包效勞:信息化根底設(shè)施的安裝、配置、運(yùn)行維護(hù)及單位信息化的安全效勞。第三章外包效勞合同治理要求第六條網(wǎng)絡(luò)與信息系統(tǒng)外包治理單位在實(shí)施外包效勞立項(xiàng)前，與效勞供給商簽訂的效勞合同應(yīng)依據(jù)外包效勞需求、風(fēng)險(xiǎn)評(píng)估和資質(zhì)審查結(jié)果確定其具體程度和重點(diǎn)。在外包合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容，包括不限于：a）效勞范圍、效勞內(nèi)容、工作時(shí)限及安排、責(zé)任安排、交付物要求以及后續(xù)合作中的相關(guān)限定條件；b）合規(guī)與內(nèi)控要求，對(duì)法律法規(guī)及政府行業(yè)內(nèi)部治理制度的遵從要求，監(jiān)管1雌的通報(bào)貫徹機(jī)制、效別提合商的內(nèi)才智昔施；c）效勞連續(xù)性要求，效勞供給商的業(yè)務(wù)連續(xù)性治理目標(biāo)應(yīng)當(dāng)滿足XXX單位業(yè)務(wù)連續(xù)性目標(biāo)要求；d）政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件，外包效勞供給商在過(guò)渡期間應(yīng)當(dāng)履行的主要職責(zé)及合同變更或終止的過(guò)渡安排，包括信息、資料和實(shí)施的交接處置等過(guò)渡期間相關(guān)效勞的安排；e）外包效勞過(guò)程中產(chǎn)生、加工、交互的信息和學(xué)問(wèn)產(chǎn)權(quán)的歸屬權(quán)，允許效勞供給商使用的內(nèi)容及范圍，對(duì)效勞供給商使用合法軟、硬件產(chǎn)品的要求；f）效勞要求或效勞水平條款，至少包括如下內(nèi)容：外包效勞的關(guān)鍵要素、效勞時(shí)效和可用性、數(shù)據(jù)的機(jī)密性和完整性要求、變更的掌握、安全標(biāo)準(zhǔn)及業(yè)務(wù)連續(xù)性要求遵守的狀況、技術(shù)支持水公平。第七條網(wǎng)絡(luò)與信息系統(tǒng)外包治理單位應(yīng)當(dāng)在合同或協(xié)議中明確效勞供給商在安全和保密方面的責(zé)任，以及針對(duì)安全及保密要求所實(shí)行的具體措施，包括不限于：a）制止效勞供給商在合同范圍內(nèi)使用或者披露XXX單位相關(guān)信息系統(tǒng)信息，以防止信息被非授權(quán)使用；b）在合同或協(xié)議中商定效勞供給商不得以XXX單位的名義開(kāi)放活動(dòng);c）效勞供給商在其發(fā)生信息安全大事時(shí)必需準(zhǔn)時(shí)向XXX單位信息治理部門報(bào)告大事的影響以及處置和訂正措施。第四章外包效勞安全治理第八條網(wǎng)絡(luò)與信息系統(tǒng)外包治理單位應(yīng)制定和落實(shí)信息安全管控措施，防范因外包活動(dòng)引起的信息泄露、信息篡改、信息不行用、非法入侵、物理環(huán)境或設(shè)施患病破壞等風(fēng)險(xiǎn)，具體措施包括：a）對(duì)外包人員進(jìn)展信息安全意識(shí)培訓(xùn)，提高風(fēng)險(xiǎn)治理意識(shí)，確保信息安全管控措施在外包效勞過(guò)程中有效落實(shí)。b）對(duì)外包人員的治理依據(jù)相關(guān)信息系統(tǒng)第三方人員安全治理規(guī)定執(zhí)行。c）明確外包活動(dòng)需要使用的信息資產(chǎn)，包括場(chǎng)地、辦公設(shè)施、計(jì)算機(jī)、效勞器、軟件、婁攵據(jù)、信息、物理訪問(wèn)掌握設(shè)備、賬號(hào)、網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)端口等，按〃最小使用〃原則進(jìn)展隔離，經(jīng)審批后進(jìn)展〃最小授權(quán)〃。d）對(duì)重要或核心的信息系統(tǒng)開(kāi)發(fā)交付物進(jìn)展源代碼檢查和安全掃描。e）定期對(duì)效勞供給商進(jìn)展安全檢查、獵取效勞供給商自評(píng)估或第三方評(píng)估報(bào)告。第五章外包效勞監(jiān)控與評(píng)價(jià)第九條網(wǎng)絡(luò)與信息系統(tǒng)外包治理單位應(yīng)當(dāng)對(duì)外包效勞進(jìn)展持續(xù)監(jiān)控，要求效勞供給商建立階段，皎勞目標(biāo)及任務(wù)，并跟蹤任務(wù)的執(zhí)行狀況，準(zhǔn)時(shí)覺(jué)察和訂正效勞過(guò)程中存在的各類特別狀況。信息系統(tǒng)外包治理單位應(yīng)當(dāng)依據(jù)XXX單位信息安全的外包需求、合同、效勞水平協(xié)議等建立明確的效勞監(jiān)控指標(biāo)，并進(jìn)展相應(yīng)的監(jiān)控，常見(jiàn)指標(biāo)包含但不限于以下內(nèi)容：a）網(wǎng)絡(luò)與信息系統(tǒng)和根底設(shè)施的可利用率、設(shè)備的開(kāi)機(jī)率；b）故障次數(shù)、故障解決率、故障響應(yīng)時(shí)間；c）效勞次數(shù)和外包系統(tǒng)使用滿足度；d）各階E她務(wù)需求的準(zhǔn)時(shí)完癖、程序的缺陷數(shù)、需求變更率；e）外包人員考核的合格率。第十條網(wǎng)絡(luò)與信息系統(tǒng)外包治理單位每年對(duì)外包效勞廠商及人員的年度目標(biāo)完成狀況、效勞水平、效勞質(zhì)量、用戶滿足度、是否符合合同及質(zhì)量標(biāo)準(zhǔn)等各方面進(jìn)展年度綜合考核和評(píng)估。第六章外包效勞的中斷與終止第十一條網(wǎng)絡(luò)與信息系統(tǒng)外包治理單位應(yīng)當(dāng)考慮信息安全外包引入對(duì)業(yè)務(wù)連續(xù)性治理的影響，有針對(duì)性的完善業(yè)務(wù)連續(xù)性治理打算，包括但不限于：a）識(shí)別出重要業(yè)務(wù)所涉及的效勞供給商和資源；b）通過(guò)合同協(xié)議等形式明確要求效勞供給商需提前預(yù)備并維護(hù)好相關(guān)資源；c）對(duì)效勞供給商的業(yè)務(wù)連續(xù)性治理進(jìn)展監(jiān)控，并評(píng)價(jià)其治理水平；d）在進(jìn)展業(yè)務(wù)連續(xù)性打算演練時(shí)將相關(guān)的效勞供給商納入演練范圍。第十二條網(wǎng)絡(luò)與信息系統(tǒng)外包治理單位應(yīng)當(dāng)針對(duì)重要外包效勞中斷的場(chǎng)景，擬定相應(yīng)的應(yīng)急打算，并定期進(jìn)展演練，應(yīng)考慮的因素包括但不限于以下內(nèi)容：a）大事場(chǎng)景，如重要人員流失導(dǎo)致效勞無(wú)法持續(xù)，效勞供給商主動(dòng)退出，因資質(zhì)變更、被收購(gòu)、兼并或破產(chǎn)等緣由導(dǎo)致的效勞供給商被動(dòng)退出等；b）大事持續(xù)時(shí)間和恢復(fù)可能性；c）大事影響范圍和可能的應(yīng)急措施；d）效勞供給商自行恢復(fù)效勞的可能性和時(shí)間；e）備選的效勞供給商以及外包效勞遷徙方案；f）外包效勞過(guò)濾給XXX單位自行運(yùn)作的可能性、時(shí)效及資源需求。第十三條對(duì)于無(wú)法滿足外包效勞要求或發(fā)生重大大事的狀況,網(wǎng)絡(luò)與信息系統(tǒng)外包治理單位應(yīng)當(dāng)在充分評(píng)估其影響及制定退出計(jì)劃的前提下，考慮主動(dòng)要求效勞供給商終止效勞，情節(jié)特別嚴(yán)峻的,消準(zhǔn)入資質(zhì)。第七章第三方人員治理第十四條為加強(qiáng)與信息安全公司、產(chǎn)品供給商、業(yè)界專家、安全組織的溝通與合作或應(yīng)急響應(yīng)，應(yīng)建立具體的外聯(lián)單位聯(lián)系表〔內(nèi)容至少包括外聯(lián)單位的名稱、聯(lián)系人、地址、聯(lián)系方式等〕。第十五條第三方人員對(duì)敏感信息資產(chǎn)進(jìn)展訪問(wèn)前，必需簽訂正式的合同及保密協(xié)議；在合同和保密協(xié)議中明確第三方人員的安全責(zé)任、必需遵守的安全要求以及違反要求的懲罰等條款，對(duì)其允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)有明確的規(guī)定。第十六條需要訪問(wèn)信息系統(tǒng)的第三方人員必需得到有關(guān)部門和領(lǐng)導(dǎo)的許可、授權(quán)，其訪問(wèn)權(quán)限必需得到嚴(yán)格的限制。第三方人員使用的工具需經(jīng)過(guò)相關(guān)部門的安全檢查。檢查是否存在木馬、漏洞，是否更最補(bǔ)丁等。第十七條與第三方人員共同協(xié)定現(xiàn)場(chǎng)工作標(biāo)準(zhǔn)并依據(jù)既定標(biāo)準(zhǔn)實(shí)施治理、落實(shí)運(yùn)維人員或終端責(zé)任人全程伴隨的策略以降低風(fēng)險(xiǎn)。第十八條第三方人員如需接入網(wǎng)絡(luò)，應(yīng)對(duì)其入網(wǎng)信息進(jìn)展登記記錄，入網(wǎng)登記記錄應(yīng)包含以下內(nèi)容：IP地址、MAC地址、接入交換機(jī)端口、物理位置、使用人信息等文檔資料。第十九條第三方人員進(jìn)入機(jī)房需進(jìn)展審批，審批記錄應(yīng)包含以下內(nèi)容：第三方人員進(jìn)入時(shí)間、離開(kāi)時(shí)間、工作內(nèi)容、工作權(quán)限以及本單位的伴隨人員等，如需進(jìn)入深圳市資源中心機(jī)房，需單位工作人員伴隨并依據(jù)市資源中心機(jī)房相關(guān)規(guī)定進(jìn)展申請(qǐng)及登記。其次十條在第三方人員進(jìn)展遠(yuǎn)程訪問(wèn)之前，要嚴(yán)格鑒定訪問(wèn)者的身份，確保訪問(wèn)者為已授權(quán)人員。其次十一條負(fù)責(zé)第三方人員接待和治理的部門在第三方人員訪問(wèn)完畢之后，要準(zhǔn)時(shí)收回相關(guān)物品、資料并且終止其訪問(wèn)權(quán)限。其次十二條負(fù)責(zé)接待第三方人員的工作人員須有相應(yīng)信息安全教育培訓(xùn)閱歷，并且具備良好的安全意識(shí)和風(fēng)險(xiǎn)識(shí)別力量。其次十三條應(yīng)選擇具有公安部門、保密部門、密碼治理部門資質(zhì)認(rèn)證的第三方公司進(jìn)展信息安全合作，保障系統(tǒng)安全。第八章附錄其次十四條本制度由XXX單位負(fù)責(zé)解釋。其次十五條本制度自公布之日起試行。附件1、第三方人員入網(wǎng)登記表附件1、第三方人員設(shè)備入網(wǎng)登記表第三方人員1姓名身份證