信息技術(shù)服務(wù)外包安全要求

1DB14/T1251—2016信息技術(shù)服務(wù)外包安全要求本標(biāo)準(zhǔn)規(guī)定了信息技術(shù)服務(wù)外包時(shí)的信息安全要求。本標(biāo)準(zhǔn)適用于山西省轄區(qū)內(nèi)各級(jí)機(jī)關(guān)、事業(yè)單位、重要領(lǐng)域的信息技術(shù)服務(wù)外包。外包服務(wù)商提供外包服務(wù)時(shí)可參照?qǐng)?zhí)行。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)3術(shù)語(yǔ)和定義GB/T25069—2010確立的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1信息技術(shù)服務(wù)供方為需方提供開(kāi)發(fā)、應(yīng)用信息技術(shù)的活動(dòng)，以及供方以信息技術(shù)為手段提供支持需方業(yè)務(wù)的活動(dòng)。3.2信息技術(shù)服務(wù)外包以簽訂合同的方式，需方委托其他機(jī)構(gòu)承擔(dān)信息技術(shù)服務(wù)的行為。注：附錄A給出了信息技術(shù)服務(wù)外包的分類(lèi)，包括信息技術(shù)咨詢(xún)服維護(hù)服務(wù)、數(shù)據(jù)處理服務(wù)、數(shù)據(jù)存儲(chǔ)服務(wù)、災(zāi)難恢復(fù)服務(wù)、3.3外包服務(wù)商服務(wù)外包中承擔(dān)信息技術(shù)服務(wù)的機(jī)構(gòu)。3.4服務(wù)分包外包服務(wù)商將自身承擔(dān)的部分信息技術(shù)服務(wù)再次委托給其他機(jī)構(gòu)完成的行為。3.5信息技術(shù)供應(yīng)鏈2DB14/T1251—2016通過(guò)多個(gè)資源和過(guò)程聯(lián)系在一起的一系列組織，始于未加工的原材料，終于使用產(chǎn)品和服務(wù)的最終用戶(hù)，是一個(gè)由多個(gè)上游與下游供應(yīng)商形成的網(wǎng)鏈結(jié)構(gòu)，可將信息通信技術(shù)的產(chǎn)品和服務(wù)提供給最終用戶(hù)。3.6委托方信息技術(shù)服務(wù)外包活動(dòng)中的需求方，將信息技術(shù)服務(wù)委托給外包服務(wù)商，并對(duì)外包服務(wù)商提出信息安全要求。3.7網(wǎng)絡(luò)安全審查國(guó)家網(wǎng)信部門(mén)組織實(shí)施的重要網(wǎng)絡(luò)安全管理制度，對(duì)關(guān)系國(guó)家安全和公共安全利益的系統(tǒng)使用的重要信息技術(shù)產(chǎn)品和服務(wù)進(jìn)行安全審查，審查重點(diǎn)為該產(chǎn)品安全性和可控性，旨在防止產(chǎn)品提供者利用提供產(chǎn)品的方便，非法控制、干擾、中斷用戶(hù)系統(tǒng)，非法收集、存儲(chǔ)、處理和利用用戶(hù)有關(guān)信息。3.8服務(wù)級(jí)別協(xié)議委托方與外包服務(wù)商之間就外包服務(wù)的品質(zhì)、水準(zhǔn)、性能等方面所達(dá)成的雙方共同認(rèn)可的協(xié)議或契4對(duì)委托方的基本要求4.1委托方信息技術(shù)服務(wù)外包安全管理基本原則委托方在信息技術(shù)服務(wù)外包活動(dòng)中，應(yīng)遵循以下信息安全管理基本原則：a)責(zé)任延展原則。信息安全管理責(zé)任不應(yīng)隨服務(wù)外包而轉(zhuǎn)移，無(wú)論委托方數(shù)據(jù)和業(yè)務(wù)是位于自身信息系統(tǒng)還是外包服務(wù)商的信息系統(tǒng)上，委托方都是信息安全的最終責(zé)任人。b)領(lǐng)導(dǎo)決策原則。信息技術(shù)服務(wù)外包應(yīng)獲得委托方服務(wù)外包主管領(lǐng)導(dǎo)的支持、批準(zhǔn)和授權(quán)。c)風(fēng)險(xiǎn)控制原則。委托方應(yīng)始終關(guān)注信息技術(shù)服務(wù)外包可能帶來(lái)的信息安全風(fēng)險(xiǎn)，并能夠及時(shí)應(yīng)用風(fēng)險(xiǎn)控制措施。d)監(jiān)督檢查原則。委托方應(yīng)對(duì)信息技術(shù)服務(wù)活動(dòng)進(jìn)行監(jiān)管，并接受信息安全主管部門(mén)的監(jiān)督檢查。e)數(shù)據(jù)歸屬關(guān)系不變。委托方提供給外包服務(wù)商的數(shù)據(jù)、設(shè)備等資源，以及外包服務(wù)過(guò)程中收集、產(chǎn)生、存儲(chǔ)的數(shù)據(jù)和文檔等資源屬委托方所有。外包服務(wù)商應(yīng)保障委托方對(duì)這些資源的訪問(wèn)、利用、支配，未經(jīng)委托方授權(quán)，外包服務(wù)商和任何第三方不得訪問(wèn)、修改、披露、利用、轉(zhuǎn)讓、銷(xiāo)毀委托方的數(shù)據(jù)。f)安全管理標(biāo)準(zhǔn)不變。外包服務(wù)商的信息系統(tǒng)中，凡承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)均應(yīng)遵循與委托方自身系統(tǒng)完全一致的信息安全技術(shù)要求和管理規(guī)定，與委托方自身系統(tǒng)一樣接受?chē)?guó)家有關(guān)部門(mén)和委托方的信息安全監(jiān)督管理。g)敏感信息不出境。為委托方提供服務(wù)的重要信息基礎(chǔ)設(shè)施，例如云計(jì)算服務(wù)平臺(tái)、數(shù)據(jù)中心、升級(jí)服務(wù)器等要設(shè)在境內(nèi)。敏感信息未經(jīng)批準(zhǔn)不得在境外傳輸、處理、存儲(chǔ)。4.2信息技術(shù)服務(wù)外包安全管理職責(zé)4.2.1管理角色3DB14/T1251—2016委托方應(yīng)根據(jù)服務(wù)外包活動(dòng)范圍確定管理角色和責(zé)任：a)應(yīng)由委托方信息安全主管領(lǐng)導(dǎo)擔(dān)任服務(wù)外包管理小組的副職（含）以上領(lǐng)導(dǎo)。b)根據(jù)外包類(lèi)型的不同，委托方的多個(gè)內(nèi)設(shè)機(jī)構(gòu)分工承擔(dān)負(fù)責(zé)外包管理職責(zé)，但外包活動(dòng)信息安全管理的總職責(zé)應(yīng)由委托方的信息安全部門(mén)承擔(dān)。信息安全部門(mén)對(duì)外包活動(dòng)中的信息安全相關(guān)事項(xiàng)具有一票否決權(quán)。4.2.2主管領(lǐng)導(dǎo)委托方應(yīng)在服務(wù)外包活動(dòng)中設(shè)置信息安全主管領(lǐng)導(dǎo)的職責(zé)，包括但不限于：a)在委托方信息安全管理的總體框架下，批準(zhǔn)本機(jī)構(gòu)的服務(wù)外包信息安全管理策略。b)授權(quán)并支持相應(yīng)的負(fù)責(zé)機(jī)構(gòu)具體管理外包活動(dòng)的信息安全。c)支持對(duì)服務(wù)外包信息安全各環(huán)節(jié)的管理：1)定期評(píng)審并發(fā)布服務(wù)外包信息安全管理制度，保持與委托方服務(wù)外包信息安全管理策略要求相一致。2)提供并保障服務(wù)外包信息安全管理所需要的資源。3)組織檢查信息技術(shù)服務(wù)外包中信息安全措施的執(zhí)行情況。4)協(xié)調(diào)處置服務(wù)外包信息安全管理應(yīng)急事件。d)承擔(dān)服務(wù)外包信息安全管理的監(jiān)管責(zé)任。4.2.3負(fù)責(zé)機(jī)構(gòu)委托方應(yīng)在外包活動(dòng)中指定信息安全管理部門(mén)，其主要職責(zé)包括但不限于：a)對(duì)信息安全主管領(lǐng)導(dǎo)負(fù)責(zé)，將服務(wù)外包信息安全管理情況、信息技術(shù)服務(wù)外包信息安全執(zhí)行情況及時(shí)報(bào)告主管領(lǐng)導(dǎo)。b)落實(shí)服務(wù)外包信息安全管理策略要求，組織制定并執(zhí)行服務(wù)外包信息安全管理制度、服務(wù)外包合同、服務(wù)外包信息安全管理計(jì)劃等，具體職責(zé)應(yīng)包括以下方面：1)按照服務(wù)外包信息安全風(fēng)險(xiǎn)評(píng)估有關(guān)要求，開(kāi)展服務(wù)外包信息安全風(fēng)險(xiǎn)評(píng)估。2)評(píng)估和推薦潛在的外包服務(wù)商和服務(wù)人員。3)落實(shí)并監(jiān)督服務(wù)外包基本信息安全控制措施。4)落實(shí)服務(wù)外包信息安全管理應(yīng)急處置措施。5)提出服務(wù)外包信息安全管理的改進(jìn)建議。c)承擔(dān)服務(wù)外包信息安全管理的直接責(zé)任。4.2.4信息技術(shù)服務(wù)外包安全管理模型委托方應(yīng)建立信息技術(shù)服務(wù)外包安全管理模型，如圖1所示。該模型將信息技術(shù)服務(wù)外包信息安全管理活動(dòng)劃分為服務(wù)外包信息安全規(guī)劃準(zhǔn)備、機(jī)構(gòu)和人員選擇、運(yùn)行監(jiān)督和改進(jìn)完成4個(gè)管理階段，針對(duì)性地提出了規(guī)范性要求。4和人員風(fēng)險(xiǎn)評(píng)估DB14/T1251—2016和人員風(fēng)險(xiǎn)評(píng)估安全管理策略圖1信息技術(shù)服務(wù)外包安全管理模型5總體要求與分類(lèi)分級(jí)5.1總體要求信息技術(shù)外包服務(wù)安全要求的核心是建立委托方與外包服務(wù)商的信任關(guān)系，這一信任關(guān)系包括以下方面：a)可控性。外包服務(wù)商位于委托方所在國(guó)司法管轄權(quán)范圍之內(nèi)，外包服務(wù)商的責(zé)任可追溯。b)透明性。外包服務(wù)商收集、處理、使用委托方信息及實(shí)施其他可能影響委托方信息安全的行為（如提供軟件開(kāi)發(fā)服務(wù)）時(shí)，其全部過(guò)程對(duì)委托方可見(jiàn)，所有技術(shù)資料、說(shuō)明文檔完備可查，沒(méi)有有意隱藏或不可見(jiàn)的行為。c)可信性。外包服務(wù)商嚴(yán)格遵循法律法規(guī)和有關(guān)標(biāo)準(zhǔn)的要求，沒(méi)有違反法律法規(guī)的行為，且對(duì)其員工進(jìn)行了必要的安全背景核查，員工的流動(dòng)情況清晰可查、可追溯。d)保密性。外包服務(wù)商具備保護(hù)自身信息安全的能力，所存儲(chǔ)的委托方的信息不被非授權(quán)泄露。e)完整性。外包服務(wù)商具備保護(hù)自身信息安全的能力，所存儲(chǔ)的委托方的信息不被篡改，承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)不被篡改。f)可用性。外包服務(wù)商具備保護(hù)自身信息安全的能力，承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)滿(mǎn)足雙方服務(wù)級(jí)別協(xié)議的要求，系統(tǒng)不會(huì)出現(xiàn)嚴(yán)重影響委托方關(guān)鍵業(yè)務(wù)和數(shù)據(jù)的中斷情況，外包服務(wù)商不會(huì)利用委托方對(duì)其形成的依賴(lài)而要挾用戶(hù)。5.2安全要求的實(shí)施主體為了保障信息技術(shù)外包服務(wù)的信息，委托方和外包服務(wù)商均應(yīng)實(shí)施相應(yīng)信息安全保障措施，具體包括：5DB14/T1251—2016a)委托方自身應(yīng)實(shí)施有針對(duì)性的信息安全控制措施，還應(yīng)對(duì)外包服務(wù)商提供要求。b)本標(biāo)準(zhǔn)在第5—7章提出的信息安全要求同時(shí)涵蓋以上兩方面內(nèi)容，并在描述中將信息安全要求的實(shí)施主體區(qū)分為委托方和外包服務(wù)商。c)除上述措施外，無(wú)論委托方還是外包服務(wù)商，均應(yīng)落實(shí)信息系統(tǒng)安全防護(hù)的常規(guī)要求，如等級(jí)保護(hù)要求。d)根據(jù)本標(biāo)準(zhǔn)4.1“安全管理標(biāo)準(zhǔn)不變”原則，委托方應(yīng)要求外包服務(wù)商保護(hù)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)的安全，該系統(tǒng)應(yīng)實(shí)現(xiàn)與委托方同樣的安全防護(hù)等級(jí)。5.3安全要求的分類(lèi)本標(biāo)準(zhǔn)將信息技術(shù)服務(wù)外包信息安全要求分為以下7類(lèi)：a)“服務(wù)商選擇與供應(yīng)鏈安全”類(lèi)。委托方應(yīng)選擇可信、可控的外包服務(wù)商，并與外包服務(wù)商簽訂安全協(xié)議。外包服務(wù)商在為委托方開(kāi)發(fā)信息系統(tǒng)時(shí)應(yīng)對(duì)其提供充分保護(hù)，確保信息技術(shù)供應(yīng)鏈安全。外包服務(wù)商應(yīng)確保其下級(jí)供應(yīng)商采取了必要的安全措施。外包服務(wù)商還應(yīng)為委托方提供有關(guān)安全措施的文檔和信息，配合委托方完成對(duì)信息系統(tǒng)和業(yè)務(wù)的管理。b)“訪問(wèn)控制”類(lèi)。委托方應(yīng)防止外包服務(wù)商非授權(quán)訪問(wèn)本機(jī)構(gòu)的重要業(yè)務(wù)和數(shù)據(jù)，對(duì)于由外包服務(wù)商系統(tǒng)承載的委托方業(yè)務(wù)和數(shù)據(jù)，應(yīng)要求外包服務(wù)商在系統(tǒng)的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視、控制信息訪問(wèn)行為，保護(hù)存儲(chǔ)、處理和傳輸?shù)男畔?，防止外包服?wù)商及第三方非授權(quán)訪問(wèn)。c)“維護(hù)”類(lèi)。外包服務(wù)商應(yīng)對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)進(jìn)行妥善維護(hù)。此外，外包服務(wù)商在對(duì)委托方的信息系統(tǒng)提供維護(hù)服務(wù)時(shí)，應(yīng)保護(hù)委托方信息及系統(tǒng)的保密性、完整性和可用性。委托方應(yīng)對(duì)維護(hù)所使用的工具、技術(shù)、機(jī)制以及維護(hù)人員進(jìn)行有效的控制，且做好相關(guān)記錄。d)“事件處理”類(lèi)。外包服務(wù)商應(yīng)建立事件處理計(jì)劃，預(yù)防、檢測(cè)、分析和控制所有可能涉及到委托方業(yè)務(wù)和數(shù)據(jù)的信息安全事件，并在事件發(fā)生后對(duì)受影響的系統(tǒng)實(shí)施恢復(fù)。發(fā)生信息安全事件后，外包服務(wù)商應(yīng)及時(shí)跟蹤、記錄并向相關(guān)人員報(bào)告。外包服務(wù)商應(yīng)具備容災(zāi)恢復(fù)能力，建立必要的備份與恢復(fù)設(shè)施和機(jī)制，確保委托方業(yè)務(wù)可持續(xù)。e)“審計(jì)”類(lèi)。委托方應(yīng)對(duì)外包服務(wù)商在自身信息系統(tǒng)中的行為進(jìn)行全程審計(jì)，并要求外包服務(wù)商根據(jù)安全需求和委托方要求，建立審計(jì)機(jī)制，對(duì)外包服務(wù)商系統(tǒng)中可能影響委托方信息安全的行為進(jìn)行審計(jì)。審計(jì)記錄應(yīng)妥善保存，防止非授權(quán)訪問(wèn)、修改和刪除。審計(jì)記錄應(yīng)定期分析和審查，及時(shí)應(yīng)對(duì)可能的信息安全風(fēng)險(xiǎn)。f)“人員安全”類(lèi)。委托方應(yīng)對(duì)外包服務(wù)商中可能接觸委托方業(yè)務(wù)和數(shù)據(jù)及其他可能影響委托方信息安全的人員進(jìn)行嚴(yán)格管理，確保其上崗時(shí)具備履行其安全責(zé)任的素質(zhì)和能力，并應(yīng)在授予相關(guān)人員訪問(wèn)權(quán)限之前對(duì)其進(jìn)行審查并定期復(fù)查，在人員調(diào)動(dòng)或離職時(shí)履行安全程序，對(duì)于違反安全規(guī)定的人員進(jìn)行處罰。g)“物理與環(huán)境安全”類(lèi)。委托方應(yīng)建立物理安全控制措施，防止外包服務(wù)商非授權(quán)進(jìn)入受控區(qū)域。委托方應(yīng)對(duì)外包服務(wù)商承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)提出物理位置要求，確保其位于法律管轄權(quán)內(nèi)。5.4安全要求的分級(jí)不同等級(jí)的信息系統(tǒng)應(yīng)當(dāng)落實(shí)不同等級(jí)的信息安全要求。本標(biāo)準(zhǔn)對(duì)信息技術(shù)服務(wù)外包提出了三個(gè)級(jí)別的信息安全要求，分別為一般級(jí)、中級(jí)和增強(qiáng)級(jí)，各適用于等級(jí)保護(hù)二級(jí)、三級(jí)和四級(jí)系統(tǒng)所涉及的外包活動(dòng)。當(dāng)委托方有多個(gè)安全等級(jí)的系統(tǒng)時(shí)，應(yīng)判斷具體的外包活動(dòng)影響何種等級(jí)的系統(tǒng)，以所有受影響系統(tǒng)的最高等級(jí)為準(zhǔn)對(duì)外包活動(dòng)提出安全要求。6DB14/T1251—2016本標(biāo)準(zhǔn)對(duì)每一級(jí)的信息系統(tǒng)單獨(dú)提出了信息安全要求。6一般級(jí)6.1服務(wù)商選擇與供應(yīng)鏈安全6.1.1服務(wù)商選擇準(zhǔn)則委托方應(yīng)對(duì)潛在外包服務(wù)商進(jìn)行風(fēng)險(xiǎn)評(píng)估，依據(jù)以下準(zhǔn)則確定外包服務(wù)商：a)綜合分析各方面的信息，包括執(zhí)法部門(mén)披露的信息、信息安全通報(bào)、應(yīng)急響應(yīng)機(jī)構(gòu)的風(fēng)險(xiǎn)提示、國(guó)家網(wǎng)絡(luò)安全審查結(jié)果等，排除存在安全隱患的外包服務(wù)商。b)外包服務(wù)商的法人及主要業(yè)務(wù)人員、技術(shù)人員無(wú)犯罪記錄或不良誠(chéng)信記錄，外包服務(wù)商具有固定的辦公場(chǎng)所，具備保障信息技術(shù)服務(wù)安全實(shí)施的技術(shù)、財(cái)務(wù)等能力。c)對(duì)需要資質(zhì)的信息技術(shù)服務(wù)，如信息安全測(cè)評(píng)、云計(jì)算等，外包服務(wù)商應(yīng)已獲得相應(yīng)資質(zhì)。d)外包服務(wù)商的員工中，所有參與外包活動(dòng)的員工滿(mǎn)足以下條件：1)持有相應(yīng)服務(wù)所需的人員資質(zhì)。2)定期接受信息安全培訓(xùn)，具有較強(qiáng)的信息安全意識(shí)。3)與外包服務(wù)機(jī)構(gòu)簽署了長(zhǎng)期固定勞動(dòng)合同，并且簽訂了保密協(xié)議。6.1.2服務(wù)外包合同委托方應(yīng)與外包服務(wù)商簽署服務(wù)外包合同，合同應(yīng)包含以下幾方面內(nèi)容：a)制定信息安全條款，具體內(nèi)容包括但不限于：1)服務(wù)外包信息安全目標(biāo)和衡量標(biāo)準(zhǔn)。2)服務(wù)外包信息安全保障范圍和費(fèi)用。3)不泄露委托方重要敏感信息的信息安全承諾。4)明示外包服務(wù)機(jī)構(gòu)在使用和處理數(shù)據(jù)過(guò)程中的所有權(quán)、邊界控制等要求。5)明示外包服務(wù)機(jī)構(gòu)接受信息安全主管部門(mén)監(jiān)督檢查的責(zé)任義務(wù)。6)服務(wù)外包意外終止或變更的要求。b)在信息安全影響因素發(fā)生變更后，及時(shí)修訂信息安全條款。c)確保信息安全條款被外包服務(wù)機(jī)構(gòu)及其服務(wù)人員所周知。d)確保外包服務(wù)商承諾對(duì)委托方的信息安全負(fù)責(zé)，不利用提供服務(wù)的便利危害委托方業(yè)務(wù)和數(shù)據(jù)的安全，不在未獲得明確授權(quán)情況下泄露服務(wù)過(guò)程中獲取的委托方數(shù)據(jù)。e)確保外包服務(wù)商承諾未經(jīng)委托方書(shū)面許可不將服務(wù)進(jìn)行分包。f)確保外包服務(wù)商的信息系統(tǒng)中，承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)接受與委托方信息系統(tǒng)同等的信息安全監(jiān)督管理，并采取與委托方信息系統(tǒng)同等強(qiáng)度的信息安全防護(hù)措施。g)明確定義服務(wù)退出條件，包括但不限于以下內(nèi)容：1)當(dāng)服務(wù)合同到期后的正常退出條件。2)當(dāng)服務(wù)發(fā)生錯(cuò)誤且不能在一個(gè)有效時(shí)間內(nèi)處理完成的退出條件。3)與外包服務(wù)機(jī)構(gòu)協(xié)商達(dá)成一致的合同撤銷(xiāo)退出條件。4)服務(wù)合同內(nèi)容的修改或調(diào)整退出條件。h)建立服務(wù)退出策略中有關(guān)信息安全的管理要求：1)依據(jù)不同的服務(wù)退出條件，定義服務(wù)退出過(guò)程中及退出后的管理角色和職責(zé)。2)保證信息技術(shù)服務(wù)信息安全質(zhì)量在退出階段能夠維持服務(wù)合同中的信息安全管理要求。3)在服務(wù)退出過(guò)程中，退還所有服務(wù)涉及的文檔。7DB14/T1251—20164)保證在服務(wù)合同終止之后對(duì)服務(wù)內(nèi)容和信息的保密性要求。5)將政府部門(mén)的數(shù)據(jù)有效地消除或移除，確保數(shù)據(jù)不被其他組織或個(gè)人公開(kāi)。6)當(dāng)服務(wù)失敗或企業(yè)破產(chǎn)等突發(fā)情況發(fā)生時(shí)，保留繼續(xù)雇用服務(wù)人員開(kāi)展服務(wù)工作的權(quán)利。i)外包服務(wù)商在服務(wù)退出時(shí)的信息安全承諾，包括但不限于以下內(nèi)容：1)及時(shí)刪除信息技術(shù)服務(wù)過(guò)程中生成的子賬戶(hù)或子功能。2)在服務(wù)退出過(guò)程中，退還所有委托方的數(shù)據(jù)和文檔。6.1.3供應(yīng)鏈安全外包服務(wù)商應(yīng)實(shí)施以下供應(yīng)鏈安全措施：a)明確有哪些服務(wù)或采購(gòu)的產(chǎn)品對(duì)委托方的業(yè)務(wù)和數(shù)據(jù)可能會(huì)造成嚴(yán)重要影響，并確保涉及外包服務(wù)的重要設(shè)備通過(guò)國(guó)家和地方主管部門(mén)規(guī)定的安全檢測(cè)。b)向委托方承諾，不使用含有惡意代碼的產(chǎn)品、有缺陷產(chǎn)品或假冒產(chǎn)品。c)對(duì)外包服務(wù)所涉及的產(chǎn)品開(kāi)發(fā)環(huán)境、信息存儲(chǔ)設(shè)備等實(shí)施安全控制。6.1.4外包服務(wù)商服務(wù)環(huán)境安全外包服務(wù)商應(yīng)確保其承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)滿(mǎn)足以下要求：a)將信息安全納入信息系統(tǒng)生命周期，確保信息安全與信息化同步規(guī)劃、同步建設(shè)、同步運(yùn)行。b)已經(jīng)獲得與委托方信息系統(tǒng)同樣安全等級(jí)的測(cè)評(píng)。6.1.5開(kāi)發(fā)安全外包服務(wù)商在為委托方提供系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)等服務(wù)時(shí)，應(yīng)滿(mǎn)足以下要求：a)提供交付物時(shí)的缺省配置為安全配置，且已刪除所有測(cè)試接口，不含有后門(mén)或其他不必要的功b)確保系統(tǒng)開(kāi)發(fā)人員接受了軟件開(kāi)發(fā)安全培訓(xùn)。c)制定明確的開(kāi)發(fā)規(guī)范，在規(guī)范中明確以下事項(xiàng)：1)所開(kāi)發(fā)系統(tǒng)的安全需求。2)開(kāi)發(fā)過(guò)程中使用的標(biāo)準(zhǔn)和工具。3)開(kāi)發(fā)過(guò)程中使用的特定工具選項(xiàng)和工具配置。d)采取有關(guān)措施，確保開(kāi)發(fā)過(guò)程的完整性和工具變更的完整性。e)在開(kāi)發(fā)過(guò)程的初始階段定義質(zhì)量度量標(biāo)準(zhǔn)，并定期檢查質(zhì)量度量標(biāo)準(zhǔn)的落實(shí)情況。f)確定安全問(wèn)題追蹤工具，并在開(kāi)發(fā)過(guò)程期間使用。g)對(duì)所開(kāi)發(fā)的系統(tǒng)執(zhí)行漏洞分析，明確漏洞利用的可能性，確定漏洞消減措施。h)對(duì)所開(kāi)發(fā)的外包服務(wù)信息系統(tǒng)及其組件或服務(wù)進(jìn)行安全測(cè)試：1)制定并實(shí)施安全評(píng)估計(jì)劃。2)更正在安全評(píng)估過(guò)程中發(fā)現(xiàn)的脆弱性和不足。6.1.6系統(tǒng)文檔外包服務(wù)商在服務(wù)結(jié)束后應(yīng)向委托方提交以下系統(tǒng)文檔：a)管理員文檔，至少應(yīng)涵蓋以下信息：1)所開(kāi)發(fā)的信息系統(tǒng)及其組件或服務(wù)的安全配置，以及安裝和運(yùn)行說(shuō)明。2)安全特性或功能的使用和維護(hù)說(shuō)明。3)與管理功能有關(guān)的配置和使用方面的注意事項(xiàng)。b)用戶(hù)文檔，至少應(yīng)涵蓋以下信息：8DB14/T1251—20161)用戶(hù)可使用的安全功能或機(jī)制，以及對(duì)如何有效使用這些安全功能或機(jī)制的說(shuō)明。2)有助于用戶(hù)更安全地使用信息系統(tǒng)及其組件或服務(wù)的方法或說(shuō)明。3)對(duì)用戶(hù)安全責(zé)任和注意事項(xiàng)的說(shuō)明。6.1.7培訓(xùn)外包服務(wù)商應(yīng)對(duì)委托方提供培訓(xùn)，以幫助委托方正確使用所交付系統(tǒng)或產(chǎn)品中的安全功能、措施和機(jī)制。6.2訪問(wèn)控制6.2.1標(biāo)識(shí)符管理委托方應(yīng)通過(guò)以下步驟管理外包服務(wù)人員在信息系統(tǒng)中的標(biāo)識(shí)符：a)明確由專(zhuān)門(mén)的授權(quán)人員為外包服務(wù)人員分配個(gè)人、組、角色或設(shè)備標(biāo)識(shí)符。b)將標(biāo)識(shí)符分配給有關(guān)個(gè)人、組、角色或設(shè)備。c)在服務(wù)結(jié)束后禁用外包服務(wù)人員的標(biāo)識(shí)符。6.2.2鑒別憑證管理委托方應(yīng)通過(guò)以下步驟管理外包服務(wù)人員的鑒別憑證：a)驗(yàn)證鑒別憑證接收對(duì)象（個(gè)人、組、角色或設(shè)備）的身份。b)確定鑒別憑證的初始內(nèi)容。c)確保鑒別憑證能夠有效防止偽造和篡改。d)針對(duì)鑒別憑證的初始分發(fā)、丟失處置以及收回，建立和實(shí)施管理規(guī)程。e)保護(hù)鑒別憑證內(nèi)容，以防泄露和篡改。f)當(dāng)組或角色賬號(hào)的成員資格發(fā)生變化時(shí)，變更該賬號(hào)的鑒別憑證。g)在服務(wù)結(jié)束后收回鑒別憑證。6.2.3數(shù)據(jù)靜態(tài)保護(hù)外包服務(wù)商應(yīng)采取以下措施，防止其信息系統(tǒng)中承載的委托方業(yè)務(wù)或數(shù)據(jù)被非授權(quán)訪問(wèn)：對(duì)委托方的業(yè)務(wù)和數(shù)據(jù)實(shí)施嚴(yán)格的訪問(wèn)控制，確保未經(jīng)委托方授權(quán)的人員不能訪問(wèn)其業(yè)務(wù)和數(shù)據(jù)，包括外包服務(wù)6.2.4最小特權(quán)委托方應(yīng)按照最小特權(quán)原則，賦予外包服務(wù)商在本系統(tǒng)、本機(jī)構(gòu)中的邏輯和物理訪問(wèn)權(quán)限：a)為外包服務(wù)商提供的訪問(wèn)權(quán)限應(yīng)是其完成外包服務(wù)所必需的，符合本機(jī)構(gòu)的業(yè)務(wù)需求。b)將特權(quán)功能的執(zhí)行納入信息系統(tǒng)需要審計(jì)的事件之中。6.2.5邊界保護(hù)外包服務(wù)商應(yīng)對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)實(shí)施邊界保護(hù)措施：a)在連接外部系統(tǒng)的邊界和內(nèi)部關(guān)鍵邊界上，對(duì)通信進(jìn)行監(jiān)控。b)在訪問(wèn)系統(tǒng)的關(guān)鍵邏輯邊界上，對(duì)通信進(jìn)行監(jiān)控。6.2.6遠(yuǎn)程訪問(wèn)委托方應(yīng)實(shí)施以下遠(yuǎn)程訪問(wèn)措施，嚴(yán)格管理外包服務(wù)商對(duì)委托方信息系統(tǒng)的遠(yuǎn)程訪問(wèn)：9DB14/T1251—2016a)明確遠(yuǎn)程訪問(wèn)使用條件、配置和連接要求，并經(jīng)信息安全主管領(lǐng)導(dǎo)批準(zhǔn)。b)采取有關(guān)措施保證遠(yuǎn)程訪問(wèn)的安全，如多因子認(rèn)證、VPN（虛擬專(zhuān)用網(wǎng)）、數(shù)字證書(shū)等。6.3維護(hù)6.3.1受控維護(hù)委托方應(yīng)對(duì)外包服務(wù)商在本系統(tǒng)中的運(yùn)維活動(dòng)采取以下安全管理措施：a)根據(jù)信息系統(tǒng)組件的規(guī)格說(shuō)明以及自身的業(yè)務(wù)需求，對(duì)信息系統(tǒng)組件的維護(hù)和修理進(jìn)行規(guī)劃、實(shí)施、記錄，并對(duì)維護(hù)和修理記錄進(jìn)行審查。b)審批和監(jiān)視所有維護(hù)行為，包括現(xiàn)場(chǎng)維護(hù)、遠(yuǎn)程維護(hù)，以及對(duì)設(shè)備的異地維護(hù)。c)在將信息系統(tǒng)組件轉(zhuǎn)移到外部進(jìn)行非現(xiàn)場(chǎng)的維護(hù)或維修前，應(yīng)獲得本機(jī)構(gòu)信息安全主管領(lǐng)導(dǎo)的批準(zhǔn)。d)在維護(hù)記錄中，至少應(yīng)包括：維護(hù)日期和時(shí)間、維護(hù)人員姓名、陪同人員姓名、對(duì)維護(hù)活動(dòng)的描述、被轉(zhuǎn)移或替換的設(shè)備列表（包括設(shè)備標(biāo)識(shí)號(hào)）等信息。6.3.2維護(hù)工具委托方應(yīng)采取以下措施，審批、控制并監(jiān)視維護(hù)工具的使用：a)檢查由維護(hù)人員帶入設(shè)施內(nèi)部的維護(hù)工具，以確保維護(hù)工具未被不當(dāng)修改。b)在使用診斷或測(cè)試程序前，對(duì)其進(jìn)行惡意代碼檢測(cè)。6.3.3遠(yuǎn)程維護(hù)委托方應(yīng)對(duì)遠(yuǎn)程維護(hù)采取以下安全措施：a)針對(duì)遠(yuǎn)程維護(hù)鏈接及診斷鏈接的建立，明確規(guī)定有關(guān)策略和規(guī)程，對(duì)每次遠(yuǎn)程維護(hù)和診斷進(jìn)行審批和監(jiān)視。b)建立和保存對(duì)遠(yuǎn)程維護(hù)和診斷活動(dòng)的記錄。c)對(duì)所有遠(yuǎn)程維護(hù)和診斷活動(dòng)進(jìn)行審計(jì)，并定期對(duì)所有遠(yuǎn)程維護(hù)和診斷會(huì)話(huà)的記錄進(jìn)行審查。6.3.4維護(hù)人員委托方應(yīng)采取以下措施，加強(qiáng)對(duì)維護(hù)人員的安全管理：a)建立對(duì)維護(hù)人員的授權(quán)流程，對(duì)已獲授權(quán)的人員建立列表。b)確保只有列表中的維護(hù)人員，才可在沒(méi)有人員陪同時(shí)進(jìn)行系統(tǒng)維護(hù)；不在列表中的人員，必須在授權(quán)且技術(shù)可勝任的人員陪同與監(jiān)管下，才可開(kāi)展維護(hù)活動(dòng)。6.3.5外包服務(wù)商系統(tǒng)維護(hù)外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)進(jìn)行安全維護(hù)，并定期將維護(hù)記錄向委托方提交。6.3.6變更控制委托方應(yīng)采取以下變更控制措施，防止外包服務(wù)商對(duì)委托方信息系統(tǒng)和承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)進(jìn)行非授權(quán)更改：a)明確信息系統(tǒng)中有哪些變更需要包含在受控配置列表中，如主機(jī)配置項(xiàng)、網(wǎng)絡(luò)配置項(xiàng)等。b)建立對(duì)受控配置進(jìn)行變更的授權(quán)程序。c)審查所提交的受控配置變更事項(xiàng)，根據(jù)安全影響分析結(jié)果決定批準(zhǔn)或否決，并進(jìn)行記錄。DB14/T1251—2016d)保留信息系統(tǒng)中受控配置的變更記錄。e)定期對(duì)受控配置變更活動(dòng)進(jìn)行審查。6.3.7信息安全管理策略外包服務(wù)商應(yīng)制定信息安全管理策略，包括：a)明確管理目標(biāo)與范圍，制定包括系統(tǒng)設(shè)施和操作等內(nèi)容的系統(tǒng)安全目標(biāo)與范圍計(jì)劃文件。b)為達(dá)到相應(yīng)等級(jí)技術(shù)要求，提供相應(yīng)的管理保證。c)提供對(duì)信息系統(tǒng)進(jìn)行基本安全保護(hù)的安全功能和安全管理措施，確保安全功能達(dá)到預(yù)期目標(biāo)，使信息免遭非授權(quán)的泄露和破壞，基本保證信息系統(tǒng)安全運(yùn)行。d)建立相應(yīng)的安全管理機(jī)構(gòu)，制定相應(yīng)的安全操作規(guī)程。e)制定信息系統(tǒng)的風(fēng)險(xiǎn)管理計(jì)劃。f)提供對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)的比較完整的系統(tǒng)化安全保護(hù)的能力和比較完善的安全管理措施，從整體上保護(hù)信息免遭非授權(quán)的泄露和破壞，保證信息系統(tǒng)安全正常運(yùn)行。6.3.8信息安全管理制度外包服務(wù)商應(yīng)制定信息安全管理制度，包括信息安全管理規(guī)定、系統(tǒng)安全管理規(guī)定、數(shù)據(jù)安全管理規(guī)定、防病毒規(guī)定、機(jī)房安全管理規(guī)定、設(shè)備使用管理規(guī)定、人員安全管理規(guī)定、安全審計(jì)管理規(guī)定、用戶(hù)管理規(guī)定、風(fēng)險(xiǎn)管理規(guī)定、信息分類(lèi)分級(jí)管理規(guī)定、安全事件報(bào)告規(guī)定、事故處理規(guī)定、應(yīng)急管理規(guī)定和災(zāi)難恢復(fù)管理規(guī)定等以及相關(guān)規(guī)程。6.4事件處理6.4.1事件處理計(jì)劃為及時(shí)應(yīng)對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)可能發(fā)生的信息安全事件，外包服務(wù)商應(yīng)制定事件處理計(jì)劃：a)事件處理計(jì)劃應(yīng)包括：1)說(shuō)明啟動(dòng)事件處理計(jì)劃的條件和方法。2)說(shuō)明其機(jī)構(gòu)內(nèi)與事件處理有關(guān)的組織架構(gòu)。3)定義需要報(bào)告的安全事件。4)定義必要的資源和管理支持。b)定期審查和修訂事件處理計(jì)劃。6.4.2事件處理活動(dòng)外包服務(wù)商應(yīng)采取以下措施，對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)發(fā)生的信息安全事件進(jìn)行處置：a)為安全事件的處理提供必需的資源和管理支持。b)將在事件處理活動(dòng)中獲得的經(jīng)驗(yàn)，納入事件處理、培訓(xùn)及演練計(jì)劃，并實(shí)施相應(yīng)的變更。6.4.3事件報(bào)告承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)發(fā)生信息安全事件后，外包服務(wù)商應(yīng)及時(shí)啟動(dòng)事件報(bào)告機(jī)制：當(dāng)發(fā)現(xiàn)可疑的安全事件時(shí)，應(yīng)立即向委托方報(bào)告有關(guān)情況。6.4.4事件處理支持DB14/T1251—2016外包服務(wù)商應(yīng)提供以下事件處理支持：落實(shí)事件處理所需的各類(lèi)支持資源，為委托方處理、報(bào)告安全事件提供咨詢(xún)和幫助。6.4.5應(yīng)急演練外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)開(kāi)展應(yīng)急演練：a)制定或修訂應(yīng)急演練計(jì)劃。b)定期執(zhí)行應(yīng)急演練計(jì)劃。c)記錄和核查應(yīng)急演練結(jié)果，并根據(jù)需要修訂應(yīng)急響應(yīng)計(jì)劃。6.5審計(jì)6.5.1委托方審計(jì)委托方應(yīng)對(duì)外包服務(wù)商的下述活動(dòng)進(jìn)行審計(jì)，并唯一掌握審計(jì)管理員權(quán)限：a)在線審計(jì)外包服務(wù)商在委托方信息系統(tǒng)中的所有活動(dòng)。b)記錄外包服務(wù)商在委托方物理場(chǎng)所內(nèi)的所有活動(dòng)。6.5.2外包服務(wù)商審計(jì)外包服務(wù)商應(yīng)開(kāi)展以下審計(jì)：a)根據(jù)所獲得的授權(quán)，審計(jì)本系統(tǒng)、本機(jī)構(gòu)中所有對(duì)委托方業(yè)務(wù)和數(shù)據(jù)的訪問(wèn)、操作行為。b)對(duì)本機(jī)構(gòu)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)運(yùn)行情況進(jìn)行審計(jì)。6.5.3審計(jì)記錄內(nèi)容委托方和外包服務(wù)商的審計(jì)記錄內(nèi)容至少包括：事件類(lèi)型、事件發(fā)生的時(shí)間和地點(diǎn)、事件來(lái)源、事件結(jié)果以及與事件相關(guān)的用戶(hù)或主體的身份。6.5.4審計(jì)記錄保護(hù)委托方和外包服務(wù)商應(yīng)對(duì)審計(jì)記錄提供以下保護(hù)：a)根據(jù)審計(jì)記錄存儲(chǔ)需求，配置審計(jì)記錄存儲(chǔ)容量。b)當(dāng)審計(jì)記錄存儲(chǔ)容量即將用完時(shí)，例如剩余10%，向?qū)徲?jì)管理員報(bào)警。c)當(dāng)審計(jì)記錄存儲(chǔ)容量用完時(shí)，覆蓋最早的審計(jì)記錄，不得中斷審計(jì)。6.5.5審計(jì)的審查、分析和報(bào)告委托方和外包服務(wù)商應(yīng)對(duì)審計(jì)記錄進(jìn)行審查、分析并報(bào)告敏感事件：a)能夠根據(jù)不同審計(jì)類(lèi)別對(duì)審計(jì)記錄進(jìn)行檢索和處理。審計(jì)類(lèi)別包括用戶(hù)身份、事件類(lèi)型、事件發(fā)生位置、事件發(fā)生時(shí)間以及事件涉及的IP地址和系統(tǒng)資源等。b)定期對(duì)審計(jì)記錄進(jìn)行審查和分析，以發(fā)現(xiàn)非授權(quán)訪問(wèn)委托方業(yè)務(wù)和數(shù)據(jù)等不當(dāng)或異?；顒?dòng)，并向系統(tǒng)管理員報(bào)告。6.5.6持續(xù)監(jiān)視委托機(jī)構(gòu)應(yīng)持續(xù)監(jiān)視外包服務(wù)商提供外包服務(wù)的全過(guò)程：定期評(píng)估外包活動(dòng)信息安全執(zhí)行情況，以確保信息技術(shù)服務(wù)的信息安全質(zhì)量和連續(xù)性。6.6人員安全DB14/T1251—20166.6.1安全組織外包服務(wù)商應(yīng)建立或指定負(fù)責(zé)外包活動(dòng)信息安全的部門(mén)：a)負(fù)責(zé)保護(hù)本機(jī)構(gòu)承載的委托方業(yè)務(wù)和數(shù)據(jù)的安全。b)處理涉及委托方的信息安全事件。c)組織培訓(xùn)、應(yīng)急演練等活動(dòng)。d)制定、實(shí)施面向委托方信息安全的服務(wù)規(guī)章制度，并傳達(dá)至本機(jī)構(gòu)所有相關(guān)人員。e)定期或在信息安全策略或計(jì)劃發(fā)生變更時(shí)，評(píng)審和更新信息安全規(guī)章制度，以確保其持續(xù)適用和有效。f)對(duì)本機(jī)構(gòu)其他部門(mén)涉及委托方信息安全的活動(dòng)提出意見(jiàn)、建議，并在報(bào)經(jīng)本機(jī)構(gòu)主管領(lǐng)導(dǎo)同意后，監(jiān)督有關(guān)活動(dòng)的實(shí)施。g)向委托方提交審計(jì)記錄、事件處理報(bào)告、應(yīng)急演練計(jì)劃等重要文檔。6.6.2崗位風(fēng)險(xiǎn)與職責(zé)外包服務(wù)商應(yīng)制定與外包活動(dòng)有關(guān)的崗位清單：a)標(biāo)識(shí)出所有崗位的風(fēng)險(xiǎn)。b)建立上崗人員的篩選準(zhǔn)則。c)根據(jù)崗位風(fēng)險(xiǎn)，明確所有崗位的信息安全職責(zé)。6.6.3人員離職外包服務(wù)商一旦決定終止與某外包服務(wù)人員的雇傭關(guān)系，應(yīng)：a)事先告知委托方。b)要求該外包服務(wù)人員返還委托方業(yè)務(wù)和數(shù)據(jù)。c)立即禁止該人員對(duì)委托方業(yè)務(wù)和數(shù)據(jù)的訪問(wèn)。d)終止或撤銷(xiāo)與該人員相關(guān)的任何身份鑒別物或憑證。e)與該人員進(jìn)行離職面談，包括約定離職后不得利用掌握的信息和便利條件危害委托方的業(yè)務(wù)和數(shù)據(jù)。f)確保之前由該人員控制的信息和信息系統(tǒng)仍然可用。g)管理層和信息系統(tǒng)關(guān)鍵崗位人員離職時(shí)，要求其承諾離職后的保密要求。6.6.4人員調(diào)動(dòng)外包服務(wù)商應(yīng)對(duì)外包服務(wù)人員的調(diào)動(dòng)實(shí)施安全控制：a)在人員被再分配或調(diào)動(dòng)至其他內(nèi)部崗位時(shí)，評(píng)審和確認(rèn)是否有必要保留其對(duì)系統(tǒng)或設(shè)施的邏輯和物理訪問(wèn)權(quán)限。b)在正式下達(dá)調(diào)令后的一周或更短時(shí)間內(nèi)，啟動(dòng)再分配或調(diào)動(dòng)行動(dòng)，不得無(wú)故拖延。c)修改原有的訪問(wèn)授權(quán)。6.6.5人員處罰外包服務(wù)商應(yīng)對(duì)外包服務(wù)人員建立人員處罰程序：a)對(duì)于違反信息安全規(guī)章制度的人員，啟動(dòng)處罰程序。b)在啟動(dòng)處罰程序時(shí)，通知本機(jī)構(gòu)相關(guān)部門(mén)，通報(bào)受處罰人員及處罰原因。6.6.6安全培訓(xùn)DB14/T1251—2016外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)外包服務(wù)人員、委托方及其他有關(guān)人員（包括管理層人員和合同商）提供信息安全意識(shí)培訓(xùn)：a)在以下情況下實(shí)施培訓(xùn)：1)本機(jī)構(gòu)外包服務(wù)人員、委托方及其他有關(guān)人員接受初始培訓(xùn)時(shí)。2)承載的委托方業(yè)務(wù)系統(tǒng)發(fā)生變更時(shí)。b)在以下情況下為承擔(dān)外包安全角色和職責(zé)的人員提供基于角色的安全技能培訓(xùn)：1)被授權(quán)訪問(wèn)信息系統(tǒng)或者執(zhí)行所分配的職責(zé)之前。2)承載的委托方業(yè)務(wù)系統(tǒng)發(fā)生變更時(shí)。c)記錄信息系統(tǒng)安全培訓(xùn)活動(dòng)，包括基礎(chǔ)的安全意識(shí)培訓(xùn)和特定的信息系統(tǒng)安全培訓(xùn)。6.7物理與環(huán)境安全6.7.1物理設(shè)施與設(shè)備選址外包服務(wù)商應(yīng)確保承載委托方業(yè)務(wù)和數(shù)據(jù)的數(shù)據(jù)中心和服務(wù)器處于安全的物理位置：對(duì)數(shù)據(jù)中心和服務(wù)器面臨的潛在物理和環(huán)境危險(xiǎn)進(jìn)行評(píng)估，形成評(píng)估報(bào)告，并對(duì)風(fēng)險(xiǎn)作出處置。6.7.2委托方物理和環(huán)境規(guī)劃委托方應(yīng)對(duì)本機(jī)構(gòu)的物理和環(huán)境作出規(guī)劃，防止外包服務(wù)商非授權(quán)接觸重要敏感信息：a)建立物理和環(huán)境安全策略，以及安全操作流程。b)將關(guān)鍵和重要敏感信息及信息處理設(shè)備控制在安全區(qū)域內(nèi)，且該區(qū)域具有清晰的安全邊界標(biāo)6.7.3外包服務(wù)商物理和環(huán)境規(guī)劃外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)的物理和環(huán)境作出規(guī)劃，防止承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)被非授權(quán)訪問(wèn)，合理劃分機(jī)房物理區(qū)域，合理布置信息系統(tǒng)組件，以防范火災(zāi)、電磁泄露等物理和環(huán)境威脅以及非授權(quán)訪問(wèn)等人為威脅。6.7.4物理環(huán)境訪問(wèn)控制委托方應(yīng)建立物理環(huán)境訪問(wèn)控制機(jī)制，對(duì)外包服務(wù)商的物理訪問(wèn)進(jìn)行授權(quán)：a)對(duì)所有機(jī)房、重要辦公空間實(shí)施物理訪問(wèn)授權(quán)，具體包括：在準(zhǔn)許進(jìn)入機(jī)房前驗(yàn)證其訪問(wèn)授權(quán)、使用門(mén)禁或警衛(wèi)實(shí)施機(jī)房出入控制等。b)制定和維護(hù)外包服務(wù)人員的物理訪問(wèn)審計(jì)日志。c)確保鑰匙、訪問(wèn)憑證以及其他物理訪問(wèn)設(shè)備的安全。d)定期或在鑰匙丟失、訪問(wèn)憑證受損以及相關(guān)人員發(fā)生變動(dòng)的情況下，更換鑰匙和訪問(wèn)憑證。6.7.5物理訪問(wèn)監(jiān)控委托方應(yīng)設(shè)置物理訪問(wèn)監(jiān)控設(shè)備：a)在本機(jī)構(gòu)設(shè)置物理訪問(wèn)監(jiān)控設(shè)備，使物理訪問(wèn)監(jiān)控設(shè)備保持24小時(shí)開(kāi)啟，并制定對(duì)監(jiān)控記錄的授權(quán)查閱流程。b)當(dāng)發(fā)生安全事件時(shí)，對(duì)物理訪問(wèn)日志進(jìn)行查閱。6.7.6設(shè)備運(yùn)送和移除委托方應(yīng)：DB14/T1251—2016a)建立重要設(shè)備臺(tái)帳，明確設(shè)備所有權(quán)，并確定責(zé)任人。b)對(duì)重要設(shè)備進(jìn)入和離開(kāi)機(jī)房進(jìn)行授權(quán)和監(jiān)控，并制定和維護(hù)相關(guān)記錄。6.7.7資源管理委托方應(yīng)：a)編制并維護(hù)與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括信息資產(chǎn)、軟件資產(chǎn)、有形資產(chǎn)、應(yīng)用業(yè)務(wù)相關(guān)資產(chǎn)、計(jì)算和通信設(shè)備等。b)標(biāo)識(shí)出資產(chǎn)所有權(quán)、責(zé)任人、安全分類(lèi)及所在位置等。c)根據(jù)資產(chǎn)的價(jià)值或重要性對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)，進(jìn)行分級(jí)管理。d)對(duì)信息系統(tǒng)內(nèi)不同業(yè)務(wù)相關(guān)信息，按其對(duì)安全性的不同要求分類(lèi)并加以標(biāo)識(shí)，進(jìn)行分類(lèi)管理。7.1服務(wù)商選擇與供應(yīng)鏈安全7.1.1服務(wù)商選擇準(zhǔn)則委托方應(yīng)對(duì)潛在外包服務(wù)商進(jìn)行風(fēng)險(xiǎn)評(píng)估，依據(jù)以下準(zhǔn)則確定外包服務(wù)商：a)綜合分析各方面的信息，包括執(zhí)法部門(mén)披露的信息、信息安全通報(bào)、應(yīng)急響應(yīng)機(jī)構(gòu)的風(fēng)險(xiǎn)提示、國(guó)家網(wǎng)絡(luò)安全審查結(jié)果等，排除存在安全隱患的外包服務(wù)商。b)外包服務(wù)商的法人及主要業(yè)務(wù)人員、技術(shù)人員無(wú)犯罪記錄，外包服務(wù)商具有固定的辦公場(chǎng)所，具備保障信息技術(shù)服務(wù)安全實(shí)施的技術(shù)、財(cái)務(wù)等能力。c)對(duì)需要資質(zhì)的信息技術(shù)服務(wù)，如信息安全測(cè)評(píng)、云計(jì)算等，外包服務(wù)商應(yīng)已獲得相應(yīng)資質(zhì)。d)外包服務(wù)商的員工中，所有參與外包活動(dòng)的員工滿(mǎn)足以下條件：1)持有相應(yīng)服務(wù)所需的人員資質(zhì)。2)定期接受信息安全培訓(xùn)，具有較強(qiáng)的信息安全意識(shí)。3)與外包服務(wù)機(jī)構(gòu)簽署了長(zhǎng)期固定勞動(dòng)合同，并且簽訂了保密協(xié)議。4)為中國(guó)公民。5)接受過(guò)本機(jī)構(gòu)或政府主管部門(mén)組織的背景審查。e)外包服務(wù)商在中華人民共和國(guó)境內(nèi)（港澳臺(tái)地區(qū)除外）注冊(cè)，由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資注冊(cè)成立，外包服務(wù)商處理委托方業(yè)務(wù)和數(shù)據(jù)的數(shù)據(jù)中心、服務(wù)器位于中國(guó)境內(nèi)（港澳臺(tái)地區(qū)除外）。f)基于成功案例、歷史合作關(guān)系、資本關(guān)系、法律管轄權(quán)、合同承諾等因素，委托方與外包服務(wù)商之間已建立并保持一定程度的信任關(guān)系。7.1.2服務(wù)外包合同委托方應(yīng)與外包服務(wù)商簽署服務(wù)外包合同，合同應(yīng)包含以下幾方面內(nèi)容：a)制定信息安全條款，具體內(nèi)容包括但不限于：1)服務(wù)外包信息安全目標(biāo)和衡量標(biāo)準(zhǔn)。2)服務(wù)外包信息安全保障范圍和費(fèi)用。3)不得占有服務(wù)過(guò)程中產(chǎn)生的任何資產(chǎn)。4)不得以服務(wù)為由強(qiáng)制要求購(gòu)買(mǎi)、使用指定產(chǎn)品。5)不泄露委托方重要敏感信息的信息安全承諾。6)服務(wù)外包過(guò)程中的知識(shí)產(chǎn)權(quán)歸屬。DB14/T1251—20167)明示外包服務(wù)機(jī)構(gòu)在使用和處理數(shù)據(jù)過(guò)程中的所有權(quán)、邊界控制等要求。8)明示外包服務(wù)機(jī)構(gòu)接受信息安全主管部門(mén)監(jiān)督檢查的責(zé)任義務(wù)。9)服務(wù)外包意外終止或變更的要求。b)在信息安全影響因素發(fā)生變更后，及時(shí)修訂信息安全條款。c)確保信息安全條款被外包服務(wù)機(jī)構(gòu)及其服務(wù)人員所周知。d)確保外包服務(wù)商承諾對(duì)委托方的信息安全負(fù)責(zé)，不利用提供服務(wù)的便利危害委托方業(yè)務(wù)和數(shù)據(jù)的安全，不在未獲得明確授權(quán)情況下泄露服務(wù)過(guò)程中獲取的委托方數(shù)據(jù)。e)確保外包服務(wù)商承諾未經(jīng)委托方書(shū)面許可不將服務(wù)進(jìn)行分包。f)確保外包服務(wù)商的信息系統(tǒng)中，承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)接受與委托方信息系統(tǒng)同等的信息安全監(jiān)督管理，并采取與委托方信息系統(tǒng)同等強(qiáng)度的信息安全防護(hù)措施。g)明確定義服務(wù)退出條件，包括但不限于以下內(nèi)容：1)當(dāng)服務(wù)合同到期后的正常退出條件。2)當(dāng)服務(wù)發(fā)生錯(cuò)誤且不能在一個(gè)有效時(shí)間內(nèi)處理完成的退出條件。3)與外包服務(wù)機(jī)構(gòu)協(xié)商達(dá)成一致的合同撤銷(xiāo)退出條件。4)服務(wù)合同內(nèi)容的修改或調(diào)整退出條件。h)建立服務(wù)退出策略中有關(guān)信息安全的管理要求：1)依據(jù)不同的服務(wù)退出條件，定義服務(wù)退出過(guò)程中及退出后的管理角色和職責(zé)。2)保證信息技術(shù)服務(wù)信息安全質(zhì)量在退出階段能夠維持服務(wù)合同中的信息安全管理要求。3)在服務(wù)退出過(guò)程中，退還所有服務(wù)涉及的文檔。4)保證在服務(wù)合同終止之后對(duì)服務(wù)內(nèi)容和信息的保密性要求。5)將政府部門(mén)的數(shù)據(jù)有效地消除或移除，確保數(shù)據(jù)不被其他組織或個(gè)人公開(kāi)。6)當(dāng)服務(wù)失敗或企業(yè)破產(chǎn)等突發(fā)情況發(fā)生時(shí)，保留繼續(xù)雇用服務(wù)人員開(kāi)展服務(wù)工作的權(quán)利。i)外包服務(wù)商在服務(wù)退出時(shí)的信息安全承諾，包括但不限于以下內(nèi)容：1)及時(shí)刪除信息技術(shù)服務(wù)過(guò)程中生成的子賬戶(hù)或子功能。2)在服務(wù)退出過(guò)程中，退還所有委托方的數(shù)據(jù)和文檔。3)在合理的時(shí)間內(nèi)刪除所有委托方的數(shù)據(jù)和文檔。j)外包服務(wù)商承諾不在未獲得明確授權(quán)情況下向境外傳輸委托方的數(shù)據(jù)。7.1.3供應(yīng)鏈安全外包服務(wù)商應(yīng)實(shí)施以下供應(yīng)鏈安全措施：a)明確有哪些服務(wù)或采購(gòu)的產(chǎn)品對(duì)委托方的業(yè)務(wù)和數(shù)據(jù)可能會(huì)造成嚴(yán)重影響，并確保涉及外包服務(wù)的重要設(shè)備通過(guò)國(guó)家和地方主管部門(mén)規(guī)定的安全檢測(cè)。b)向委托方承諾，不使用含有惡意代碼的產(chǎn)品、有缺陷產(chǎn)品或假冒產(chǎn)品。c)對(duì)外包服務(wù)所涉及的產(chǎn)品開(kāi)發(fā)環(huán)境、信息存儲(chǔ)設(shè)備等實(shí)施安全控制。d)對(duì)信息技術(shù)外包服務(wù)交付物采取可信或可控的分發(fā)、交付和倉(cāng)儲(chǔ)手段。e)承載委托方業(yè)務(wù)和數(shù)據(jù)的所有信息系統(tǒng)組件均可追蹤至下級(jí)供應(yīng)商，且對(duì)下級(jí)供應(yīng)商的安全實(shí)施了進(jìn)一步的核查，并建立了評(píng)價(jià)下級(jí)供應(yīng)商安全態(tài)勢(shì)的準(zhǔn)則，與下級(jí)供應(yīng)商簽訂了安全合同。7.1.4外包服務(wù)商服務(wù)環(huán)境安全外包服務(wù)商應(yīng)確保其承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)滿(mǎn)足以下要求：a)將信息安全納入信息系統(tǒng)生命周期，確保信息安全與信息化同步規(guī)劃、同步建設(shè)、同步運(yùn)行。b)已經(jīng)獲得與委托方信息系統(tǒng)同樣安全等級(jí)的測(cè)評(píng)。DB14/T1251—2016c)對(duì)信息系統(tǒng)的安全措施進(jìn)行清晰描述，例如安全功能、機(jī)制、安全管理制度等，并向委托方提供詳細(xì)說(shuō)明。7.1.5開(kāi)發(fā)安全外包服務(wù)商在為委托方提供系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)等服務(wù)時(shí)，應(yīng)滿(mǎn)足以下要求：a)提供交付物時(shí)的缺省配置為安全配置，且已刪除所有測(cè)試接口，不含有后門(mén)或其他不必要的功b)確保系統(tǒng)開(kāi)發(fā)人員接受了軟件開(kāi)發(fā)安全培訓(xùn)。c)制定明確的開(kāi)發(fā)規(guī)范，在規(guī)范中明確以下事項(xiàng)：1)所開(kāi)發(fā)系統(tǒng)的安全需求。2)開(kāi)發(fā)過(guò)程中使用的標(biāo)準(zhǔn)和工具。3)開(kāi)發(fā)過(guò)程中使用的特定工具選項(xiàng)和工具配置。d)采取有關(guān)措施，確保開(kāi)發(fā)過(guò)程的完整性和工具變更的完整性。e)定期審查開(kāi)發(fā)過(guò)程、標(biāo)準(zhǔn)、工具以及工具選項(xiàng)和配置。f)在開(kāi)發(fā)過(guò)程的初始階段定義質(zhì)量度量標(biāo)準(zhǔn)，并定期檢查質(zhì)量度量標(biāo)準(zhǔn)的落實(shí)情況。g)確定安全問(wèn)題追蹤工具，并在開(kāi)發(fā)過(guò)程期間使用。h)對(duì)所開(kāi)發(fā)的系統(tǒng)執(zhí)行漏洞分析，明確漏洞利用的可能性，確定漏洞消減措施。i)即使在交付外包服務(wù)后，也應(yīng)跟蹤漏洞情況，發(fā)現(xiàn)漏洞后及時(shí)通知委托方，并向委托方提供經(jīng)驗(yàn)證的漏洞補(bǔ)丁。j)在開(kāi)發(fā)和測(cè)試環(huán)境使用生產(chǎn)數(shù)據(jù)時(shí)，應(yīng)先行批準(zhǔn)、記錄并進(jìn)行保護(hù)。k)對(duì)所開(kāi)發(fā)的外包服務(wù)信息系統(tǒng)及其組件或服務(wù)進(jìn)行安全測(cè)試。1)制定并實(shí)施安全評(píng)估計(jì)劃。2)更正在安全評(píng)估過(guò)程中發(fā)現(xiàn)的脆弱性和不足。3)使用靜態(tài)代碼分析工具識(shí)別常見(jiàn)缺陷，并記錄分析結(jié)果。4)實(shí)施威脅和脆弱性分析，并測(cè)試或評(píng)估已開(kāi)發(fā)完成的交付物。l)提供能夠驗(yàn)證軟件和固件組件完整性的方法，如哈希算法。m)提供對(duì)硬件組件進(jìn)行完整性驗(yàn)證的方法，如防偽標(biāo)簽、可核查序列號(hào)、防篡改技術(shù)等。7.1.6系統(tǒng)文檔外包服務(wù)商在服務(wù)結(jié)束后應(yīng)向委托方提交以下系統(tǒng)文檔：a)管理員文檔，至少應(yīng)涵蓋以下信息：1)所開(kāi)發(fā)的信息系統(tǒng)及其組件或服務(wù)的安全配置，以及安裝和運(yùn)行說(shuō)明。2)安全特性或功能的使用和維護(hù)說(shuō)明。3)與管理功能有關(guān)的配置和使用方面的注意事項(xiàng)。b)用戶(hù)文檔，至少應(yīng)涵蓋以下信息：1)用戶(hù)可使用的安全功能或機(jī)制，以及對(duì)如何有效使用這些安全功能或機(jī)制的說(shuō)明。2)有助于用戶(hù)更安全地使用信息系統(tǒng)及其組件或服務(wù)的方法或說(shuō)明。3)對(duì)用戶(hù)安全責(zé)任和注意事項(xiàng)的說(shuō)明。7.1.7培訓(xùn)外包服務(wù)商應(yīng)對(duì)委托方提供培訓(xùn)，以幫助委托方正確使用所交付系統(tǒng)或產(chǎn)品中的安全功能、措施和機(jī)制。DB14/T1251—20167.2訪問(wèn)控制7.2.1標(biāo)識(shí)符管理委托方應(yīng)通過(guò)以下步驟管理外包服務(wù)人員在信息系統(tǒng)中的標(biāo)識(shí)符：a)明確由專(zhuān)門(mén)的授權(quán)人員為外包服務(wù)人員分配個(gè)人、組、角色或設(shè)備標(biāo)識(shí)符。b)將標(biāo)識(shí)符分配給有關(guān)個(gè)人、組、角色或設(shè)備。c)在服務(wù)結(jié)束后禁用外包服務(wù)人員的標(biāo)識(shí)符。d)在合理的時(shí)間段內(nèi)防止對(duì)用戶(hù)或設(shè)備標(biāo)識(shí)符的重用。7.2.2鑒別憑證管理委托方應(yīng)通過(guò)以下步驟管理外包服務(wù)人員的鑒別憑證：a)驗(yàn)證鑒別憑證接收對(duì)象（個(gè)人、組、角色或設(shè)備）的身份。b)確定鑒別憑證的初始內(nèi)容。c)確保鑒別憑證能夠有效防止偽造和篡改。d)針對(duì)鑒別憑證的初始分發(fā)、丟失處置以及收回，建立和實(shí)施管理規(guī)程。e)保護(hù)鑒別憑證內(nèi)容，以防泄露和篡改。f)當(dāng)組或角色賬號(hào)的成員資格發(fā)生變化時(shí)，變更該賬號(hào)的鑒別憑證。g)在服務(wù)結(jié)束后收回鑒別憑證。h)明確鑒別憑證的最小和最大生存時(shí)間限制以及再用條件。i)要求在一定時(shí)間段之后更新鑒別憑證。7.2.3數(shù)據(jù)靜態(tài)保護(hù)外包服務(wù)商應(yīng)采取以下措施，防止其信息系統(tǒng)中承載的委托方業(yè)務(wù)或數(shù)據(jù)被非授權(quán)訪問(wèn)：a)對(duì)委托方的業(yè)務(wù)和數(shù)據(jù)實(shí)施嚴(yán)格的訪問(wèn)控制，確保未經(jīng)委托方授權(quán)的人員不能訪問(wèn)其業(yè)務(wù)和數(shù)據(jù)，包括外包服務(wù)商。b)部署數(shù)據(jù)挖掘檢測(cè)，對(duì)系統(tǒng)中存儲(chǔ)的委托方數(shù)據(jù)受到的數(shù)據(jù)挖掘和大數(shù)據(jù)分析行為能夠及時(shí)發(fā)7.2.4數(shù)據(jù)流控制外包服務(wù)商應(yīng)在確保委托方隱私權(quán)和安全利益的前提下，對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)實(shí)施數(shù)據(jù)流控制措施：a)控制委托方數(shù)據(jù)在系統(tǒng)內(nèi)或互連系統(tǒng)間流向第三方。根據(jù)實(shí)際情況，數(shù)據(jù)流控制策略的實(shí)現(xiàn)方式可包括：將相關(guān)數(shù)據(jù)屬性（如數(shù)據(jù)內(nèi)容和數(shù)據(jù)結(jié)構(gòu)）、源與目的地對(duì)象等作為數(shù)據(jù)流控制的決策基礎(chǔ)。b)必要時(shí)對(duì)數(shù)據(jù)流實(shí)施人工審查。c)在不同的安全域之間傳輸信息時(shí)，檢查信息中是否存在敏感信息，并遵循相關(guān)安全策略，禁止傳輸此類(lèi)信息。7.2.5最小特權(quán)委托方應(yīng)按照最小特權(quán)原則，賦予外包服務(wù)商在本系統(tǒng)、本機(jī)構(gòu)中的邏輯和物理訪問(wèn)權(quán)限：a)為外包服務(wù)商提供的訪問(wèn)權(quán)限應(yīng)是其完成外包服務(wù)所必需的，符合本機(jī)構(gòu)的業(yè)務(wù)需求。b)將特權(quán)功能的執(zhí)行納入信息系統(tǒng)需要審計(jì)的事件之中。DB14/T1251—2016c)確保具有訪問(wèn)系統(tǒng)安全功能或安全相關(guān)信息的特權(quán)賬號(hào)或角色用戶(hù)，當(dāng)訪問(wèn)非安全功能時(shí)，使用非特權(quán)賬號(hào)或角色。7.2.6邊界保護(hù)外包服務(wù)商應(yīng)對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)實(shí)施邊界保護(hù)措施：a)在連接外部系統(tǒng)的邊界和內(nèi)部關(guān)鍵邊界上，對(duì)通信進(jìn)行監(jiān)控；在訪問(wèn)系統(tǒng)的關(guān)鍵邏輯邊界上，對(duì)通信進(jìn)行監(jiān)控。b)將允許外部公開(kāi)直接訪問(wèn)的組件，劃分在一個(gè)與內(nèi)部網(wǎng)絡(luò)邏輯隔離的子網(wǎng)絡(luò)上。并確保允許外部人員訪問(wèn)的組件與允許委托方訪問(wèn)的組件在邏輯層面實(shí)現(xiàn)嚴(yán)格的網(wǎng)絡(luò)隔離。c)確保與外部網(wǎng)絡(luò)或信息系統(tǒng)的連接只能通過(guò)嚴(yán)格管理的接口進(jìn)行，該接口上應(yīng)部署有邊界保護(hù)設(shè)備。7.2.7數(shù)據(jù)傳輸保護(hù)外包服務(wù)商應(yīng)對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)實(shí)施數(shù)據(jù)傳輸保護(hù)措施，例如實(shí)施加密機(jī)制，以防止委托方的業(yè)務(wù)或信息被非授權(quán)訪問(wèn)、篡改、使用、復(fù)制或刪除。7.2.8遠(yuǎn)程訪問(wèn)委托方應(yīng)實(shí)施以下遠(yuǎn)程訪問(wèn)措施，嚴(yán)格管理外包服務(wù)商對(duì)委托方信息系統(tǒng)的遠(yuǎn)程訪問(wèn)：a)明確遠(yuǎn)程訪問(wèn)使用條件、配置和連接要求，并經(jīng)信息安全主管領(lǐng)導(dǎo)批準(zhǔn)。b)采取有關(guān)措施保證遠(yuǎn)程訪問(wèn)的安全，如多因子認(rèn)證、VPN（虛擬專(zhuān)用網(wǎng)）、數(shù)字證書(shū)等。c)在每一次遠(yuǎn)程連接前，對(duì)遠(yuǎn)程訪問(wèn)進(jìn)行單獨(dú)授權(quán)，在到達(dá)規(guī)定的時(shí)間或單次外包活動(dòng)結(jié)束后，終止遠(yuǎn)程訪問(wèn)。d)確保所有遠(yuǎn)程訪問(wèn)只能經(jīng)過(guò)有限數(shù)量的、受管理的訪問(wèn)控制點(diǎn)。e)對(duì)遠(yuǎn)程執(zhí)行特權(quán)命令進(jìn)行限制（如創(chuàng)建系統(tǒng)賬號(hào)、配置訪問(wèn)授權(quán)、執(zhí)行系統(tǒng)管理功能、審計(jì)系統(tǒng)事件或訪問(wèn)事件日志等）。僅在必要情況下，才能通過(guò)遠(yuǎn)程訪問(wèn)的方式，授權(quán)執(zhí)行特權(quán)命令或訪問(wèn)安全相關(guān)信息，并采取更嚴(yán)格的保護(hù)措施且進(jìn)行審計(jì)。7.3維護(hù)7.3.1受控維護(hù)委托方應(yīng)對(duì)外包服務(wù)商在本系統(tǒng)中的運(yùn)維活動(dòng)采取以下安全管理措施：a)根據(jù)信息系統(tǒng)組件的規(guī)格說(shuō)明以及自身的業(yè)務(wù)需求，對(duì)信息系統(tǒng)組件的維護(hù)和修理進(jìn)行規(guī)劃、實(shí)施、記錄，并對(duì)維護(hù)和修理記錄進(jìn)行審查。b)審批和監(jiān)視所有維護(hù)行為，包括現(xiàn)場(chǎng)維護(hù)、遠(yuǎn)程維護(hù)，以及對(duì)設(shè)備的異地維護(hù)。c)在將信息系統(tǒng)組件轉(zhuǎn)移到外部進(jìn)行非現(xiàn)場(chǎng)的維護(hù)或維修前，應(yīng)獲得本機(jī)構(gòu)信息安全主管領(lǐng)導(dǎo)的批準(zhǔn)。d)在將信息系統(tǒng)組件轉(zhuǎn)移到外部進(jìn)行非現(xiàn)場(chǎng)的維護(hù)或維修前，應(yīng)對(duì)各類(lèi)介質(zhì)進(jìn)行凈化，清除其中的信息。e)在對(duì)信息系統(tǒng)或組件進(jìn)行維護(hù)或維修后，檢查所有可能受影響的安全措施，以確認(rèn)其仍正常發(fā)揮功能。f)在維護(hù)記錄中，至少應(yīng)包括：維護(hù)日期和時(shí)間、維護(hù)人員姓名、陪同人員姓名、對(duì)維護(hù)活動(dòng)的描述、被轉(zhuǎn)移或替換的設(shè)備列表（包括設(shè)備標(biāo)識(shí)號(hào)）等信息。7.3.2維護(hù)工具DB14/T1251—2016委托方應(yīng)采取以下措施，審批、控制并監(jiān)視維護(hù)工具的使用：a)檢查由維護(hù)人員帶入設(shè)施內(nèi)部的維護(hù)工具，以確保維護(hù)工具未被不當(dāng)修改。b)在使用診斷或測(cè)試程序前，對(duì)其進(jìn)行惡意代碼檢測(cè)。c)為防止具有信息存儲(chǔ)功能的維護(hù)設(shè)備在非授權(quán)情況下被轉(zhuǎn)移出控制范圍，采取以下一種或多種措施，并獲得本機(jī)構(gòu)信息安全主管領(lǐng)導(dǎo)的批準(zhǔn)：1)確認(rèn)待轉(zhuǎn)移設(shè)備中沒(méi)有委托方的信息。2)凈化或破壞設(shè)備。7.3.3遠(yuǎn)程維護(hù)委托方應(yīng)對(duì)遠(yuǎn)程維護(hù)采取以下安全措施：a)針對(duì)遠(yuǎn)程維護(hù)鏈接及診斷鏈接的建立，明確規(guī)定有關(guān)策略和規(guī)程，對(duì)每次遠(yuǎn)程維護(hù)和診斷進(jìn)行審批和監(jiān)視。b)建立和保存對(duì)遠(yuǎn)程維護(hù)和診斷活動(dòng)的記錄。c)對(duì)所有遠(yuǎn)程維護(hù)和診斷活動(dòng)進(jìn)行審計(jì)，并定期對(duì)所有遠(yuǎn)程維護(hù)和診斷會(huì)話(huà)的記錄進(jìn)行審查。d)僅允許使用事先報(bào)備、符合委托方要求并經(jīng)批準(zhǔn)的遠(yuǎn)程維護(hù)和診斷工具，例如可要求遠(yuǎn)程維護(hù)和診斷活動(dòng)中所有流入和流出的信息均對(duì)委托方可見(jiàn)。7.3.4維護(hù)人員委托方應(yīng)采取以下措施，加強(qiáng)對(duì)維護(hù)人員的安全管理：a)建立對(duì)維護(hù)人員的授權(quán)流程，對(duì)已獲授權(quán)的人員建立列表。b)確保只有列表中的維護(hù)人員，才可在沒(méi)有人員陪同時(shí)進(jìn)行系統(tǒng)維護(hù)；不在列表中的人員，必須在授權(quán)且技術(shù)可勝任的人員陪同與監(jiān)管下，才可開(kāi)展維護(hù)活動(dòng)。7.3.5及時(shí)維護(hù)委托方應(yīng)建立重要系統(tǒng)組件的備品備件列表，并要求外包服務(wù)商提供相應(yīng)的備品備件，便于在發(fā)生故障時(shí)使信息系統(tǒng)盡快投入運(yùn)行。7.3.6外包服務(wù)商系統(tǒng)維護(hù)外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)進(jìn)行安全維護(hù)，并定期將維護(hù)記錄向委托方提交。7.3.7變更控制委托方應(yīng)采取以下變更控制措施，防止外包服務(wù)商對(duì)委托方信息系統(tǒng)和承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)進(jìn)行非授權(quán)更改：a)明確信息系統(tǒng)中有哪些變更需要包含在受控配置列表中，如主機(jī)配置項(xiàng)、網(wǎng)絡(luò)配置項(xiàng)等。b)建立對(duì)受控配置進(jìn)行變更的授權(quán)程序。c)審查所提交的受控配置變更事項(xiàng)，根據(jù)安全影響分析結(jié)果決定批準(zhǔn)或否決，并進(jìn)行記錄。d)保留信息系統(tǒng)中受控配置的變更記錄。e)定期對(duì)受控配置變更活動(dòng)進(jìn)行審查。f)在每次實(shí)施變更之前，對(duì)變更項(xiàng)進(jìn)行分析，以判斷該變更事項(xiàng)對(duì)信息安全帶來(lái)的潛在影響。g)要求外包服務(wù)商實(shí)施變更之前，對(duì)受控配置變更項(xiàng)進(jìn)行測(cè)試、驗(yàn)證和記錄。h)限制外包服務(wù)商對(duì)生產(chǎn)環(huán)境中的信息系統(tǒng)及其硬件、軟件和固件進(jìn)行直接變更i)定期對(duì)外包服務(wù)商掌握的變更權(quán)限進(jìn)行審查和再評(píng)估。DB14/T1251—2016j)要求外包服務(wù)商對(duì)其機(jī)構(gòu)內(nèi)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)實(shí)施變更控制，明確受控配置列表，重大變更應(yīng)事先得到委托方批準(zhǔn)。7.3.8信息安全管理策略外包服務(wù)商應(yīng)制定信息安全管理策略，包括：a)明確管理目標(biāo)與范圍，制定包括系統(tǒng)設(shè)施和操作等內(nèi)容的系統(tǒng)安全目標(biāo)與范圍計(jì)劃文件。b)為達(dá)到相應(yīng)等級(jí)技術(shù)要求，提供相應(yīng)的管理保證。c)提供對(duì)信息系統(tǒng)進(jìn)行基本安全保護(hù)的安全功能和安全管理措施，確保安全功能達(dá)到預(yù)期目標(biāo)，使信息免遭非授權(quán)的泄露和破壞，基本保證信息系統(tǒng)安全運(yùn)行。d)建立相應(yīng)的安全管理機(jī)構(gòu)，制定相應(yīng)的安全操作規(guī)程。e)制定信息系統(tǒng)風(fēng)險(xiǎn)管理計(jì)劃。f)提供對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)的比較完整的系統(tǒng)化安全保護(hù)的能力和比較完善的安全管理措施，從整體上保護(hù)信息免遭非授權(quán)的泄露和破壞，保證信息系統(tǒng)安全正常運(yùn)行。g)提供對(duì)信息系統(tǒng)進(jìn)行強(qiáng)制安全保護(hù)的能力，并采取必要的強(qiáng)制性安全管理措施，確保數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞，保證信息系統(tǒng)安全運(yùn)行。7.3.9信息安全管理規(guī)定外包服務(wù)商應(yīng)制定以下幾方面內(nèi)容：a)制定基本的信息安全管理規(guī)定，包括信息安全管理規(guī)定、系統(tǒng)安全管理規(guī)定、數(shù)據(jù)安全管理規(guī)定、防病毒規(guī)定、機(jī)房安全管理規(guī)定、設(shè)備使用管理規(guī)定、人員安全管理規(guī)定、安全審計(jì)管理規(guī)定、用戶(hù)管理規(guī)定、風(fēng)險(xiǎn)管理規(guī)定、信息分類(lèi)分級(jí)管理規(guī)定、安全事件報(bào)告規(guī)定、事故處理規(guī)定、應(yīng)急管理規(guī)定和災(zāi)難恢復(fù)管理規(guī)定等以及相關(guān)規(guī)程。b)制定全面的信息安全管理規(guī)定，包括：1)機(jī)房、主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)施、物理設(shè)施分類(lèi)標(biāo)記等系統(tǒng)資源安全管理規(guī)定。2)安全配置、系統(tǒng)分發(fā)和操作、系統(tǒng)文檔、測(cè)試和脆弱性評(píng)估、系統(tǒng)信息安全備份和相關(guān)的操作規(guī)程等系統(tǒng)和數(shù)據(jù)庫(kù)安全管理規(guī)定。3)網(wǎng)絡(luò)連接檢查評(píng)估、網(wǎng)絡(luò)使用授權(quán)、網(wǎng)絡(luò)檢測(cè)、網(wǎng)絡(luò)設(shè)施（設(shè)備和協(xié)議）變更控制和相關(guān)的操作規(guī)程等網(wǎng)絡(luò)安全管理規(guī)定。4)應(yīng)用安全評(píng)估、應(yīng)用系統(tǒng)使用授權(quán)、應(yīng)用系統(tǒng)配置管理、應(yīng)用系統(tǒng)文檔管理和相關(guān)的操作規(guī)程等應(yīng)用安全管理規(guī)定。5)人員安全管理、安全意識(shí)與安全技術(shù)教育、操作安全、操作系統(tǒng)和數(shù)據(jù)庫(kù)安全、系統(tǒng)運(yùn)行記錄、病毒防護(hù)、系統(tǒng)維護(hù)、網(wǎng)絡(luò)互聯(lián)、安全審計(jì)、安全事件報(bào)告、事故處理、應(yīng)急管理、災(zāi)難恢復(fù)和相關(guān)的操作規(guī)程等運(yùn)行安全管理規(guī)定。6)信息分類(lèi)標(biāo)記、涉密信息管理、文檔管理、存儲(chǔ)介質(zhì)管理、信息披露與發(fā)布審批管理、第三方訪問(wèn)控制和相關(guān)的操作規(guī)程等信息安全管理規(guī)定。7.4事件處理7.4.1事件處理計(jì)劃為及時(shí)應(yīng)對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)可能發(fā)生的信息安全事件，外包服務(wù)商應(yīng)制定事件處理計(jì)劃：a)事件處理計(jì)劃應(yīng)包括：1)說(shuō)明啟動(dòng)事件處理計(jì)劃的條件和方法。DB14/T1251—20162)說(shuō)明其機(jī)構(gòu)內(nèi)與事件處理有關(guān)的組織架構(gòu)。3)定義需要報(bào)告的安全事件。4)定義必要的資源和管理支持。5)提供事件處理能力的度量目標(biāo)。b)定期審查和修訂事件處理計(jì)劃。c)事件處理計(jì)劃應(yīng)得到委托方的同意，并告知委托方和外包服務(wù)商的所有相關(guān)部門(mén)與人員。d)防止事件處理計(jì)劃受到非授權(quán)泄露和更改。7.4.2事件處理活動(dòng)外包服務(wù)商應(yīng)采取以下措施，對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)發(fā)生的信息安全事件進(jìn)行處置：a)為安全事件的處理提供必需的資源和管理支持。b)將在事件處理活動(dòng)中獲得的經(jīng)驗(yàn)，納入事件處理、培訓(xùn)及演練計(jì)劃，并實(shí)施相應(yīng)的變更。c)協(xié)調(diào)應(yīng)急響應(yīng)活動(dòng)與事件處理活動(dòng)，并與相關(guān)外部組織（如國(guó)家和地方信息安全應(yīng)急處理機(jī)構(gòu)）進(jìn)行協(xié)調(diào)。d)使用自動(dòng)機(jī)制支持事件處理過(guò)程。7.4.3事件報(bào)告承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)發(fā)生信息安全事件后，外包服務(wù)商應(yīng)及時(shí)啟動(dòng)事件報(bào)告機(jī)制：a)當(dāng)發(fā)現(xiàn)可疑的安全事件時(shí)，應(yīng)立即向委托方報(bào)告有關(guān)情況。b)建立事件報(bào)告渠道，當(dāng)發(fā)生影響較大的安全事件時(shí)，向國(guó)家和地方應(yīng)急響應(yīng)組織及有關(guān)信息安全主管部門(mén)報(bào)告。c)使用自動(dòng)機(jī)制支持事件報(bào)告過(guò)程。7.4.4事件處理支持外包服務(wù)商應(yīng)提供以下事件處理支持：a)落實(shí)事件處理所需的各類(lèi)支持資源，為委托方處理、報(bào)告安全事件提供咨詢(xún)和幫助。b)使用自動(dòng)機(jī)制，為事件處理提供進(jìn)一步的資源支持。c)在事件處理部門(mén)和外部的信息安全組織之間建立直接合作關(guān)系，能夠在必要時(shí)獲得外部組織的協(xié)助。7.4.5應(yīng)急演練外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)開(kāi)展應(yīng)急演練：a)至少每年制定或修訂應(yīng)急演練計(jì)劃，并與委托方充分協(xié)商，聽(tīng)取委托方意見(jiàn)。b)定期執(zhí)行應(yīng)急演練計(jì)劃，并且至少在演練開(kāi)始前一個(gè)月通知委托方和相關(guān)機(jī)構(gòu)。c)記錄和核查應(yīng)急演練結(jié)果，并根據(jù)需要修訂應(yīng)急響應(yīng)計(jì)劃。d)與委托方和其他有關(guān)部門(mén)（如應(yīng)急響應(yīng)組織）進(jìn)行溝通協(xié)調(diào)，為應(yīng)急演練提供保障條件。e)向委托方提供演練記錄、演練總結(jié)報(bào)告等。7.5審計(jì)7.5.1委托方審計(jì)委托方應(yīng)對(duì)外包服務(wù)商的下述活動(dòng)進(jìn)行審計(jì)，并唯一掌握審計(jì)管理員權(quán)限：a)在線審計(jì)外包服務(wù)商在委托方信息系統(tǒng)中的所有活動(dòng)。DB14/T1251—2016b)記錄外包服務(wù)商在委托方物理場(chǎng)所內(nèi)的所有活動(dòng)。c)在線審計(jì)委托方的業(yè)務(wù)和數(shù)據(jù)委托給外包服務(wù)商后，所有對(duì)委托方業(yè)務(wù)和數(shù)據(jù)的訪問(wèn)、操作行7.5.2外包服務(wù)商審計(jì)外包服務(wù)商應(yīng)開(kāi)展以下審計(jì)：a)根據(jù)所獲得的授權(quán)，審計(jì)本系統(tǒng)、本機(jī)構(gòu)中所有對(duì)委托方業(yè)務(wù)和數(shù)據(jù)的訪問(wèn)、操作行為，并定期向委托方提交審計(jì)報(bào)告。b)對(duì)本機(jī)構(gòu)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)運(yùn)行情況進(jìn)行審計(jì)，并定期向委托方提交審計(jì)報(bào)7.5.3審計(jì)記錄內(nèi)容委托方和外包服務(wù)商的審計(jì)記錄內(nèi)容至少包括：a)事件類(lèi)型、事件發(fā)生的時(shí)間和地點(diǎn)、事件來(lái)源、事件結(jié)果以及與事件相關(guān)的用戶(hù)或主體的身份。b)會(huì)話(huà)、連接、事務(wù)、活動(dòng)持續(xù)期、接收和發(fā)出的字節(jié)數(shù)量、用于診斷或標(biāo)識(shí)事件的附加信息報(bào)文、用于描述和標(biāo)識(shí)行動(dòng)客體或資源的特征等信息。7.5.4審計(jì)記錄保護(hù)委托方和外包服務(wù)商應(yīng)對(duì)審計(jì)記錄提供以下保護(hù)：a)根據(jù)審計(jì)記錄存儲(chǔ)需求，配置審計(jì)記錄存儲(chǔ)容量。b)當(dāng)審計(jì)記錄存儲(chǔ)容量即將用完時(shí)，例如剩余10%，向?qū)徲?jì)管理員報(bào)警。c)當(dāng)審計(jì)記錄存儲(chǔ)容量用完時(shí)，覆蓋最早的審計(jì)記錄，不得中斷審計(jì)。d)當(dāng)審計(jì)過(guò)程失敗時(shí)，向?qū)徲?jì)管理員報(bào)警。e)對(duì)審計(jì)記錄和審計(jì)工具實(shí)施訪問(wèn)控制機(jī)制，防止非授權(quán)訪問(wèn)、篡改或刪除。f)外包服務(wù)商應(yīng)向委托方提供證據(jù)，證明所有提供給委托方的審計(jì)數(shù)據(jù)都是真實(shí)、完整的，未被修改、隱藏或刪除。7.5.5審計(jì)的審查、分析和報(bào)告委托方和外包服務(wù)商應(yīng)對(duì)審計(jì)記錄進(jìn)行審查、分析并報(bào)告敏感事件：a)能夠根據(jù)不同審計(jì)類(lèi)別對(duì)審計(jì)記錄進(jìn)行檢索和處理。審計(jì)類(lèi)別包括用戶(hù)身份、事件類(lèi)型、事件發(fā)生位置、事件發(fā)生時(shí)間以及事件涉及的IP地址和系統(tǒng)資源等。b)定期對(duì)審計(jì)記錄進(jìn)行審查和分析，以發(fā)現(xiàn)非授權(quán)訪問(wèn)委托方業(yè)務(wù)和數(shù)據(jù)等不當(dāng)或異?；顒?dòng)，并向系統(tǒng)管理員報(bào)告。c)當(dāng)法律法規(guī)、委托方的需求或信息系統(tǒng)面臨的威脅環(huán)境發(fā)生變化時(shí)，調(diào)整對(duì)審計(jì)記錄進(jìn)行審查、分析、報(bào)告的策略。d)使用自動(dòng)機(jī)制對(duì)審查、分析和報(bào)告過(guò)程進(jìn)行整合，以支持對(duì)可疑活動(dòng)的調(diào)查和響應(yīng)。7.5.6持續(xù)監(jiān)視委托機(jī)構(gòu)應(yīng)持續(xù)監(jiān)視外包服務(wù)商提供外包服務(wù)的全過(guò)程：a)定期評(píng)估外包活動(dòng)信息安全執(zhí)行情況，以確保信息技術(shù)服務(wù)的信息安全質(zhì)量和連續(xù)性。b)定期評(píng)估內(nèi)外部信息安全風(fēng)險(xiǎn)和威脅變化情況，必要時(shí)調(diào)整對(duì)外包服務(wù)機(jī)構(gòu)提出的安全要求，具體評(píng)估內(nèi)容包括：1)本機(jī)構(gòu)的組織機(jī)構(gòu)、人員管理、數(shù)據(jù)管理等隨著信息技術(shù)服務(wù)執(zhí)行而面臨的新脆弱性。DB14/T1251—20162)外包服務(wù)商及其人員的安全性和可靠性。3)信息技術(shù)服務(wù)類(lèi)型、服務(wù)方式、服務(wù)產(chǎn)品等要素的調(diào)整而造成的新威脅。4)信息安全事件的處置措施準(zhǔn)備情況。c)根據(jù)評(píng)估和審計(jì)結(jié)果，提出新的信息安全風(fēng)險(xiǎn)預(yù)防措施和改進(jìn)措施，并報(bào)主管領(lǐng)導(dǎo)批準(zhǔn)。d)外包服務(wù)商應(yīng)向委托方提供審計(jì)分析報(bào)告，該報(bào)告至少包括下述內(nèi)容，以便對(duì)外包服務(wù)商的服務(wù)情況進(jìn)行詳細(xì)監(jiān)管：1)提供的外包服務(wù)指標(biāo)是否達(dá)到服務(wù)級(jí)別協(xié)議的要求。2)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)的信息安全狀態(tài)的整體描述。3)審計(jì)中發(fā)現(xiàn)的異常情況以及處置情況。4)涉及委托方重要業(yè)務(wù)和數(shù)據(jù)的敏感操作的情況及其統(tǒng)計(jì)分析。5)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)的遠(yuǎn)程訪問(wèn)的總體情況及其統(tǒng)計(jì)分析。7.5.7時(shí)間戳委托機(jī)構(gòu)和外包服務(wù)商應(yīng)對(duì)審計(jì)機(jī)制設(shè)置時(shí)間戳：使用信息系統(tǒng)內(nèi)部系統(tǒng)時(shí)鐘生成審計(jì)記錄的時(shí)間戳，并滿(mǎn)足秒級(jí)的時(shí)間顆粒度。7.6人員安全7.6.1安全組織外包服務(wù)商應(yīng)建立或指定負(fù)責(zé)外包活動(dòng)信息安全的部門(mén)：a)負(fù)責(zé)保護(hù)本機(jī)構(gòu)承載的委托方業(yè)務(wù)和數(shù)據(jù)的安全。b)處理涉及委托方的信息安全事件。c)組織培訓(xùn)、應(yīng)急演練等活動(dòng)。d)制定、實(shí)施面向委托方信息安全的服務(wù)規(guī)章制度，并傳達(dá)至本機(jī)構(gòu)所有相關(guān)人員。e)定期或在信息安全策略或計(jì)劃發(fā)生變更時(shí)，評(píng)審和更新信息安全規(guī)章制度，以確保其持續(xù)適用和有效。f)對(duì)本機(jī)構(gòu)其他部門(mén)涉及委托方信息安全的活動(dòng)提出意見(jiàn)、建議，并在報(bào)經(jīng)本機(jī)構(gòu)主管領(lǐng)導(dǎo)同意后，監(jiān)督有關(guān)活動(dòng)的實(shí)施。g)向委托方提交審計(jì)記錄、事件處理報(bào)告、應(yīng)急演練計(jì)劃等重要文檔。7.6.2崗位風(fēng)險(xiǎn)與職責(zé)外包服務(wù)商應(yīng)制定與外包活動(dòng)有關(guān)的崗位清單：a)標(biāo)識(shí)出所有崗位的風(fēng)險(xiǎn)。b)建立上崗人員的篩選準(zhǔn)則。c)根據(jù)崗位風(fēng)險(xiǎn)，明確所有崗位的信息安全職責(zé)。d)對(duì)關(guān)鍵崗位進(jìn)行職責(zé)分離，并將職責(zé)分離情況記錄在案，通過(guò)訪問(wèn)控制措施進(jìn)行落實(shí)。e)自行或委托第三方機(jī)構(gòu)對(duì)上崗人員進(jìn)行背景審查，將所有相關(guān)人員背景審查情況報(bào)告委托方。7.6.3人員離職外包服務(wù)商一旦決定終止與某外包服務(wù)人員的雇傭關(guān)系，應(yīng)：a)事先告知委托方。b)要求該外包服務(wù)人員返還委托方業(yè)務(wù)和數(shù)據(jù)。c)立即禁止該人員對(duì)委托方業(yè)務(wù)和數(shù)據(jù)的訪問(wèn)。DB14/T1251—2016d)終止或撤銷(xiāo)與該人員相關(guān)的任何身份鑒別物或憑證。e)與該人員進(jìn)行離職面談，包括約定離職后不得利用掌握的信息和便利條件危害委托方的業(yè)務(wù)和數(shù)據(jù)。f)確保之前由該人員控制的信息和信息系統(tǒng)仍然可用。g)管理層和信息系統(tǒng)關(guān)鍵崗位人員離職時(shí)，要求其承諾離職后的保密要求。h)管理層和信息系統(tǒng)關(guān)鍵崗位人員離職時(shí)，對(duì)其進(jìn)行離崗安全審查。7.6.4人員調(diào)動(dòng)外包服務(wù)商應(yīng)對(duì)外包服務(wù)人員的調(diào)動(dòng)實(shí)施安全控制：a)在人員被再分配或調(diào)動(dòng)至其他內(nèi)部崗位時(shí)，評(píng)審和確認(rèn)是否有必要保留其對(duì)系統(tǒng)或設(shè)施的邏輯和物理訪問(wèn)權(quán)限。b)在正式下達(dá)調(diào)令后的一周或更短時(shí)間內(nèi)，啟動(dòng)再分配或調(diào)動(dòng)行動(dòng)，不得無(wú)故拖延。c)修改原有的訪問(wèn)授權(quán)。7.6.5第三方人員安全外包服務(wù)商應(yīng)對(duì)來(lái)訪本機(jī)構(gòu)并可能接觸委托方業(yè)務(wù)和數(shù)據(jù)的第三方人員實(shí)施安全控制措施：a)提出第三方供應(yīng)商（如合同商、外部應(yīng)用提供商等）的人員安全要求，包括安全角色和責(zé)任。b)要求第三方供應(yīng)商遵守本機(jī)構(gòu)的人員安全規(guī)章制度。c)監(jiān)視第三方供應(yīng)商的合規(guī)情況。7.6.6人員處罰外包服務(wù)商應(yīng)對(duì)外包服務(wù)人員建立人員處罰程序：a)對(duì)于違反信息安全規(guī)章制度的人員，啟動(dòng)處罰程序。b)在啟動(dòng)處罰程序時(shí)，通知本機(jī)構(gòu)相關(guān)部門(mén)，通報(bào)受處罰人員及處罰原因。c)將處罰情況報(bào)告委托方，并根據(jù)與委托方的合同要求，由委托方追溯受處罰人員的刑事或民事責(zé)任。7.6.7安全培訓(xùn)外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)外包服務(wù)人員、委托方及其他有關(guān)人員（包括管理層人員和合同商）提供信息安全意識(shí)培訓(xùn)：a)在以下情況下實(shí)施培訓(xùn)：1)本機(jī)構(gòu)外包服務(wù)人員、委托方及其他有關(guān)人員接受初始培訓(xùn)時(shí)。2)承載的委托方業(yè)務(wù)系統(tǒng)發(fā)生變更時(shí)。b)在以下情況下為承擔(dān)外包安全角色和職責(zé)的人員提供基于角色的安全技能培訓(xùn)：1)被授權(quán)訪問(wèn)信息系統(tǒng)或者執(zhí)行所分配的職責(zé)之前。2)承載的委托方業(yè)務(wù)系統(tǒng)發(fā)生變更時(shí)。c)記錄信息系統(tǒng)安全培訓(xùn)活動(dòng)，包括基礎(chǔ)的安全意識(shí)培訓(xùn)和特定的信息系統(tǒng)安全培訓(xùn)。d)在安全意識(shí)培訓(xùn)中加入有關(guān)發(fā)現(xiàn)和報(bào)告內(nèi)部威脅的培訓(xùn)。e)將人員培訓(xùn)記錄保存兩年以上。7.7物理與環(huán)境安全7.7.1物理設(shè)施與設(shè)備選址DB14/T1251—2016外包服務(wù)商應(yīng)確保承載委托方業(yè)務(wù)和數(shù)據(jù)的數(shù)據(jù)中心和服務(wù)器處于安全的物理位置：a)對(duì)數(shù)據(jù)中心和服務(wù)器面臨的潛在物理和環(huán)境危險(xiǎn)進(jìn)行評(píng)估，形成評(píng)估報(bào)告，并對(duì)風(fēng)險(xiǎn)作出處置。b)控制機(jī)房位置信息的知悉范圍。c)確保機(jī)房位于中國(guó)境內(nèi)。7.7.2委托方物理和環(huán)境規(guī)劃委托方應(yīng)對(duì)本機(jī)構(gòu)的物理和環(huán)境作出規(guī)劃，防止外包服務(wù)商非授權(quán)接觸重要敏感信息：a)建立物理和環(huán)境安全策略，以及安全操作流程。b)將關(guān)鍵和重要敏感信息及信息處理設(shè)備控制在安全區(qū)域內(nèi)，且該區(qū)域具有清晰的安全邊界標(biāo)c)將服務(wù)外包引入的開(kāi)發(fā)、測(cè)試等操作設(shè)備，與原有的設(shè)備安全隔離。d)確保外包服務(wù)人員在執(zhí)行安全控制區(qū)域內(nèi)的外包服務(wù)活動(dòng)時(shí)，始終處于有效監(jiān)管狀態(tài)。7.7.3外包服務(wù)商物理和環(huán)境規(guī)劃外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)的物理和環(huán)境作出規(guī)劃，防止承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)被非授權(quán)訪a)合理劃分機(jī)房物理區(qū)域，合理布置信息系統(tǒng)組件，以防范火災(zāi)、電磁泄露等物理和環(huán)境威脅以及非授權(quán)訪問(wèn)等人為威脅。b)提供足夠的物理空間、電源容量、網(wǎng)絡(luò)容量、制冷容量，以滿(mǎn)足委托方業(yè)務(wù)所需基礎(chǔ)設(shè)施快速擴(kuò)容的需求。7.7.4物理環(huán)境訪問(wèn)控制委托方應(yīng)建立物理環(huán)境訪問(wèn)控制機(jī)制，對(duì)外包服務(wù)商的物理訪問(wèn)進(jìn)行授權(quán)：a)對(duì)所有機(jī)房、重要辦公空間實(shí)施物理訪問(wèn)授權(quán)，具體包括：在準(zhǔn)許進(jìn)入機(jī)房前驗(yàn)證其訪問(wèn)授權(quán)、使用門(mén)禁或警衛(wèi)實(shí)施機(jī)房出入控制等。b)制定和維護(hù)外包服務(wù)人員的物理訪問(wèn)審計(jì)日志。c)確保鑰匙、訪問(wèn)憑證以及其他物理訪問(wèn)設(shè)備的安全。d)定期或在鑰匙丟失、訪問(wèn)憑證受損以及相關(guān)人員發(fā)生變動(dòng)的情況下，更換鑰匙和訪問(wèn)憑證。e)涉及重要敏感信息時(shí)，對(duì)外包服務(wù)人員的行為進(jìn)行人工陪同和監(jiān)視。7.7.5物理訪問(wèn)監(jiān)控委托方應(yīng)設(shè)置物理訪問(wèn)監(jiān)控設(shè)備：a)在本機(jī)構(gòu)設(shè)置物理訪問(wèn)監(jiān)控設(shè)備，使物理訪問(wèn)監(jiān)控設(shè)備保持24小時(shí)開(kāi)啟，并制定對(duì)監(jiān)控記錄的授權(quán)查閱流程。b)定期或當(dāng)發(fā)生安全事件時(shí)，對(duì)物理訪問(wèn)日志進(jìn)行查閱。c)在外包服務(wù)商處設(shè)置物理訪問(wèn)監(jiān)控設(shè)備，監(jiān)控各類(lèi)物理訪問(wèn)委托方業(yè)務(wù)和數(shù)據(jù)的行為。d)安裝物理入侵警報(bào)裝置。7.7.6設(shè)備運(yùn)送和移除委托方應(yīng)：a)建立重要設(shè)備臺(tái)帳，明確設(shè)備所有權(quán)，并確定責(zé)任人。b)對(duì)重要設(shè)備進(jìn)入和離開(kāi)機(jī)房進(jìn)行授權(quán)和監(jiān)控，并制定和維護(hù)相關(guān)記錄。DB14/T1251—20167.7.7資源管理委托方應(yīng)：a)編制并維護(hù)與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括信息資產(chǎn)、軟件資產(chǎn)、有形資產(chǎn)、應(yīng)用業(yè)務(wù)相關(guān)資產(chǎn)、計(jì)算和通信設(shè)備等。b)標(biāo)識(shí)出資產(chǎn)所有權(quán)、責(zé)任人、安全分類(lèi)及所在位置等。c)根據(jù)資產(chǎn)的價(jià)值或重要性對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)，進(jìn)行分級(jí)管理。d)對(duì)信息系統(tǒng)內(nèi)不同業(yè)務(wù)相關(guān)信息，按其對(duì)安全性的不同要求分類(lèi)并加以標(biāo)識(shí)，進(jìn)行分類(lèi)管理。8增強(qiáng)級(jí)8.1服務(wù)商選擇與供應(yīng)鏈安全8.1.1服務(wù)商選擇準(zhǔn)則委托方應(yīng)對(duì)潛在外包服務(wù)商進(jìn)行風(fēng)險(xiǎn)評(píng)估，依據(jù)以下準(zhǔn)則確定外包服務(wù)商：a)綜合分析各方面的信息，包括執(zhí)法部門(mén)披露的信息、信息安全通報(bào)、應(yīng)急響應(yīng)機(jī)構(gòu)的風(fēng)險(xiǎn)提示、國(guó)家網(wǎng)絡(luò)安全審查結(jié)果等，排除存在安全隱患的外包服務(wù)商。b)外包服務(wù)商的法人及主要業(yè)務(wù)人員、技術(shù)人員無(wú)犯罪記錄，外包服務(wù)商具有固定的辦公場(chǎng)所，具備保障信息技術(shù)服務(wù)安全實(shí)施的技術(shù)、財(cái)務(wù)等能力。c)對(duì)需要資質(zhì)的信息技術(shù)服務(wù)，如信息安全測(cè)評(píng)、云計(jì)算等，外包服務(wù)商應(yīng)已獲得相應(yīng)資質(zhì)。d)外包服務(wù)商的員工中，所有參與外包活動(dòng)的員工應(yīng)滿(mǎn)足以下條件：1)持有相應(yīng)服務(wù)所需的人員資質(zhì)。2)定期接受信息安全培訓(xùn)，具有較強(qiáng)的信息安全意識(shí)。3)與外包服務(wù)機(jī)構(gòu)簽署了長(zhǎng)期固定勞動(dòng)合同，并且簽訂了保密協(xié)議。4)為中國(guó)公民。5)接受過(guò)本機(jī)構(gòu)或政府主管部門(mén)組織的背景審查。e)外包服務(wù)商在中華人民共和國(guó)境內(nèi)（港澳臺(tái)地區(qū)除外）注冊(cè)，由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資注冊(cè)成立，外包服務(wù)商處理委托方業(yè)務(wù)和數(shù)據(jù)的數(shù)據(jù)中心、服務(wù)器應(yīng)位于中國(guó)境內(nèi)（港澳臺(tái)地區(qū)除外）。f)基于成功案例、歷史合作關(guān)系、資本關(guān)系、法律管轄權(quán)、合同承諾等因素，委托方與外包服務(wù)商之間已建立并保持一定程度的信任關(guān)系。g)企業(yè)運(yùn)轉(zhuǎn)過(guò)程和安全措施相對(duì)透明，并可向委托方提供相關(guān)證明材料，不以不合理的理由推諉。h)在能提供相同產(chǎn)品的多個(gè)不同供應(yīng)商中作選擇，以防范供應(yīng)商鎖定風(fēng)險(xiǎn)。8.1.2服務(wù)外包合同委托方應(yīng)與外包服務(wù)商簽署服務(wù)外包合同，合同應(yīng)包含以下內(nèi)容：a)制定信息安全條款，具體內(nèi)容包括但不限于：1)服務(wù)外包信息安全目標(biāo)和衡量標(biāo)準(zhǔn)。2)服務(wù)外包信息安全保障范圍和費(fèi)用。3)不得占有服務(wù)過(guò)程中產(chǎn)生的任何資產(chǎn)。4)不得以服務(wù)為由強(qiáng)制要求購(gòu)買(mǎi)、使用指定產(chǎn)品。5)不泄露委托方重要敏感信息的信息安全承諾。6)服務(wù)外包過(guò)程中的知識(shí)產(chǎn)權(quán)歸屬。DB14/T1251—20167)明示外包服務(wù)機(jī)構(gòu)在使用和處理數(shù)據(jù)過(guò)程中的所有權(quán)、邊界控制等要求，確保數(shù)據(jù)使用和處理不出境。8)明示外包服務(wù)機(jī)構(gòu)接受信息安全主管部門(mén)監(jiān)督檢查的責(zé)任義務(wù)。9)服務(wù)外包意外終止或變更的罰則。b)在信息安全影響因素發(fā)生變更后，及時(shí)修訂信息安全條款。c)確保信息安全條款被外包服務(wù)機(jī)構(gòu)及其服務(wù)人員所周知。d)確保外包服務(wù)商承諾對(duì)委托方的信息安全負(fù)責(zé)，不利用提供服務(wù)的便利危害委托方業(yè)務(wù)和數(shù)據(jù)的安全，不在未獲得明確授權(quán)情況下泄露服務(wù)過(guò)程中獲取的委托方數(shù)據(jù)。e)確保外包服務(wù)商承諾未經(jīng)委托方書(shū)面許可不將服務(wù)進(jìn)行分包。f)確保外包服務(wù)商的信息系統(tǒng)中，承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)接受與委托方信息系統(tǒng)同等的信息安全監(jiān)督管理，并采取與委托方信息系統(tǒng)同等強(qiáng)度的信息安全防護(hù)措施。g)明確定義服務(wù)退出條件，包括但不限于以下內(nèi)容：1)當(dāng)服務(wù)合同到期后的正常退出條件。2)當(dāng)服務(wù)發(fā)生錯(cuò)誤且不能在一個(gè)有效時(shí)間內(nèi)處理完成的退出條件。3)與外包服務(wù)機(jī)構(gòu)協(xié)商達(dá)成一致的合同撤銷(xiāo)退出條件。4)服務(wù)合同內(nèi)容的修改或調(diào)整退出條件。h)建立服務(wù)退出策略中有關(guān)信息安全的管理要求：1)依據(jù)不同的服務(wù)退出條件，定義服務(wù)退出過(guò)程中及退出后的管理角色和職責(zé)。2)保證信息技術(shù)服務(wù)信息安全質(zhì)量在退出階段能夠維持服務(wù)合同中的信息安全管理要求。3)在服務(wù)退出過(guò)程中，退還所有服務(wù)涉及的文檔。4)保證在服務(wù)合同終止之后對(duì)服務(wù)內(nèi)容和信息的保密性要求。5)將政府部門(mén)的數(shù)據(jù)有效地消除或移除，確保數(shù)據(jù)不被其他組織或個(gè)人公開(kāi)。6)當(dāng)服務(wù)失敗或企業(yè)破產(chǎn)等突發(fā)情況發(fā)生時(shí)，保留繼續(xù)雇用服務(wù)人員開(kāi)展服務(wù)工作的權(quán)利。i)外包服務(wù)商在服務(wù)退出時(shí)的信息安全承諾，包括但不限于以下內(nèi)容：1)及時(shí)刪除信息技術(shù)服務(wù)過(guò)程中生成的子賬戶(hù)或子功能。2)在服務(wù)退出過(guò)程中，退還所有委托方的數(shù)據(jù)和文檔。3)在合理的時(shí)間內(nèi)刪除所有委托方的數(shù)據(jù)和文檔。4)以合理價(jià)格為委托方可能的系統(tǒng)遷移提供支持，不得利用已經(jīng)形成的依賴(lài)關(guān)系而對(duì)委托方進(jìn)行要挾。j)外包服務(wù)商承諾不在未獲得明確授權(quán)情況下向境外傳輸委托方的數(shù)據(jù)。8.1.3供應(yīng)鏈安全外包服務(wù)商應(yīng)實(shí)施以下供應(yīng)鏈安全措施：a)明確有哪些服務(wù)或采購(gòu)的產(chǎn)品對(duì)委托方的業(yè)務(wù)和數(shù)據(jù)可能會(huì)造成嚴(yán)重影響，并確保涉及外包服務(wù)的重要設(shè)備通過(guò)國(guó)家和地方主管部門(mén)規(guī)定的安全檢測(cè)。b)向委托方承諾，不使用含有惡意代碼的產(chǎn)品、有缺陷產(chǎn)品或假冒產(chǎn)品。c)對(duì)外包服務(wù)所涉及的產(chǎn)品開(kāi)發(fā)環(huán)境、信息存儲(chǔ)設(shè)備等實(shí)施安全控制。d)對(duì)信息技術(shù)外包服務(wù)交付物采取可信或可控的分發(fā)、交付和倉(cāng)儲(chǔ)手段。e)承載委托方業(yè)務(wù)和數(shù)據(jù)的所有信息系統(tǒng)組件均可追蹤至下級(jí)供應(yīng)商，且對(duì)下級(jí)供應(yīng)商的安全實(shí)施了進(jìn)一步的核查，并建立了評(píng)價(jià)下級(jí)供應(yīng)商安全態(tài)勢(shì)的準(zhǔn)則，與下級(jí)供應(yīng)商簽訂了安全合同。f