DB14∕T 1251-2016 信息技術(shù)服務(wù)外包安全要求_第1頁(yè)
DB14∕T 1251-2016 信息技術(shù)服務(wù)外包安全要求_第2頁(yè)
DB14∕T 1251-2016 信息技術(shù)服務(wù)外包安全要求_第3頁(yè)
DB14∕T 1251-2016 信息技術(shù)服務(wù)外包安全要求_第4頁(yè)
DB14∕T 1251-2016 信息技術(shù)服務(wù)外包安全要求_第5頁(yè)
已閱讀5頁(yè),還剩43頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

ICS25.04025.040DB14山西省質(zhì)量技術(shù)監(jiān)督局IDB14/T1251—2016前言 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14對(duì)委托方的基本要求 24.1委托方信息技術(shù)服務(wù)外包安全管理基本原則 24.2信息技術(shù)服務(wù)外包安全管理職責(zé) 25總體要求與分類分級(jí) 45.1總體要求 45.2安全要求的實(shí)施主體 45.3安全要求的分類 55.4安全要求的分級(jí) 56一般級(jí) 66.1服務(wù)商選擇與供應(yīng)鏈安全 66.2訪問控制 86.3維護(hù) 96.4事件處理 6.5審計(jì) 6.6人員安全 6.7物理與環(huán)境安全 7.1服務(wù)商選擇與供應(yīng)鏈安全 147.2訪問控制 7.3維護(hù) 7.4事件處理 7.5審計(jì) 7.6人員安全 7.7物理與環(huán)境安全 8增強(qiáng)級(jí) 8.1服務(wù)商選擇與供應(yīng)鏈安全 268.2訪問控制 8.3維護(hù) 8.4事件處理 DB14/T1251—20168.5審計(jì) 8.6人員安全 8.7物理與環(huán)境安全 附錄A(資料性附錄)信息技術(shù)服務(wù)外包分類 附錄B(資料性附錄)信息安全風(fēng)險(xiǎn)分析 41參考文獻(xiàn) 43DB14/T1251—2016本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由山西省經(jīng)濟(jì)和信息化委員會(huì)提出并歸口。本標(biāo)準(zhǔn)起草單位:山西省信息技術(shù)產(chǎn)業(yè)協(xié)會(huì)、山西省經(jīng)貿(mào)決策咨詢中心、中國(guó)信息安全研究院有限公司、山西省信息化和信息安全評(píng)測(cè)中心、山西省工業(yè)控制系統(tǒng)與安全產(chǎn)業(yè)聯(lián)盟。本標(biāo)準(zhǔn)主要起草人:周亞超、左曉棟、李凱軍、王樂、薛云琴、張明勝、陸希、苑化軍、張卓婭、郭陳勛、劉雨桁。DB14/T1251—2016隨著信息技術(shù)在各領(lǐng)域的廣泛深入應(yīng)用,信息系統(tǒng)日趨復(fù)雜,信息技術(shù)服務(wù)的專業(yè)性越來(lái)越高,信息技術(shù)服務(wù)外包成為常態(tài)。信息技術(shù)服務(wù)外包有利于發(fā)揮服務(wù)商的專業(yè)優(yōu)勢(shì)和規(guī)模優(yōu)勢(shì),降低成本,提高信息化質(zhì)量和效率。特別是以大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等為代表的新一代信息技術(shù),極大地拓展了信息技術(shù)服務(wù)外包的業(yè)務(wù)領(lǐng)域和層次,并呈現(xiàn)出智能化、平臺(tái)化與社會(huì)化的特征。與此同時(shí),信息技術(shù)服務(wù)外包也引入了更多的信息安全風(fēng)險(xiǎn)。《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》(國(guó)發(fā)〔2012〕23號(hào))要求,“嚴(yán)格政府信息技術(shù)服務(wù)外包的安全管理”,“在軟件服務(wù)外包、信息技術(shù)服務(wù)和電子商務(wù)等領(lǐng)域開展個(gè)人信息保護(hù)試點(diǎn),加強(qiáng)個(gè)人信息保護(hù)工作”。本標(biāo)準(zhǔn)結(jié)合山西省實(shí)際,在山西省轄區(qū)內(nèi)各級(jí)機(jī)關(guān)、事業(yè)單位、重要領(lǐng)域等更廣范圍內(nèi)明確信息技術(shù)服務(wù)外包過程中應(yīng)該實(shí)現(xiàn)的信息安全要求。本標(biāo)準(zhǔn)提出的信息技術(shù)服務(wù)外包安全要求分別適用于等級(jí)保護(hù)二級(jí)、三級(jí)和四級(jí)系統(tǒng)所涉及的外包活動(dòng)。涉密系統(tǒng)中的信息技術(shù)服務(wù)外包應(yīng)參照國(guó)家保密局相關(guān)保密規(guī)定和標(biāo)準(zhǔn)執(zhí)行,不在本標(biāo)準(zhǔn)范圍內(nèi)。1DB14/T1251—2016信息技術(shù)服務(wù)外包安全要求本標(biāo)準(zhǔn)規(guī)定了信息技術(shù)服務(wù)外包時(shí)的信息安全要求。本標(biāo)準(zhǔn)適用于山西省轄區(qū)內(nèi)各級(jí)機(jī)關(guān)、事業(yè)單位、重要領(lǐng)域的信息技術(shù)服務(wù)外包。外包服務(wù)商提供外包服務(wù)時(shí)可參照?qǐng)?zhí)行。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)3術(shù)語(yǔ)和定義GB/T25069—2010確立的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1信息技術(shù)服務(wù)供方為需方提供開發(fā)、應(yīng)用信息技術(shù)的活動(dòng),以及供方以信息技術(shù)為手段提供支持需方業(yè)務(wù)的活動(dòng)。3.2信息技術(shù)服務(wù)外包以簽訂合同的方式,需方委托其他機(jī)構(gòu)承擔(dān)信息技術(shù)服務(wù)的行為。注:附錄A給出了信息技術(shù)服務(wù)外包的分類,包括信息技術(shù)咨詢服務(wù)、系統(tǒng)集成服務(wù)、系統(tǒng)設(shè)計(jì)與開發(fā)服務(wù)、運(yùn)行維護(hù)服務(wù)、數(shù)據(jù)處理服務(wù)、數(shù)據(jù)存儲(chǔ)服務(wù)、災(zāi)難恢復(fù)服務(wù)、3.3外包服務(wù)商服務(wù)外包中承擔(dān)信息技術(shù)服務(wù)的機(jī)構(gòu)。3.4服務(wù)分包外包服務(wù)商將自身承擔(dān)的部分信息技術(shù)服務(wù)再次委托給其他機(jī)構(gòu)完成的行為。3.5信息技術(shù)供應(yīng)鏈2DB14/T1251—2016通過多個(gè)資源和過程聯(lián)系在一起的一系列組織,始于未加工的原材料,終于使用產(chǎn)品和服務(wù)的最終用戶,是一個(gè)由多個(gè)上游與下游供應(yīng)商形成的網(wǎng)鏈結(jié)構(gòu),可將信息通信技術(shù)的產(chǎn)品和服務(wù)提供給最終用戶。3.6委托方信息技術(shù)服務(wù)外包活動(dòng)中的需求方,將信息技術(shù)服務(wù)委托給外包服務(wù)商,并對(duì)外包服務(wù)商提出信息安全要求。3.7網(wǎng)絡(luò)安全審查國(guó)家網(wǎng)信部門組織實(shí)施的重要網(wǎng)絡(luò)安全管理制度,對(duì)關(guān)系國(guó)家安全和公共安全利益的系統(tǒng)使用的重要信息技術(shù)產(chǎn)品和服務(wù)進(jìn)行安全審查,審查重點(diǎn)為該產(chǎn)品安全性和可控性,旨在防止產(chǎn)品提供者利用提供產(chǎn)品的方便,非法控制、干擾、中斷用戶系統(tǒng),非法收集、存儲(chǔ)、處理和利用用戶有關(guān)信息。3.8服務(wù)級(jí)別協(xié)議委托方與外包服務(wù)商之間就外包服務(wù)的品質(zhì)、水準(zhǔn)、性能等方面所達(dá)成的雙方共同認(rèn)可的協(xié)議或契4對(duì)委托方的基本要求4.1委托方信息技術(shù)服務(wù)外包安全管理基本原則委托方在信息技術(shù)服務(wù)外包活動(dòng)中,應(yīng)遵循以下信息安全管理基本原則:a)責(zé)任延展原則。信息安全管理責(zé)任不應(yīng)隨服務(wù)外包而轉(zhuǎn)移,無(wú)論委托方數(shù)據(jù)和業(yè)務(wù)是位于自身信息系統(tǒng)還是外包服務(wù)商的信息系統(tǒng)上,委托方都是信息安全的最終責(zé)任人。b)領(lǐng)導(dǎo)決策原則。信息技術(shù)服務(wù)外包應(yīng)獲得委托方服務(wù)外包主管領(lǐng)導(dǎo)的支持、批準(zhǔn)和授權(quán)。c)風(fēng)險(xiǎn)控制原則。委托方應(yīng)始終關(guān)注信息技術(shù)服務(wù)外包可能帶來(lái)的信息安全風(fēng)險(xiǎn),并能夠及時(shí)應(yīng)用風(fēng)險(xiǎn)控制措施。d)監(jiān)督檢查原則。委托方應(yīng)對(duì)信息技術(shù)服務(wù)活動(dòng)進(jìn)行監(jiān)管,并接受信息安全主管部門的監(jiān)督檢查。e)數(shù)據(jù)歸屬關(guān)系不變。委托方提供給外包服務(wù)商的數(shù)據(jù)、設(shè)備等資源,以及外包服務(wù)過程中收集、產(chǎn)生、存儲(chǔ)的數(shù)據(jù)和文檔等資源屬委托方所有。外包服務(wù)商應(yīng)保障委托方對(duì)這些資源的訪問、利用、支配,未經(jīng)委托方授權(quán),外包服務(wù)商和任何第三方不得訪問、修改、披露、利用、轉(zhuǎn)讓、銷毀委托方的數(shù)據(jù)。f)安全管理標(biāo)準(zhǔn)不變。外包服務(wù)商的信息系統(tǒng)中,凡承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)均應(yīng)遵循與委托方自身系統(tǒng)完全一致的信息安全技術(shù)要求和管理規(guī)定,與委托方自身系統(tǒng)一樣接受國(guó)家有關(guān)部門和委托方的信息安全監(jiān)督管理。g)敏感信息不出境。為委托方提供服務(wù)的重要信息基礎(chǔ)設(shè)施,例如云計(jì)算服務(wù)平臺(tái)、數(shù)據(jù)中心、升級(jí)服務(wù)器等要設(shè)在境內(nèi)。敏感信息未經(jīng)批準(zhǔn)不得在境外傳輸、處理、存儲(chǔ)。4.2信息技術(shù)服務(wù)外包安全管理職責(zé)4.2.1管理角色3DB14/T1251—2016委托方應(yīng)根據(jù)服務(wù)外包活動(dòng)范圍確定管理角色和責(zé)任:a)應(yīng)由委托方信息安全主管領(lǐng)導(dǎo)擔(dān)任服務(wù)外包管理小組的副職(含)以上領(lǐng)導(dǎo)。b)根據(jù)外包類型的不同,委托方的多個(gè)內(nèi)設(shè)機(jī)構(gòu)分工承擔(dān)負(fù)責(zé)外包管理職責(zé),但外包活動(dòng)信息安全管理的總職責(zé)應(yīng)由委托方的信息安全部門承擔(dān)。信息安全部門對(duì)外包活動(dòng)中的信息安全相關(guān)事項(xiàng)具有一票否決權(quán)。4.2.2主管領(lǐng)導(dǎo)委托方應(yīng)在服務(wù)外包活動(dòng)中設(shè)置信息安全主管領(lǐng)導(dǎo)的職責(zé),包括但不限于:a)在委托方信息安全管理的總體框架下,批準(zhǔn)本機(jī)構(gòu)的服務(wù)外包信息安全管理策略。b)授權(quán)并支持相應(yīng)的負(fù)責(zé)機(jī)構(gòu)具體管理外包活動(dòng)的信息安全。c)支持對(duì)服務(wù)外包信息安全各環(huán)節(jié)的管理:1)定期評(píng)審并發(fā)布服務(wù)外包信息安全管理制度,保持與委托方服務(wù)外包信息安全管理策略要求相一致。2)提供并保障服務(wù)外包信息安全管理所需要的資源。3)組織檢查信息技術(shù)服務(wù)外包中信息安全措施的執(zhí)行情況。4)協(xié)調(diào)處置服務(wù)外包信息安全管理應(yīng)急事件。d)承擔(dān)服務(wù)外包信息安全管理的監(jiān)管責(zé)任。4.2.3負(fù)責(zé)機(jī)構(gòu)委托方應(yīng)在外包活動(dòng)中指定信息安全管理部門,其主要職責(zé)包括但不限于:a)對(duì)信息安全主管領(lǐng)導(dǎo)負(fù)責(zé),將服務(wù)外包信息安全管理情況、信息技術(shù)服務(wù)外包信息安全執(zhí)行情況及時(shí)報(bào)告主管領(lǐng)導(dǎo)。b)落實(shí)服務(wù)外包信息安全管理策略要求,組織制定并執(zhí)行服務(wù)外包信息安全管理制度、服務(wù)外包合同、服務(wù)外包信息安全管理計(jì)劃等,具體職責(zé)應(yīng)包括以下方面:1)按照服務(wù)外包信息安全風(fēng)險(xiǎn)評(píng)估有關(guān)要求,開展服務(wù)外包信息安全風(fēng)險(xiǎn)評(píng)估。2)評(píng)估和推薦潛在的外包服務(wù)商和服務(wù)人員。3)落實(shí)并監(jiān)督服務(wù)外包基本信息安全控制措施。4)落實(shí)服務(wù)外包信息安全管理應(yīng)急處置措施。5)提出服務(wù)外包信息安全管理的改進(jìn)建議。c)承擔(dān)服務(wù)外包信息安全管理的直接責(zé)任。4.2.4信息技術(shù)服務(wù)外包安全管理模型委托方應(yīng)建立信息技術(shù)服務(wù)外包安全管理模型,如圖1所示。該模型將信息技術(shù)服務(wù)外包信息安全管理活動(dòng)劃分為服務(wù)外包信息安全規(guī)劃準(zhǔn)備、機(jī)構(gòu)和人員選擇、運(yùn)行監(jiān)督和改進(jìn)完成4個(gè)管理階段,針對(duì)性地提出了規(guī)范性要求。4DB14/T1251—2016l服務(wù)外包信息l服務(wù)外包信息安全管理策略l外包服務(wù)機(jī)構(gòu)和人員風(fēng)險(xiǎn)評(píng)估l服務(wù)外包合同l服務(wù)外包信息l信息安全保密l服務(wù)過程評(píng)估l階段成果交付l服務(wù)改進(jìn)l服務(wù)退出l外包服務(wù)機(jī)構(gòu)圖1信息技術(shù)服務(wù)外包安全管理模型5總體要求與分類分級(jí)5.1總體要求信息技術(shù)外包服務(wù)安全要求的核心是建立委托方與外包服務(wù)商的信任關(guān)系,這一信任關(guān)系包括以下方面:a)可控性。外包服務(wù)商位于委托方所在國(guó)司法管轄權(quán)范圍之內(nèi),外包服務(wù)商的責(zé)任可追溯。b)透明性。外包服務(wù)商收集、處理、使用委托方信息及實(shí)施其他可能影響委托方信息安全的行為(如提供軟件開發(fā)服務(wù))時(shí),其全部過程對(duì)委托方可見,所有技術(shù)資料、說明文檔完備可查,沒有有意隱藏或不可見的行為。c)可信性。外包服務(wù)商嚴(yán)格遵循法律法規(guī)和有關(guān)標(biāo)準(zhǔn)的要求,沒有違反法律法規(guī)的行為,且對(duì)其員工進(jìn)行了必要的安全背景核查,員工的流動(dòng)情況清晰可查、可追溯。d)保密性。外包服務(wù)商具備保護(hù)自身信息安全的能力,所存儲(chǔ)的委托方的信息不被非授權(quán)泄露。e)完整性。外包服務(wù)商具備保護(hù)自身信息安全的能力,所存儲(chǔ)的委托方的信息不被篡改,承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)不被篡改。f)可用性。外包服務(wù)商具備保護(hù)自身信息安全的能力,承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)滿足雙方服務(wù)級(jí)別協(xié)議的要求,系統(tǒng)不會(huì)出現(xiàn)嚴(yán)重影響委托方關(guān)鍵業(yè)務(wù)和數(shù)據(jù)的中斷情況,外包服務(wù)商不會(huì)利用委托方對(duì)其形成的依賴而要挾用戶。5.2安全要求的實(shí)施主體為了保障信息技術(shù)外包服務(wù)的信息,委托方和外包服務(wù)商均應(yīng)實(shí)施相應(yīng)信息安全保障措施,具體包括:5DB14/T1251—2016a)委托方自身應(yīng)實(shí)施有針對(duì)性的信息安全控制措施,還應(yīng)對(duì)外包服務(wù)商提供要求。b)本標(biāo)準(zhǔn)在第5—7章提出的信息安全要求同時(shí)涵蓋以上兩方面內(nèi)容,并在描述中將信息安全要求的實(shí)施主體區(qū)分為委托方和外包服務(wù)商。c)除上述措施外,無(wú)論委托方還是外包服務(wù)商,均應(yīng)落實(shí)信息系統(tǒng)安全防護(hù)的常規(guī)要求,如等級(jí)保護(hù)要求。d)根據(jù)本標(biāo)準(zhǔn)4.1“安全管理標(biāo)準(zhǔn)不變”原則,委托方應(yīng)要求外包服務(wù)商保護(hù)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)的安全,該系統(tǒng)應(yīng)實(shí)現(xiàn)與委托方同樣的安全防護(hù)等級(jí)。5.3安全要求的分類本標(biāo)準(zhǔn)將信息技術(shù)服務(wù)外包信息安全要求分為以下7類:a)“服務(wù)商選擇與供應(yīng)鏈安全”類。委托方應(yīng)選擇可信、可控的外包服務(wù)商,并與外包服務(wù)商簽訂安全協(xié)議。外包服務(wù)商在為委托方開發(fā)信息系統(tǒng)時(shí)應(yīng)對(duì)其提供充分保護(hù),確保信息技術(shù)供應(yīng)鏈安全。外包服務(wù)商應(yīng)確保其下級(jí)供應(yīng)商采取了必要的安全措施。外包服務(wù)商還應(yīng)為委托方提供有關(guān)安全措施的文檔和信息,配合委托方完成對(duì)信息系統(tǒng)和業(yè)務(wù)的管理。b)“訪問控制”類。委托方應(yīng)防止外包服務(wù)商非授權(quán)訪問本機(jī)構(gòu)的重要業(yè)務(wù)和數(shù)據(jù),對(duì)于由外包服務(wù)商系統(tǒng)承載的委托方業(yè)務(wù)和數(shù)據(jù),應(yīng)要求外包服務(wù)商在系統(tǒng)的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視、控制信息訪問行為,保護(hù)存儲(chǔ)、處理和傳輸?shù)男畔?,防止外包服?wù)商及第三方非授權(quán)訪問。c)“維護(hù)”類。外包服務(wù)商應(yīng)對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)進(jìn)行妥善維護(hù)。此外,外包服務(wù)商在對(duì)委托方的信息系統(tǒng)提供維護(hù)服務(wù)時(shí),應(yīng)保護(hù)委托方信息及系統(tǒng)的保密性、完整性和可用性。委托方應(yīng)對(duì)維護(hù)所使用的工具、技術(shù)、機(jī)制以及維護(hù)人員進(jìn)行有效的控制,且做好相關(guān)記錄。d)“事件處理”類。外包服務(wù)商應(yīng)建立事件處理計(jì)劃,預(yù)防、檢測(cè)、分析和控制所有可能涉及到委托方業(yè)務(wù)和數(shù)據(jù)的信息安全事件,并在事件發(fā)生后對(duì)受影響的系統(tǒng)實(shí)施恢復(fù)。發(fā)生信息安全事件后,外包服務(wù)商應(yīng)及時(shí)跟蹤、記錄并向相關(guān)人員報(bào)告。外包服務(wù)商應(yīng)具備容災(zāi)恢復(fù)能力,建立必要的備份與恢復(fù)設(shè)施和機(jī)制,確保委托方業(yè)務(wù)可持續(xù)。e)“審計(jì)”類。委托方應(yīng)對(duì)外包服務(wù)商在自身信息系統(tǒng)中的行為進(jìn)行全程審計(jì),并要求外包服務(wù)商根據(jù)安全需求和委托方要求,建立審計(jì)機(jī)制,對(duì)外包服務(wù)商系統(tǒng)中可能影響委托方信息安全的行為進(jìn)行審計(jì)。審計(jì)記錄應(yīng)妥善保存,防止非授權(quán)訪問、修改和刪除。審計(jì)記錄應(yīng)定期分析和審查,及時(shí)應(yīng)對(duì)可能的信息安全風(fēng)險(xiǎn)。f)“人員安全”類。委托方應(yīng)對(duì)外包服務(wù)商中可能接觸委托方業(yè)務(wù)和數(shù)據(jù)及其他可能影響委托方信息安全的人員進(jìn)行嚴(yán)格管理,確保其上崗時(shí)具備履行其安全責(zé)任的素質(zhì)和能力,并應(yīng)在授予相關(guān)人員訪問權(quán)限之前對(duì)其進(jìn)行審查并定期復(fù)查,在人員調(diào)動(dòng)或離職時(shí)履行安全程序,對(duì)于違反安全規(guī)定的人員進(jìn)行處罰。g)“物理與環(huán)境安全”類。委托方應(yīng)建立物理安全控制措施,防止外包服務(wù)商非授權(quán)進(jìn)入受控區(qū)域。委托方應(yīng)對(duì)外包服務(wù)商承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)提出物理位置要求,確保其位于法律管轄權(quán)內(nèi)。5.4安全要求的分級(jí)不同等級(jí)的信息系統(tǒng)應(yīng)當(dāng)落實(shí)不同等級(jí)的信息安全要求。本標(biāo)準(zhǔn)對(duì)信息技術(shù)服務(wù)外包提出了三個(gè)級(jí)別的信息安全要求,分別為一般級(jí)、中級(jí)和增強(qiáng)級(jí),各適用于等級(jí)保護(hù)二級(jí)、三級(jí)和四級(jí)系統(tǒng)所涉及的外包活動(dòng)。當(dāng)委托方有多個(gè)安全等級(jí)的系統(tǒng)時(shí),應(yīng)判斷具體的外包活動(dòng)影響何種等級(jí)的系統(tǒng),以所有受影響系統(tǒng)的最高等級(jí)為準(zhǔn)對(duì)外包活動(dòng)提出安全要求。6DB14/T1251—2016本標(biāo)準(zhǔn)對(duì)每一級(jí)的信息系統(tǒng)單獨(dú)提出了信息安全要求。6一般級(jí)6.1服務(wù)商選擇與供應(yīng)鏈安全6.1.1服務(wù)商選擇準(zhǔn)則委托方應(yīng)對(duì)潛在外包服務(wù)商進(jìn)行風(fēng)險(xiǎn)評(píng)估,依據(jù)以下準(zhǔn)則確定外包服務(wù)商:a)綜合分析各方面的信息,包括執(zhí)法部門披露的信息、信息安全通報(bào)、應(yīng)急響應(yīng)機(jī)構(gòu)的風(fēng)險(xiǎn)提示、國(guó)家網(wǎng)絡(luò)安全審查結(jié)果等,排除存在安全隱患的外包服務(wù)商。b)外包服務(wù)商的法人及主要業(yè)務(wù)人員、技術(shù)人員無(wú)犯罪記錄或不良誠(chéng)信記錄,外包服務(wù)商具有固定的辦公場(chǎng)所,具備保障信息技術(shù)服務(wù)安全實(shí)施的技術(shù)、財(cái)務(wù)等能力。c)對(duì)需要資質(zhì)的信息技術(shù)服務(wù),如信息安全測(cè)評(píng)、云計(jì)算等,外包服務(wù)商應(yīng)已獲得相應(yīng)資質(zhì)。d)外包服務(wù)商的員工中,所有參與外包活動(dòng)的員工滿足以下條件:1)持有相應(yīng)服務(wù)所需的人員資質(zhì)。2)定期接受信息安全培訓(xùn),具有較強(qiáng)的信息安全意識(shí)。3)與外包服務(wù)機(jī)構(gòu)簽署了長(zhǎng)期固定勞動(dòng)合同,并且簽訂了保密協(xié)議。6.1.2服務(wù)外包合同委托方應(yīng)與外包服務(wù)商簽署服務(wù)外包合同,合同應(yīng)包含以下幾方面內(nèi)容:a)制定信息安全條款,具體內(nèi)容包括但不限于:1)服務(wù)外包信息安全目標(biāo)和衡量標(biāo)準(zhǔn)。2)服務(wù)外包信息安全保障范圍和費(fèi)用。3)不泄露委托方重要敏感信息的信息安全承諾。4)明示外包服務(wù)機(jī)構(gòu)在使用和處理數(shù)據(jù)過程中的所有權(quán)、邊界控制等要求。5)明示外包服務(wù)機(jī)構(gòu)接受信息安全主管部門監(jiān)督檢查的責(zé)任義務(wù)。6)服務(wù)外包意外終止或變更的要求。b)在信息安全影響因素發(fā)生變更后,及時(shí)修訂信息安全條款。c)確保信息安全條款被外包服務(wù)機(jī)構(gòu)及其服務(wù)人員所周知。d)確保外包服務(wù)商承諾對(duì)委托方的信息安全負(fù)責(zé),不利用提供服務(wù)的便利危害委托方業(yè)務(wù)和數(shù)據(jù)的安全,不在未獲得明確授權(quán)情況下泄露服務(wù)過程中獲取的委托方數(shù)據(jù)。e)確保外包服務(wù)商承諾未經(jīng)委托方書面許可不將服務(wù)進(jìn)行分包。f)確保外包服務(wù)商的信息系統(tǒng)中,承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)接受與委托方信息系統(tǒng)同等的信息安全監(jiān)督管理,并采取與委托方信息系統(tǒng)同等強(qiáng)度的信息安全防護(hù)措施。g)明確定義服務(wù)退出條件,包括但不限于以下內(nèi)容:1)當(dāng)服務(wù)合同到期后的正常退出條件。2)當(dāng)服務(wù)發(fā)生錯(cuò)誤且不能在一個(gè)有效時(shí)間內(nèi)處理完成的退出條件。3)與外包服務(wù)機(jī)構(gòu)協(xié)商達(dá)成一致的合同撤銷退出條件。4)服務(wù)合同內(nèi)容的修改或調(diào)整退出條件。h)建立服務(wù)退出策略中有關(guān)信息安全的管理要求:1)依據(jù)不同的服務(wù)退出條件,定義服務(wù)退出過程中及退出后的管理角色和職責(zé)。2)保證信息技術(shù)服務(wù)信息安全質(zhì)量在退出階段能夠維持服務(wù)合同中的信息安全管理要求。3)在服務(wù)退出過程中,退還所有服務(wù)涉及的文檔。7DB14/T1251—20164)保證在服務(wù)合同終止之后對(duì)服務(wù)內(nèi)容和信息的保密性要求。5)將政府部門的數(shù)據(jù)有效地消除或移除,確保數(shù)據(jù)不被其他組織或個(gè)人公開。6)當(dāng)服務(wù)失敗或企業(yè)破產(chǎn)等突發(fā)情況發(fā)生時(shí),保留繼續(xù)雇用服務(wù)人員開展服務(wù)工作的權(quán)利。i)外包服務(wù)商在服務(wù)退出時(shí)的信息安全承諾,包括但不限于以下內(nèi)容:1)及時(shí)刪除信息技術(shù)服務(wù)過程中生成的子賬戶或子功能。2)在服務(wù)退出過程中,退還所有委托方的數(shù)據(jù)和文檔。6.1.3供應(yīng)鏈安全外包服務(wù)商應(yīng)實(shí)施以下供應(yīng)鏈安全措施:a)明確有哪些服務(wù)或采購(gòu)的產(chǎn)品對(duì)委托方的業(yè)務(wù)和數(shù)據(jù)可能會(huì)造成嚴(yán)重要影響,并確保涉及外包服務(wù)的重要設(shè)備通過國(guó)家和地方主管部門規(guī)定的安全檢測(cè)。b)向委托方承諾,不使用含有惡意代碼的產(chǎn)品、有缺陷產(chǎn)品或假冒產(chǎn)品。c)對(duì)外包服務(wù)所涉及的產(chǎn)品開發(fā)環(huán)境、信息存儲(chǔ)設(shè)備等實(shí)施安全控制。6.1.4外包服務(wù)商服務(wù)環(huán)境安全外包服務(wù)商應(yīng)確保其承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)滿足以下要求:a)將信息安全納入信息系統(tǒng)生命周期,確保信息安全與信息化同步規(guī)劃、同步建設(shè)、同步運(yùn)行。b)已經(jīng)獲得與委托方信息系統(tǒng)同樣安全等級(jí)的測(cè)評(píng)。6.1.5開發(fā)安全外包服務(wù)商在為委托方提供系統(tǒng)設(shè)計(jì)、開發(fā)等服務(wù)時(shí),應(yīng)滿足以下要求:a)提供交付物時(shí)的缺省配置為安全配置,且已刪除所有測(cè)試接口,不含有后門或其他不必要的功b)確保系統(tǒng)開發(fā)人員接受了軟件開發(fā)安全培訓(xùn)。c)制定明確的開發(fā)規(guī)范,在規(guī)范中明確以下事項(xiàng):1)所開發(fā)系統(tǒng)的安全需求。2)開發(fā)過程中使用的標(biāo)準(zhǔn)和工具。3)開發(fā)過程中使用的特定工具選項(xiàng)和工具配置。d)采取有關(guān)措施,確保開發(fā)過程的完整性和工具變更的完整性。e)在開發(fā)過程的初始階段定義質(zhì)量度量標(biāo)準(zhǔn),并定期檢查質(zhì)量度量標(biāo)準(zhǔn)的落實(shí)情況。f)確定安全問題追蹤工具,并在開發(fā)過程期間使用。g)對(duì)所開發(fā)的系統(tǒng)執(zhí)行漏洞分析,明確漏洞利用的可能性,確定漏洞消減措施。h)對(duì)所開發(fā)的外包服務(wù)信息系統(tǒng)及其組件或服務(wù)進(jìn)行安全測(cè)試:1)制定并實(shí)施安全評(píng)估計(jì)劃。2)更正在安全評(píng)估過程中發(fā)現(xiàn)的脆弱性和不足。6.1.6系統(tǒng)文檔外包服務(wù)商在服務(wù)結(jié)束后應(yīng)向委托方提交以下系統(tǒng)文檔:a)管理員文檔,至少應(yīng)涵蓋以下信息:1)所開發(fā)的信息系統(tǒng)及其組件或服務(wù)的安全配置,以及安裝和運(yùn)行說明。2)安全特性或功能的使用和維護(hù)說明。3)與管理功能有關(guān)的配置和使用方面的注意事項(xiàng)。b)用戶文檔,至少應(yīng)涵蓋以下信息:8DB14/T1251—20161)用戶可使用的安全功能或機(jī)制,以及對(duì)如何有效使用這些安全功能或機(jī)制的說明。2)有助于用戶更安全地使用信息系統(tǒng)及其組件或服務(wù)的方法或說明。3)對(duì)用戶安全責(zé)任和注意事項(xiàng)的說明。6.1.7培訓(xùn)外包服務(wù)商應(yīng)對(duì)委托方提供培訓(xùn),以幫助委托方正確使用所交付系統(tǒng)或產(chǎn)品中的安全功能、措施和機(jī)制。6.2訪問控制6.2.1標(biāo)識(shí)符管理委托方應(yīng)通過以下步驟管理外包服務(wù)人員在信息系統(tǒng)中的標(biāo)識(shí)符:a)明確由專門的授權(quán)人員為外包服務(wù)人員分配個(gè)人、組、角色或設(shè)備標(biāo)識(shí)符。b)將標(biāo)識(shí)符分配給有關(guān)個(gè)人、組、角色或設(shè)備。c)在服務(wù)結(jié)束后禁用外包服務(wù)人員的標(biāo)識(shí)符。6.2.2鑒別憑證管理委托方應(yīng)通過以下步驟管理外包服務(wù)人員的鑒別憑證:a)驗(yàn)證鑒別憑證接收對(duì)象(個(gè)人、組、角色或設(shè)備)的身份。b)確定鑒別憑證的初始內(nèi)容。c)確保鑒別憑證能夠有效防止偽造和篡改。d)針對(duì)鑒別憑證的初始分發(fā)、丟失處置以及收回,建立和實(shí)施管理規(guī)程。e)保護(hù)鑒別憑證內(nèi)容,以防泄露和篡改。f)當(dāng)組或角色賬號(hào)的成員資格發(fā)生變化時(shí),變更該賬號(hào)的鑒別憑證。g)在服務(wù)結(jié)束后收回鑒別憑證。6.2.3數(shù)據(jù)靜態(tài)保護(hù)外包服務(wù)商應(yīng)采取以下措施,防止其信息系統(tǒng)中承載的委托方業(yè)務(wù)或數(shù)據(jù)被非授權(quán)訪問:對(duì)委托方的業(yè)務(wù)和數(shù)據(jù)實(shí)施嚴(yán)格的訪問控制,確保未經(jīng)委托方授權(quán)的人員不能訪問其業(yè)務(wù)和數(shù)據(jù),包括外包服務(wù)6.2.4最小特權(quán)委托方應(yīng)按照最小特權(quán)原則,賦予外包服務(wù)商在本系統(tǒng)、本機(jī)構(gòu)中的邏輯和物理訪問權(quán)限:a)為外包服務(wù)商提供的訪問權(quán)限應(yīng)是其完成外包服務(wù)所必需的,符合本機(jī)構(gòu)的業(yè)務(wù)需求。b)將特權(quán)功能的執(zhí)行納入信息系統(tǒng)需要審計(jì)的事件之中。6.2.5邊界保護(hù)外包服務(wù)商應(yīng)對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)實(shí)施邊界保護(hù)措施:a)在連接外部系統(tǒng)的邊界和內(nèi)部關(guān)鍵邊界上,對(duì)通信進(jìn)行監(jiān)控。b)在訪問系統(tǒng)的關(guān)鍵邏輯邊界上,對(duì)通信進(jìn)行監(jiān)控。6.2.6遠(yuǎn)程訪問委托方應(yīng)實(shí)施以下遠(yuǎn)程訪問措施,嚴(yán)格管理外包服務(wù)商對(duì)委托方信息系統(tǒng)的遠(yuǎn)程訪問:9DB14/T1251—2016a)明確遠(yuǎn)程訪問使用條件、配置和連接要求,并經(jīng)信息安全主管領(lǐng)導(dǎo)批準(zhǔn)。b)采取有關(guān)措施保證遠(yuǎn)程訪問的安全,如多因子認(rèn)證、VPN(虛擬專用網(wǎng))、數(shù)字證書等。6.3維護(hù)6.3.1受控維護(hù)委托方應(yīng)對(duì)外包服務(wù)商在本系統(tǒng)中的運(yùn)維活動(dòng)采取以下安全管理措施:a)根據(jù)信息系統(tǒng)組件的規(guī)格說明以及自身的業(yè)務(wù)需求,對(duì)信息系統(tǒng)組件的維護(hù)和修理進(jìn)行規(guī)劃、實(shí)施、記錄,并對(duì)維護(hù)和修理記錄進(jìn)行審查。b)審批和監(jiān)視所有維護(hù)行為,包括現(xiàn)場(chǎng)維護(hù)、遠(yuǎn)程維護(hù),以及對(duì)設(shè)備的異地維護(hù)。c)在將信息系統(tǒng)組件轉(zhuǎn)移到外部進(jìn)行非現(xiàn)場(chǎng)的維護(hù)或維修前,應(yīng)獲得本機(jī)構(gòu)信息安全主管領(lǐng)導(dǎo)的批準(zhǔn)。d)在維護(hù)記錄中,至少應(yīng)包括:維護(hù)日期和時(shí)間、維護(hù)人員姓名、陪同人員姓名、對(duì)維護(hù)活動(dòng)的描述、被轉(zhuǎn)移或替換的設(shè)備列表(包括設(shè)備標(biāo)識(shí)號(hào))等信息。6.3.2維護(hù)工具委托方應(yīng)采取以下措施,審批、控制并監(jiān)視維護(hù)工具的使用:a)檢查由維護(hù)人員帶入設(shè)施內(nèi)部的維護(hù)工具,以確保維護(hù)工具未被不當(dāng)修改。b)在使用診斷或測(cè)試程序前,對(duì)其進(jìn)行惡意代碼檢測(cè)。6.3.3遠(yuǎn)程維護(hù)委托方應(yīng)對(duì)遠(yuǎn)程維護(hù)采取以下安全措施:a)針對(duì)遠(yuǎn)程維護(hù)鏈接及診斷鏈接的建立,明確規(guī)定有關(guān)策略和規(guī)程,對(duì)每次遠(yuǎn)程維護(hù)和診斷進(jìn)行審批和監(jiān)視。b)建立和保存對(duì)遠(yuǎn)程維護(hù)和診斷活動(dòng)的記錄。c)對(duì)所有遠(yuǎn)程維護(hù)和診斷活動(dòng)進(jìn)行審計(jì),并定期對(duì)所有遠(yuǎn)程維護(hù)和診斷會(huì)話的記錄進(jìn)行審查。6.3.4維護(hù)人員委托方應(yīng)采取以下措施,加強(qiáng)對(duì)維護(hù)人員的安全管理:a)建立對(duì)維護(hù)人員的授權(quán)流程,對(duì)已獲授權(quán)的人員建立列表。b)確保只有列表中的維護(hù)人員,才可在沒有人員陪同時(shí)進(jìn)行系統(tǒng)維護(hù);不在列表中的人員,必須在授權(quán)且技術(shù)可勝任的人員陪同與監(jiān)管下,才可開展維護(hù)活動(dòng)。6.3.5外包服務(wù)商系統(tǒng)維護(hù)外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)進(jìn)行安全維護(hù),并定期將維護(hù)記錄向委托方提交。6.3.6變更控制委托方應(yīng)采取以下變更控制措施,防止外包服務(wù)商對(duì)委托方信息系統(tǒng)和承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)進(jìn)行非授權(quán)更改:a)明確信息系統(tǒng)中有哪些變更需要包含在受控配置列表中,如主機(jī)配置項(xiàng)、網(wǎng)絡(luò)配置項(xiàng)等。b)建立對(duì)受控配置進(jìn)行變更的授權(quán)程序。c)審查所提交的受控配置變更事項(xiàng),根據(jù)安全影響分析結(jié)果決定批準(zhǔn)或否決,并進(jìn)行記錄。DB14/T1251—2016d)保留信息系統(tǒng)中受控配置的變更記錄。e)定期對(duì)受控配置變更活動(dòng)進(jìn)行審查。6.3.7信息安全管理策略外包服務(wù)商應(yīng)制定信息安全管理策略,包括:a)明確管理目標(biāo)與范圍,制定包括系統(tǒng)設(shè)施和操作等內(nèi)容的系統(tǒng)安全目標(biāo)與范圍計(jì)劃文件。b)為達(dá)到相應(yīng)等級(jí)技術(shù)要求,提供相應(yīng)的管理保證。c)提供對(duì)信息系統(tǒng)進(jìn)行基本安全保護(hù)的安全功能和安全管理措施,確保安全功能達(dá)到預(yù)期目標(biāo),使信息免遭非授權(quán)的泄露和破壞,基本保證信息系統(tǒng)安全運(yùn)行。d)建立相應(yīng)的安全管理機(jī)構(gòu),制定相應(yīng)的安全操作規(guī)程。e)制定信息系統(tǒng)的風(fēng)險(xiǎn)管理計(jì)劃。f)提供對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)的比較完整的系統(tǒng)化安全保護(hù)的能力和比較完善的安全管理措施,從整體上保護(hù)信息免遭非授權(quán)的泄露和破壞,保證信息系統(tǒng)安全正常運(yùn)行。6.3.8信息安全管理制度外包服務(wù)商應(yīng)制定信息安全管理制度,包括信息安全管理規(guī)定、系統(tǒng)安全管理規(guī)定、數(shù)據(jù)安全管理規(guī)定、防病毒規(guī)定、機(jī)房安全管理規(guī)定、設(shè)備使用管理規(guī)定、人員安全管理規(guī)定、安全審計(jì)管理規(guī)定、用戶管理規(guī)定、風(fēng)險(xiǎn)管理規(guī)定、信息分類分級(jí)管理規(guī)定、安全事件報(bào)告規(guī)定、事故處理規(guī)定、應(yīng)急管理規(guī)定和災(zāi)難恢復(fù)管理規(guī)定等以及相關(guān)規(guī)程。6.4事件處理6.4.1事件處理計(jì)劃為及時(shí)應(yīng)對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)可能發(fā)生的信息安全事件,外包服務(wù)商應(yīng)制定事件處理計(jì)劃:a)事件處理計(jì)劃應(yīng)包括:1)說明啟動(dòng)事件處理計(jì)劃的條件和方法。2)說明其機(jī)構(gòu)內(nèi)與事件處理有關(guān)的組織架構(gòu)。3)定義需要報(bào)告的安全事件。4)定義必要的資源和管理支持。b)定期審查和修訂事件處理計(jì)劃。6.4.2事件處理活動(dòng)外包服務(wù)商應(yīng)采取以下措施,對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)發(fā)生的信息安全事件進(jìn)行處置:a)為安全事件的處理提供必需的資源和管理支持。b)將在事件處理活動(dòng)中獲得的經(jīng)驗(yàn),納入事件處理、培訓(xùn)及演練計(jì)劃,并實(shí)施相應(yīng)的變更。6.4.3事件報(bào)告承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)發(fā)生信息安全事件后,外包服務(wù)商應(yīng)及時(shí)啟動(dòng)事件報(bào)告機(jī)制:當(dāng)發(fā)現(xiàn)可疑的安全事件時(shí),應(yīng)立即向委托方報(bào)告有關(guān)情況。6.4.4事件處理支持DB14/T1251—2016外包服務(wù)商應(yīng)提供以下事件處理支持:落實(shí)事件處理所需的各類支持資源,為委托方處理、報(bào)告安全事件提供咨詢和幫助。6.4.5應(yīng)急演練外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)開展應(yīng)急演練:a)制定或修訂應(yīng)急演練計(jì)劃。b)定期執(zhí)行應(yīng)急演練計(jì)劃。c)記錄和核查應(yīng)急演練結(jié)果,并根據(jù)需要修訂應(yīng)急響應(yīng)計(jì)劃。6.5審計(jì)6.5.1委托方審計(jì)委托方應(yīng)對(duì)外包服務(wù)商的下述活動(dòng)進(jìn)行審計(jì),并唯一掌握審計(jì)管理員權(quán)限:a)在線審計(jì)外包服務(wù)商在委托方信息系統(tǒng)中的所有活動(dòng)。b)記錄外包服務(wù)商在委托方物理場(chǎng)所內(nèi)的所有活動(dòng)。6.5.2外包服務(wù)商審計(jì)外包服務(wù)商應(yīng)開展以下審計(jì):a)根據(jù)所獲得的授權(quán),審計(jì)本系統(tǒng)、本機(jī)構(gòu)中所有對(duì)委托方業(yè)務(wù)和數(shù)據(jù)的訪問、操作行為。b)對(duì)本機(jī)構(gòu)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)運(yùn)行情況進(jìn)行審計(jì)。6.5.3審計(jì)記錄內(nèi)容委托方和外包服務(wù)商的審計(jì)記錄內(nèi)容至少包括:事件類型、事件發(fā)生的時(shí)間和地點(diǎn)、事件來(lái)源、事件結(jié)果以及與事件相關(guān)的用戶或主體的身份。6.5.4審計(jì)記錄保護(hù)委托方和外包服務(wù)商應(yīng)對(duì)審計(jì)記錄提供以下保護(hù):a)根據(jù)審計(jì)記錄存儲(chǔ)需求,配置審計(jì)記錄存儲(chǔ)容量。b)當(dāng)審計(jì)記錄存儲(chǔ)容量即將用完時(shí),例如剩余10%,向?qū)徲?jì)管理員報(bào)警。c)當(dāng)審計(jì)記錄存儲(chǔ)容量用完時(shí),覆蓋最早的審計(jì)記錄,不得中斷審計(jì)。6.5.5審計(jì)的審查、分析和報(bào)告委托方和外包服務(wù)商應(yīng)對(duì)審計(jì)記錄進(jìn)行審查、分析并報(bào)告敏感事件:a)能夠根據(jù)不同審計(jì)類別對(duì)審計(jì)記錄進(jìn)行檢索和處理。審計(jì)類別包括用戶身份、事件類型、事件發(fā)生位置、事件發(fā)生時(shí)間以及事件涉及的IP地址和系統(tǒng)資源等。b)定期對(duì)審計(jì)記錄進(jìn)行審查和分析,以發(fā)現(xiàn)非授權(quán)訪問委托方業(yè)務(wù)和數(shù)據(jù)等不當(dāng)或異常活動(dòng),并向系統(tǒng)管理員報(bào)告。6.5.6持續(xù)監(jiān)視委托機(jī)構(gòu)應(yīng)持續(xù)監(jiān)視外包服務(wù)商提供外包服務(wù)的全過程:定期評(píng)估外包活動(dòng)信息安全執(zhí)行情況,以確保信息技術(shù)服務(wù)的信息安全質(zhì)量和連續(xù)性。6.6人員安全DB14/T1251—20166.6.1安全組織外包服務(wù)商應(yīng)建立或指定負(fù)責(zé)外包活動(dòng)信息安全的部門:a)負(fù)責(zé)保護(hù)本機(jī)構(gòu)承載的委托方業(yè)務(wù)和數(shù)據(jù)的安全。b)處理涉及委托方的信息安全事件。c)組織培訓(xùn)、應(yīng)急演練等活動(dòng)。d)制定、實(shí)施面向委托方信息安全的服務(wù)規(guī)章制度,并傳達(dá)至本機(jī)構(gòu)所有相關(guān)人員。e)定期或在信息安全策略或計(jì)劃發(fā)生變更時(shí),評(píng)審和更新信息安全規(guī)章制度,以確保其持續(xù)適用和有效。f)對(duì)本機(jī)構(gòu)其他部門涉及委托方信息安全的活動(dòng)提出意見、建議,并在報(bào)經(jīng)本機(jī)構(gòu)主管領(lǐng)導(dǎo)同意后,監(jiān)督有關(guān)活動(dòng)的實(shí)施。g)向委托方提交審計(jì)記錄、事件處理報(bào)告、應(yīng)急演練計(jì)劃等重要文檔。6.6.2崗位風(fēng)險(xiǎn)與職責(zé)外包服務(wù)商應(yīng)制定與外包活動(dòng)有關(guān)的崗位清單:a)標(biāo)識(shí)出所有崗位的風(fēng)險(xiǎn)。b)建立上崗人員的篩選準(zhǔn)則。c)根據(jù)崗位風(fēng)險(xiǎn),明確所有崗位的信息安全職責(zé)。6.6.3人員離職外包服務(wù)商一旦決定終止與某外包服務(wù)人員的雇傭關(guān)系,應(yīng):a)事先告知委托方。b)要求該外包服務(wù)人員返還委托方業(yè)務(wù)和數(shù)據(jù)。c)立即禁止該人員對(duì)委托方業(yè)務(wù)和數(shù)據(jù)的訪問。d)終止或撤銷與該人員相關(guān)的任何身份鑒別物或憑證。e)與該人員進(jìn)行離職面談,包括約定離職后不得利用掌握的信息和便利條件危害委托方的業(yè)務(wù)和數(shù)據(jù)。f)確保之前由該人員控制的信息和信息系統(tǒng)仍然可用。g)管理層和信息系統(tǒng)關(guān)鍵崗位人員離職時(shí),要求其承諾離職后的保密要求。6.6.4人員調(diào)動(dòng)外包服務(wù)商應(yīng)對(duì)外包服務(wù)人員的調(diào)動(dòng)實(shí)施安全控制:a)在人員被再分配或調(diào)動(dòng)至其他內(nèi)部崗位時(shí),評(píng)審和確認(rèn)是否有必要保留其對(duì)系統(tǒng)或設(shè)施的邏輯和物理訪問權(quán)限。b)在正式下達(dá)調(diào)令后的一周或更短時(shí)間內(nèi),啟動(dòng)再分配或調(diào)動(dòng)行動(dòng),不得無(wú)故拖延。c)修改原有的訪問授權(quán)。6.6.5人員處罰外包服務(wù)商應(yīng)對(duì)外包服務(wù)人員建立人員處罰程序:a)對(duì)于違反信息安全規(guī)章制度的人員,啟動(dòng)處罰程序。b)在啟動(dòng)處罰程序時(shí),通知本機(jī)構(gòu)相關(guān)部門,通報(bào)受處罰人員及處罰原因。6.6.6安全培訓(xùn)DB14/T1251—2016外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)外包服務(wù)人員、委托方及其他有關(guān)人員(包括管理層人員和合同商)提供信息安全意識(shí)培訓(xùn):a)在以下情況下實(shí)施培訓(xùn):1)本機(jī)構(gòu)外包服務(wù)人員、委托方及其他有關(guān)人員接受初始培訓(xùn)時(shí)。2)承載的委托方業(yè)務(wù)系統(tǒng)發(fā)生變更時(shí)。b)在以下情況下為承擔(dān)外包安全角色和職責(zé)的人員提供基于角色的安全技能培訓(xùn):1)被授權(quán)訪問信息系統(tǒng)或者執(zhí)行所分配的職責(zé)之前。2)承載的委托方業(yè)務(wù)系統(tǒng)發(fā)生變更時(shí)。c)記錄信息系統(tǒng)安全培訓(xùn)活動(dòng),包括基礎(chǔ)的安全意識(shí)培訓(xùn)和特定的信息系統(tǒng)安全培訓(xùn)。6.7物理與環(huán)境安全6.7.1物理設(shè)施與設(shè)備選址外包服務(wù)商應(yīng)確保承載委托方業(yè)務(wù)和數(shù)據(jù)的數(shù)據(jù)中心和服務(wù)器處于安全的物理位置:對(duì)數(shù)據(jù)中心和服務(wù)器面臨的潛在物理和環(huán)境危險(xiǎn)進(jìn)行評(píng)估,形成評(píng)估報(bào)告,并對(duì)風(fēng)險(xiǎn)作出處置。6.7.2委托方物理和環(huán)境規(guī)劃委托方應(yīng)對(duì)本機(jī)構(gòu)的物理和環(huán)境作出規(guī)劃,防止外包服務(wù)商非授權(quán)接觸重要敏感信息:a)建立物理和環(huán)境安全策略,以及安全操作流程。b)將關(guān)鍵和重要敏感信息及信息處理設(shè)備控制在安全區(qū)域內(nèi),且該區(qū)域具有清晰的安全邊界標(biāo)6.7.3外包服務(wù)商物理和環(huán)境規(guī)劃外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)的物理和環(huán)境作出規(guī)劃,防止承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)被非授權(quán)訪問,合理劃分機(jī)房物理區(qū)域,合理布置信息系統(tǒng)組件,以防范火災(zāi)、電磁泄露等物理和環(huán)境威脅以及非授權(quán)訪問等人為威脅。6.7.4物理環(huán)境訪問控制委托方應(yīng)建立物理環(huán)境訪問控制機(jī)制,對(duì)外包服務(wù)商的物理訪問進(jìn)行授權(quán):a)對(duì)所有機(jī)房、重要辦公空間實(shí)施物理訪問授權(quán),具體包括:在準(zhǔn)許進(jìn)入機(jī)房前驗(yàn)證其訪問授權(quán)、使用門禁或警衛(wèi)實(shí)施機(jī)房出入控制等。b)制定和維護(hù)外包服務(wù)人員的物理訪問審計(jì)日志。c)確保鑰匙、訪問憑證以及其他物理訪問設(shè)備的安全。d)定期或在鑰匙丟失、訪問憑證受損以及相關(guān)人員發(fā)生變動(dòng)的情況下,更換鑰匙和訪問憑證。6.7.5物理訪問監(jiān)控委托方應(yīng)設(shè)置物理訪問監(jiān)控設(shè)備:a)在本機(jī)構(gòu)設(shè)置物理訪問監(jiān)控設(shè)備,使物理訪問監(jiān)控設(shè)備保持24小時(shí)開啟,并制定對(duì)監(jiān)控記錄的授權(quán)查閱流程。b)當(dāng)發(fā)生安全事件時(shí),對(duì)物理訪問日志進(jìn)行查閱。6.7.6設(shè)備運(yùn)送和移除委托方應(yīng):DB14/T1251—2016a)建立重要設(shè)備臺(tái)帳,明確設(shè)備所有權(quán),并確定責(zé)任人。b)對(duì)重要設(shè)備進(jìn)入和離開機(jī)房進(jìn)行授權(quán)和監(jiān)控,并制定和維護(hù)相關(guān)記錄。6.7.7資源管理委托方應(yīng):a)編制并維護(hù)與信息系統(tǒng)相關(guān)的資產(chǎn)清單,包括信息資產(chǎn)、軟件資產(chǎn)、有形資產(chǎn)、應(yīng)用業(yè)務(wù)相關(guān)資產(chǎn)、計(jì)算和通信設(shè)備等。b)標(biāo)識(shí)出資產(chǎn)所有權(quán)、責(zé)任人、安全分類及所在位置等。c)根據(jù)資產(chǎn)的價(jià)值或重要性對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí),進(jìn)行分級(jí)管理。d)對(duì)信息系統(tǒng)內(nèi)不同業(yè)務(wù)相關(guān)信息,按其對(duì)安全性的不同要求分類并加以標(biāo)識(shí),進(jìn)行分類管理。7.1服務(wù)商選擇與供應(yīng)鏈安全7.1.1服務(wù)商選擇準(zhǔn)則委托方應(yīng)對(duì)潛在外包服務(wù)商進(jìn)行風(fēng)險(xiǎn)評(píng)估,依據(jù)以下準(zhǔn)則確定外包服務(wù)商:a)綜合分析各方面的信息,包括執(zhí)法部門披露的信息、信息安全通報(bào)、應(yīng)急響應(yīng)機(jī)構(gòu)的風(fēng)險(xiǎn)提示、國(guó)家網(wǎng)絡(luò)安全審查結(jié)果等,排除存在安全隱患的外包服務(wù)商。b)外包服務(wù)商的法人及主要業(yè)務(wù)人員、技術(shù)人員無(wú)犯罪記錄,外包服務(wù)商具有固定的辦公場(chǎng)所,具備保障信息技術(shù)服務(wù)安全實(shí)施的技術(shù)、財(cái)務(wù)等能力。c)對(duì)需要資質(zhì)的信息技術(shù)服務(wù),如信息安全測(cè)評(píng)、云計(jì)算等,外包服務(wù)商應(yīng)已獲得相應(yīng)資質(zhì)。d)外包服務(wù)商的員工中,所有參與外包活動(dòng)的員工滿足以下條件:1)持有相應(yīng)服務(wù)所需的人員資質(zhì)。2)定期接受信息安全培訓(xùn),具有較強(qiáng)的信息安全意識(shí)。3)與外包服務(wù)機(jī)構(gòu)簽署了長(zhǎng)期固定勞動(dòng)合同,并且簽訂了保密協(xié)議。4)為中國(guó)公民。5)接受過本機(jī)構(gòu)或政府主管部門組織的背景審查。e)外包服務(wù)商在中華人民共和國(guó)境內(nèi)(港澳臺(tái)地區(qū)除外)注冊(cè),由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資注冊(cè)成立,外包服務(wù)商處理委托方業(yè)務(wù)和數(shù)據(jù)的數(shù)據(jù)中心、服務(wù)器位于中國(guó)境內(nèi)(港澳臺(tái)地區(qū)除外)。f)基于成功案例、歷史合作關(guān)系、資本關(guān)系、法律管轄權(quán)、合同承諾等因素,委托方與外包服務(wù)商之間已建立并保持一定程度的信任關(guān)系。7.1.2服務(wù)外包合同委托方應(yīng)與外包服務(wù)商簽署服務(wù)外包合同,合同應(yīng)包含以下幾方面內(nèi)容:a)制定信息安全條款,具體內(nèi)容包括但不限于:1)服務(wù)外包信息安全目標(biāo)和衡量標(biāo)準(zhǔn)。2)服務(wù)外包信息安全保障范圍和費(fèi)用。3)不得占有服務(wù)過程中產(chǎn)生的任何資產(chǎn)。4)不得以服務(wù)為由強(qiáng)制要求購(gòu)買、使用指定產(chǎn)品。5)不泄露委托方重要敏感信息的信息安全承諾。6)服務(wù)外包過程中的知識(shí)產(chǎn)權(quán)歸屬。DB14/T1251—20167)明示外包服務(wù)機(jī)構(gòu)在使用和處理數(shù)據(jù)過程中的所有權(quán)、邊界控制等要求。8)明示外包服務(wù)機(jī)構(gòu)接受信息安全主管部門監(jiān)督檢查的責(zé)任義務(wù)。9)服務(wù)外包意外終止或變更的要求。b)在信息安全影響因素發(fā)生變更后,及時(shí)修訂信息安全條款。c)確保信息安全條款被外包服務(wù)機(jī)構(gòu)及其服務(wù)人員所周知。d)確保外包服務(wù)商承諾對(duì)委托方的信息安全負(fù)責(zé),不利用提供服務(wù)的便利危害委托方業(yè)務(wù)和數(shù)據(jù)的安全,不在未獲得明確授權(quán)情況下泄露服務(wù)過程中獲取的委托方數(shù)據(jù)。e)確保外包服務(wù)商承諾未經(jīng)委托方書面許可不將服務(wù)進(jìn)行分包。f)確保外包服務(wù)商的信息系統(tǒng)中,承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)接受與委托方信息系統(tǒng)同等的信息安全監(jiān)督管理,并采取與委托方信息系統(tǒng)同等強(qiáng)度的信息安全防護(hù)措施。g)明確定義服務(wù)退出條件,包括但不限于以下內(nèi)容:1)當(dāng)服務(wù)合同到期后的正常退出條件。2)當(dāng)服務(wù)發(fā)生錯(cuò)誤且不能在一個(gè)有效時(shí)間內(nèi)處理完成的退出條件。3)與外包服務(wù)機(jī)構(gòu)協(xié)商達(dá)成一致的合同撤銷退出條件。4)服務(wù)合同內(nèi)容的修改或調(diào)整退出條件。h)建立服務(wù)退出策略中有關(guān)信息安全的管理要求:1)依據(jù)不同的服務(wù)退出條件,定義服務(wù)退出過程中及退出后的管理角色和職責(zé)。2)保證信息技術(shù)服務(wù)信息安全質(zhì)量在退出階段能夠維持服務(wù)合同中的信息安全管理要求。3)在服務(wù)退出過程中,退還所有服務(wù)涉及的文檔。4)保證在服務(wù)合同終止之后對(duì)服務(wù)內(nèi)容和信息的保密性要求。5)將政府部門的數(shù)據(jù)有效地消除或移除,確保數(shù)據(jù)不被其他組織或個(gè)人公開。6)當(dāng)服務(wù)失敗或企業(yè)破產(chǎn)等突發(fā)情況發(fā)生時(shí),保留繼續(xù)雇用服務(wù)人員開展服務(wù)工作的權(quán)利。i)外包服務(wù)商在服務(wù)退出時(shí)的信息安全承諾,包括但不限于以下內(nèi)容:1)及時(shí)刪除信息技術(shù)服務(wù)過程中生成的子賬戶或子功能。2)在服務(wù)退出過程中,退還所有委托方的數(shù)據(jù)和文檔。3)在合理的時(shí)間內(nèi)刪除所有委托方的數(shù)據(jù)和文檔。j)外包服務(wù)商承諾不在未獲得明確授權(quán)情況下向境外傳輸委托方的數(shù)據(jù)。7.1.3供應(yīng)鏈安全外包服務(wù)商應(yīng)實(shí)施以下供應(yīng)鏈安全措施:a)明確有哪些服務(wù)或采購(gòu)的產(chǎn)品對(duì)委托方的業(yè)務(wù)和數(shù)據(jù)可能會(huì)造成嚴(yán)重影響,并確保涉及外包服務(wù)的重要設(shè)備通過國(guó)家和地方主管部門規(guī)定的安全檢測(cè)。b)向委托方承諾,不使用含有惡意代碼的產(chǎn)品、有缺陷產(chǎn)品或假冒產(chǎn)品。c)對(duì)外包服務(wù)所涉及的產(chǎn)品開發(fā)環(huán)境、信息存儲(chǔ)設(shè)備等實(shí)施安全控制。d)對(duì)信息技術(shù)外包服務(wù)交付物采取可信或可控的分發(fā)、交付和倉(cāng)儲(chǔ)手段。e)承載委托方業(yè)務(wù)和數(shù)據(jù)的所有信息系統(tǒng)組件均可追蹤至下級(jí)供應(yīng)商,且對(duì)下級(jí)供應(yīng)商的安全實(shí)施了進(jìn)一步的核查,并建立了評(píng)價(jià)下級(jí)供應(yīng)商安全態(tài)勢(shì)的準(zhǔn)則,與下級(jí)供應(yīng)商簽訂了安全合同。7.1.4外包服務(wù)商服務(wù)環(huán)境安全外包服務(wù)商應(yīng)確保其承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)滿足以下要求:a)將信息安全納入信息系統(tǒng)生命周期,確保信息安全與信息化同步規(guī)劃、同步建設(shè)、同步運(yùn)行。b)已經(jīng)獲得與委托方信息系統(tǒng)同樣安全等級(jí)的測(cè)評(píng)。DB14/T1251—2016c)對(duì)信息系統(tǒng)的安全措施進(jìn)行清晰描述,例如安全功能、機(jī)制、安全管理制度等,并向委托方提供詳細(xì)說明。7.1.5開發(fā)安全外包服務(wù)商在為委托方提供系統(tǒng)設(shè)計(jì)、開發(fā)等服務(wù)時(shí),應(yīng)滿足以下要求:a)提供交付物時(shí)的缺省配置為安全配置,且已刪除所有測(cè)試接口,不含有后門或其他不必要的功b)確保系統(tǒng)開發(fā)人員接受了軟件開發(fā)安全培訓(xùn)。c)制定明確的開發(fā)規(guī)范,在規(guī)范中明確以下事項(xiàng):1)所開發(fā)系統(tǒng)的安全需求。2)開發(fā)過程中使用的標(biāo)準(zhǔn)和工具。3)開發(fā)過程中使用的特定工具選項(xiàng)和工具配置。d)采取有關(guān)措施,確保開發(fā)過程的完整性和工具變更的完整性。e)定期審查開發(fā)過程、標(biāo)準(zhǔn)、工具以及工具選項(xiàng)和配置。f)在開發(fā)過程的初始階段定義質(zhì)量度量標(biāo)準(zhǔn),并定期檢查質(zhì)量度量標(biāo)準(zhǔn)的落實(shí)情況。g)確定安全問題追蹤工具,并在開發(fā)過程期間使用。h)對(duì)所開發(fā)的系統(tǒng)執(zhí)行漏洞分析,明確漏洞利用的可能性,確定漏洞消減措施。i)即使在交付外包服務(wù)后,也應(yīng)跟蹤漏洞情況,發(fā)現(xiàn)漏洞后及時(shí)通知委托方,并向委托方提供經(jīng)驗(yàn)證的漏洞補(bǔ)丁。j)在開發(fā)和測(cè)試環(huán)境使用生產(chǎn)數(shù)據(jù)時(shí),應(yīng)先行批準(zhǔn)、記錄并進(jìn)行保護(hù)。k)對(duì)所開發(fā)的外包服務(wù)信息系統(tǒng)及其組件或服務(wù)進(jìn)行安全測(cè)試。1)制定并實(shí)施安全評(píng)估計(jì)劃。2)更正在安全評(píng)估過程中發(fā)現(xiàn)的脆弱性和不足。3)使用靜態(tài)代碼分析工具識(shí)別常見缺陷,并記錄分析結(jié)果。4)實(shí)施威脅和脆弱性分析,并測(cè)試或評(píng)估已開發(fā)完成的交付物。l)提供能夠驗(yàn)證軟件和固件組件完整性的方法,如哈希算法。m)提供對(duì)硬件組件進(jìn)行完整性驗(yàn)證的方法,如防偽標(biāo)簽、可核查序列號(hào)、防篡改技術(shù)等。7.1.6系統(tǒng)文檔外包服務(wù)商在服務(wù)結(jié)束后應(yīng)向委托方提交以下系統(tǒng)文檔:a)管理員文檔,至少應(yīng)涵蓋以下信息:1)所開發(fā)的信息系統(tǒng)及其組件或服務(wù)的安全配置,以及安裝和運(yùn)行說明。2)安全特性或功能的使用和維護(hù)說明。3)與管理功能有關(guān)的配置和使用方面的注意事項(xiàng)。b)用戶文檔,至少應(yīng)涵蓋以下信息:1)用戶可使用的安全功能或機(jī)制,以及對(duì)如何有效使用這些安全功能或機(jī)制的說明。2)有助于用戶更安全地使用信息系統(tǒng)及其組件或服務(wù)的方法或說明。3)對(duì)用戶安全責(zé)任和注意事項(xiàng)的說明。7.1.7培訓(xùn)外包服務(wù)商應(yīng)對(duì)委托方提供培訓(xùn),以幫助委托方正確使用所交付系統(tǒng)或產(chǎn)品中的安全功能、措施和機(jī)制。DB14/T1251—20167.2訪問控制7.2.1標(biāo)識(shí)符管理委托方應(yīng)通過以下步驟管理外包服務(wù)人員在信息系統(tǒng)中的標(biāo)識(shí)符:a)明確由專門的授權(quán)人員為外包服務(wù)人員分配個(gè)人、組、角色或設(shè)備標(biāo)識(shí)符。b)將標(biāo)識(shí)符分配給有關(guān)個(gè)人、組、角色或設(shè)備。c)在服務(wù)結(jié)束后禁用外包服務(wù)人員的標(biāo)識(shí)符。d)在合理的時(shí)間段內(nèi)防止對(duì)用戶或設(shè)備標(biāo)識(shí)符的重用。7.2.2鑒別憑證管理委托方應(yīng)通過以下步驟管理外包服務(wù)人員的鑒別憑證:a)驗(yàn)證鑒別憑證接收對(duì)象(個(gè)人、組、角色或設(shè)備)的身份。b)確定鑒別憑證的初始內(nèi)容。c)確保鑒別憑證能夠有效防止偽造和篡改。d)針對(duì)鑒別憑證的初始分發(fā)、丟失處置以及收回,建立和實(shí)施管理規(guī)程。e)保護(hù)鑒別憑證內(nèi)容,以防泄露和篡改。f)當(dāng)組或角色賬號(hào)的成員資格發(fā)生變化時(shí),變更該賬號(hào)的鑒別憑證。g)在服務(wù)結(jié)束后收回鑒別憑證。h)明確鑒別憑證的最小和最大生存時(shí)間限制以及再用條件。i)要求在一定時(shí)間段之后更新鑒別憑證。7.2.3數(shù)據(jù)靜態(tài)保護(hù)外包服務(wù)商應(yīng)采取以下措施,防止其信息系統(tǒng)中承載的委托方業(yè)務(wù)或數(shù)據(jù)被非授權(quán)訪問:a)對(duì)委托方的業(yè)務(wù)和數(shù)據(jù)實(shí)施嚴(yán)格的訪問控制,確保未經(jīng)委托方授權(quán)的人員不能訪問其業(yè)務(wù)和數(shù)據(jù),包括外包服務(wù)商。b)部署數(shù)據(jù)挖掘檢測(cè),對(duì)系統(tǒng)中存儲(chǔ)的委托方數(shù)據(jù)受到的數(shù)據(jù)挖掘和大數(shù)據(jù)分析行為能夠及時(shí)發(fā)7.2.4數(shù)據(jù)流控制外包服務(wù)商應(yīng)在確保委托方隱私權(quán)和安全利益的前提下,對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)實(shí)施數(shù)據(jù)流控制措施:a)控制委托方數(shù)據(jù)在系統(tǒng)內(nèi)或互連系統(tǒng)間流向第三方。根據(jù)實(shí)際情況,數(shù)據(jù)流控制策略的實(shí)現(xiàn)方式可包括:將相關(guān)數(shù)據(jù)屬性(如數(shù)據(jù)內(nèi)容和數(shù)據(jù)結(jié)構(gòu))、源與目的地對(duì)象等作為數(shù)據(jù)流控制的決策基礎(chǔ)。b)必要時(shí)對(duì)數(shù)據(jù)流實(shí)施人工審查。c)在不同的安全域之間傳輸信息時(shí),檢查信息中是否存在敏感信息,并遵循相關(guān)安全策略,禁止傳輸此類信息。7.2.5最小特權(quán)委托方應(yīng)按照最小特權(quán)原則,賦予外包服務(wù)商在本系統(tǒng)、本機(jī)構(gòu)中的邏輯和物理訪問權(quán)限:a)為外包服務(wù)商提供的訪問權(quán)限應(yīng)是其完成外包服務(wù)所必需的,符合本機(jī)構(gòu)的業(yè)務(wù)需求。b)將特權(quán)功能的執(zhí)行納入信息系統(tǒng)需要審計(jì)的事件之中。DB14/T1251—2016c)確保具有訪問系統(tǒng)安全功能或安全相關(guān)信息的特權(quán)賬號(hào)或角色用戶,當(dāng)訪問非安全功能時(shí),使用非特權(quán)賬號(hào)或角色。7.2.6邊界保護(hù)外包服務(wù)商應(yīng)對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)實(shí)施邊界保護(hù)措施:a)在連接外部系統(tǒng)的邊界和內(nèi)部關(guān)鍵邊界上,對(duì)通信進(jìn)行監(jiān)控;在訪問系統(tǒng)的關(guān)鍵邏輯邊界上,對(duì)通信進(jìn)行監(jiān)控。b)將允許外部公開直接訪問的組件,劃分在一個(gè)與內(nèi)部網(wǎng)絡(luò)邏輯隔離的子網(wǎng)絡(luò)上。并確保允許外部人員訪問的組件與允許委托方訪問的組件在邏輯層面實(shí)現(xiàn)嚴(yán)格的網(wǎng)絡(luò)隔離。c)確保與外部網(wǎng)絡(luò)或信息系統(tǒng)的連接只能通過嚴(yán)格管理的接口進(jìn)行,該接口上應(yīng)部署有邊界保護(hù)設(shè)備。7.2.7數(shù)據(jù)傳輸保護(hù)外包服務(wù)商應(yīng)對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)實(shí)施數(shù)據(jù)傳輸保護(hù)措施,例如實(shí)施加密機(jī)制,以防止委托方的業(yè)務(wù)或信息被非授權(quán)訪問、篡改、使用、復(fù)制或刪除。7.2.8遠(yuǎn)程訪問委托方應(yīng)實(shí)施以下遠(yuǎn)程訪問措施,嚴(yán)格管理外包服務(wù)商對(duì)委托方信息系統(tǒng)的遠(yuǎn)程訪問:a)明確遠(yuǎn)程訪問使用條件、配置和連接要求,并經(jīng)信息安全主管領(lǐng)導(dǎo)批準(zhǔn)。b)采取有關(guān)措施保證遠(yuǎn)程訪問的安全,如多因子認(rèn)證、VPN(虛擬專用網(wǎng))、數(shù)字證書等。c)在每一次遠(yuǎn)程連接前,對(duì)遠(yuǎn)程訪問進(jìn)行單獨(dú)授權(quán),在到達(dá)規(guī)定的時(shí)間或單次外包活動(dòng)結(jié)束后,終止遠(yuǎn)程訪問。d)確保所有遠(yuǎn)程訪問只能經(jīng)過有限數(shù)量的、受管理的訪問控制點(diǎn)。e)對(duì)遠(yuǎn)程執(zhí)行特權(quán)命令進(jìn)行限制(如創(chuàng)建系統(tǒng)賬號(hào)、配置訪問授權(quán)、執(zhí)行系統(tǒng)管理功能、審計(jì)系統(tǒng)事件或訪問事件日志等)。僅在必要情況下,才能通過遠(yuǎn)程訪問的方式,授權(quán)執(zhí)行特權(quán)命令或訪問安全相關(guān)信息,并采取更嚴(yán)格的保護(hù)措施且進(jìn)行審計(jì)。7.3維護(hù)7.3.1受控維護(hù)委托方應(yīng)對(duì)外包服務(wù)商在本系統(tǒng)中的運(yùn)維活動(dòng)采取以下安全管理措施:a)根據(jù)信息系統(tǒng)組件的規(guī)格說明以及自身的業(yè)務(wù)需求,對(duì)信息系統(tǒng)組件的維護(hù)和修理進(jìn)行規(guī)劃、實(shí)施、記錄,并對(duì)維護(hù)和修理記錄進(jìn)行審查。b)審批和監(jiān)視所有維護(hù)行為,包括現(xiàn)場(chǎng)維護(hù)、遠(yuǎn)程維護(hù),以及對(duì)設(shè)備的異地維護(hù)。c)在將信息系統(tǒng)組件轉(zhuǎn)移到外部進(jìn)行非現(xiàn)場(chǎng)的維護(hù)或維修前,應(yīng)獲得本機(jī)構(gòu)信息安全主管領(lǐng)導(dǎo)的批準(zhǔn)。d)在將信息系統(tǒng)組件轉(zhuǎn)移到外部進(jìn)行非現(xiàn)場(chǎng)的維護(hù)或維修前,應(yīng)對(duì)各類介質(zhì)進(jìn)行凈化,清除其中的信息。e)在對(duì)信息系統(tǒng)或組件進(jìn)行維護(hù)或維修后,檢查所有可能受影響的安全措施,以確認(rèn)其仍正常發(fā)揮功能。f)在維護(hù)記錄中,至少應(yīng)包括:維護(hù)日期和時(shí)間、維護(hù)人員姓名、陪同人員姓名、對(duì)維護(hù)活動(dòng)的描述、被轉(zhuǎn)移或替換的設(shè)備列表(包括設(shè)備標(biāo)識(shí)號(hào))等信息。7.3.2維護(hù)工具DB14/T1251—2016委托方應(yīng)采取以下措施,審批、控制并監(jiān)視維護(hù)工具的使用:a)檢查由維護(hù)人員帶入設(shè)施內(nèi)部的維護(hù)工具,以確保維護(hù)工具未被不當(dāng)修改。b)在使用診斷或測(cè)試程序前,對(duì)其進(jìn)行惡意代碼檢測(cè)。c)為防止具有信息存儲(chǔ)功能的維護(hù)設(shè)備在非授權(quán)情況下被轉(zhuǎn)移出控制范圍,采取以下一種或多種措施,并獲得本機(jī)構(gòu)信息安全主管領(lǐng)導(dǎo)的批準(zhǔn):1)確認(rèn)待轉(zhuǎn)移設(shè)備中沒有委托方的信息。2)凈化或破壞設(shè)備。7.3.3遠(yuǎn)程維護(hù)委托方應(yīng)對(duì)遠(yuǎn)程維護(hù)采取以下安全措施:a)針對(duì)遠(yuǎn)程維護(hù)鏈接及診斷鏈接的建立,明確規(guī)定有關(guān)策略和規(guī)程,對(duì)每次遠(yuǎn)程維護(hù)和診斷進(jìn)行審批和監(jiān)視。b)建立和保存對(duì)遠(yuǎn)程維護(hù)和診斷活動(dòng)的記錄。c)對(duì)所有遠(yuǎn)程維護(hù)和診斷活動(dòng)進(jìn)行審計(jì),并定期對(duì)所有遠(yuǎn)程維護(hù)和診斷會(huì)話的記錄進(jìn)行審查。d)僅允許使用事先報(bào)備、符合委托方要求并經(jīng)批準(zhǔn)的遠(yuǎn)程維護(hù)和診斷工具,例如可要求遠(yuǎn)程維護(hù)和診斷活動(dòng)中所有流入和流出的信息均對(duì)委托方可見。7.3.4維護(hù)人員委托方應(yīng)采取以下措施,加強(qiáng)對(duì)維護(hù)人員的安全管理:a)建立對(duì)維護(hù)人員的授權(quán)流程,對(duì)已獲授權(quán)的人員建立列表。b)確保只有列表中的維護(hù)人員,才可在沒有人員陪同時(shí)進(jìn)行系統(tǒng)維護(hù);不在列表中的人員,必須在授權(quán)且技術(shù)可勝任的人員陪同與監(jiān)管下,才可開展維護(hù)活動(dòng)。7.3.5及時(shí)維護(hù)委托方應(yīng)建立重要系統(tǒng)組件的備品備件列表,并要求外包服務(wù)商提供相應(yīng)的備品備件,便于在發(fā)生故障時(shí)使信息系統(tǒng)盡快投入運(yùn)行。7.3.6外包服務(wù)商系統(tǒng)維護(hù)外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)進(jìn)行安全維護(hù),并定期將維護(hù)記錄向委托方提交。7.3.7變更控制委托方應(yīng)采取以下變更控制措施,防止外包服務(wù)商對(duì)委托方信息系統(tǒng)和承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)進(jìn)行非授權(quán)更改:a)明確信息系統(tǒng)中有哪些變更需要包含在受控配置列表中,如主機(jī)配置項(xiàng)、網(wǎng)絡(luò)配置項(xiàng)等。b)建立對(duì)受控配置進(jìn)行變更的授權(quán)程序。c)審查所提交的受控配置變更事項(xiàng),根據(jù)安全影響分析結(jié)果決定批準(zhǔn)或否決,并進(jìn)行記錄。d)保留信息系統(tǒng)中受控配置的變更記錄。e)定期對(duì)受控配置變更活動(dòng)進(jìn)行審查。f)在每次實(shí)施變更之前,對(duì)變更項(xiàng)進(jìn)行分析,以判斷該變更事項(xiàng)對(duì)信息安全帶來(lái)的潛在影響。g)要求外包服務(wù)商實(shí)施變更之前,對(duì)受控配置變更項(xiàng)進(jìn)行測(cè)試、驗(yàn)證和記錄。h)限制外包服務(wù)商對(duì)生產(chǎn)環(huán)境中的信息系統(tǒng)及其硬件、軟件和固件進(jìn)行直接變更i)定期對(duì)外包服務(wù)商掌握的變更權(quán)限進(jìn)行審查和再評(píng)估。DB14/T1251—2016j)要求外包服務(wù)商對(duì)其機(jī)構(gòu)內(nèi)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)實(shí)施變更控制,明確受控配置列表,重大變更應(yīng)事先得到委托方批準(zhǔn)。7.3.8信息安全管理策略外包服務(wù)商應(yīng)制定信息安全管理策略,包括:a)明確管理目標(biāo)與范圍,制定包括系統(tǒng)設(shè)施和操作等內(nèi)容的系統(tǒng)安全目標(biāo)與范圍計(jì)劃文件。b)為達(dá)到相應(yīng)等級(jí)技術(shù)要求,提供相應(yīng)的管理保證。c)提供對(duì)信息系統(tǒng)進(jìn)行基本安全保護(hù)的安全功能和安全管理措施,確保安全功能達(dá)到預(yù)期目標(biāo),使信息免遭非授權(quán)的泄露和破壞,基本保證信息系統(tǒng)安全運(yùn)行。d)建立相應(yīng)的安全管理機(jī)構(gòu),制定相應(yīng)的安全操作規(guī)程。e)制定信息系統(tǒng)風(fēng)險(xiǎn)管理計(jì)劃。f)提供對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)的比較完整的系統(tǒng)化安全保護(hù)的能力和比較完善的安全管理措施,從整體上保護(hù)信息免遭非授權(quán)的泄露和破壞,保證信息系統(tǒng)安全正常運(yùn)行。g)提供對(duì)信息系統(tǒng)進(jìn)行強(qiáng)制安全保護(hù)的能力,并采取必要的強(qiáng)制性安全管理措施,確保數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞,保證信息系統(tǒng)安全運(yùn)行。7.3.9信息安全管理規(guī)定外包服務(wù)商應(yīng)制定以下幾方面內(nèi)容:a)制定基本的信息安全管理規(guī)定,包括信息安全管理規(guī)定、系統(tǒng)安全管理規(guī)定、數(shù)據(jù)安全管理規(guī)定、防病毒規(guī)定、機(jī)房安全管理規(guī)定、設(shè)備使用管理規(guī)定、人員安全管理規(guī)定、安全審計(jì)管理規(guī)定、用戶管理規(guī)定、風(fēng)險(xiǎn)管理規(guī)定、信息分類分級(jí)管理規(guī)定、安全事件報(bào)告規(guī)定、事故處理規(guī)定、應(yīng)急管理規(guī)定和災(zāi)難恢復(fù)管理規(guī)定等以及相關(guān)規(guī)程。b)制定全面的信息安全管理規(guī)定,包括:1)機(jī)房、主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)施、物理設(shè)施分類標(biāo)記等系統(tǒng)資源安全管理規(guī)定。2)安全配置、系統(tǒng)分發(fā)和操作、系統(tǒng)文檔、測(cè)試和脆弱性評(píng)估、系統(tǒng)信息安全備份和相關(guān)的操作規(guī)程等系統(tǒng)和數(shù)據(jù)庫(kù)安全管理規(guī)定。3)網(wǎng)絡(luò)連接檢查評(píng)估、網(wǎng)絡(luò)使用授權(quán)、網(wǎng)絡(luò)檢測(cè)、網(wǎng)絡(luò)設(shè)施(設(shè)備和協(xié)議)變更控制和相關(guān)的操作規(guī)程等網(wǎng)絡(luò)安全管理規(guī)定。4)應(yīng)用安全評(píng)估、應(yīng)用系統(tǒng)使用授權(quán)、應(yīng)用系統(tǒng)配置管理、應(yīng)用系統(tǒng)文檔管理和相關(guān)的操作規(guī)程等應(yīng)用安全管理規(guī)定。5)人員安全管理、安全意識(shí)與安全技術(shù)教育、操作安全、操作系統(tǒng)和數(shù)據(jù)庫(kù)安全、系統(tǒng)運(yùn)行記錄、病毒防護(hù)、系統(tǒng)維護(hù)、網(wǎng)絡(luò)互聯(lián)、安全審計(jì)、安全事件報(bào)告、事故處理、應(yīng)急管理、災(zāi)難恢復(fù)和相關(guān)的操作規(guī)程等運(yùn)行安全管理規(guī)定。6)信息分類標(biāo)記、涉密信息管理、文檔管理、存儲(chǔ)介質(zhì)管理、信息披露與發(fā)布審批管理、第三方訪問控制和相關(guān)的操作規(guī)程等信息安全管理規(guī)定。7.4事件處理7.4.1事件處理計(jì)劃為及時(shí)應(yīng)對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)可能發(fā)生的信息安全事件,外包服務(wù)商應(yīng)制定事件處理計(jì)劃:a)事件處理計(jì)劃應(yīng)包括:1)說明啟動(dòng)事件處理計(jì)劃的條件和方法。DB14/T1251—20162)說明其機(jī)構(gòu)內(nèi)與事件處理有關(guān)的組織架構(gòu)。3)定義需要報(bào)告的安全事件。4)定義必要的資源和管理支持。5)提供事件處理能力的度量目標(biāo)。b)定期審查和修訂事件處理計(jì)劃。c)事件處理計(jì)劃應(yīng)得到委托方的同意,并告知委托方和外包服務(wù)商的所有相關(guān)部門與人員。d)防止事件處理計(jì)劃受到非授權(quán)泄露和更改。7.4.2事件處理活動(dòng)外包服務(wù)商應(yīng)采取以下措施,對(duì)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)發(fā)生的信息安全事件進(jìn)行處置:a)為安全事件的處理提供必需的資源和管理支持。b)將在事件處理活動(dòng)中獲得的經(jīng)驗(yàn),納入事件處理、培訓(xùn)及演練計(jì)劃,并實(shí)施相應(yīng)的變更。c)協(xié)調(diào)應(yīng)急響應(yīng)活動(dòng)與事件處理活動(dòng),并與相關(guān)外部組織(如國(guó)家和地方信息安全應(yīng)急處理機(jī)構(gòu))進(jìn)行協(xié)調(diào)。d)使用自動(dòng)機(jī)制支持事件處理過程。7.4.3事件報(bào)告承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)發(fā)生信息安全事件后,外包服務(wù)商應(yīng)及時(shí)啟動(dòng)事件報(bào)告機(jī)制:a)當(dāng)發(fā)現(xiàn)可疑的安全事件時(shí),應(yīng)立即向委托方報(bào)告有關(guān)情況。b)建立事件報(bào)告渠道,當(dāng)發(fā)生影響較大的安全事件時(shí),向國(guó)家和地方應(yīng)急響應(yīng)組織及有關(guān)信息安全主管部門報(bào)告。c)使用自動(dòng)機(jī)制支持事件報(bào)告過程。7.4.4事件處理支持外包服務(wù)商應(yīng)提供以下事件處理支持:a)落實(shí)事件處理所需的各類支持資源,為委托方處理、報(bào)告安全事件提供咨詢和幫助。b)使用自動(dòng)機(jī)制,為事件處理提供進(jìn)一步的資源支持。c)在事件處理部門和外部的信息安全組織之間建立直接合作關(guān)系,能夠在必要時(shí)獲得外部組織的協(xié)助。7.4.5應(yīng)急演練外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)開展應(yīng)急演練:a)至少每年制定或修訂應(yīng)急演練計(jì)劃,并與委托方充分協(xié)商,聽取委托方意見。b)定期執(zhí)行應(yīng)急演練計(jì)劃,并且至少在演練開始前一個(gè)月通知委托方和相關(guān)機(jī)構(gòu)。c)記錄和核查應(yīng)急演練結(jié)果,并根據(jù)需要修訂應(yīng)急響應(yīng)計(jì)劃。d)與委托方和其他有關(guān)部門(如應(yīng)急響應(yīng)組織)進(jìn)行溝通協(xié)調(diào),為應(yīng)急演練提供保障條件。e)向委托方提供演練記錄、演練總結(jié)報(bào)告等。7.5審計(jì)7.5.1委托方審計(jì)委托方應(yīng)對(duì)外包服務(wù)商的下述活動(dòng)進(jìn)行審計(jì),并唯一掌握審計(jì)管理員權(quán)限:a)在線審計(jì)外包服務(wù)商在委托方信息系統(tǒng)中的所有活動(dòng)。DB14/T1251—2016b)記錄外包服務(wù)商在委托方物理場(chǎng)所內(nèi)的所有活動(dòng)。c)在線審計(jì)委托方的業(yè)務(wù)和數(shù)據(jù)委托給外包服務(wù)商后,所有對(duì)委托方業(yè)務(wù)和數(shù)據(jù)的訪問、操作行7.5.2外包服務(wù)商審計(jì)外包服務(wù)商應(yīng)開展以下審計(jì):a)根據(jù)所獲得的授權(quán),審計(jì)本系統(tǒng)、本機(jī)構(gòu)中所有對(duì)委托方業(yè)務(wù)和數(shù)據(jù)的訪問、操作行為,并定期向委托方提交審計(jì)報(bào)告。b)對(duì)本機(jī)構(gòu)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)運(yùn)行情況進(jìn)行審計(jì),并定期向委托方提交審計(jì)報(bào)7.5.3審計(jì)記錄內(nèi)容委托方和外包服務(wù)商的審計(jì)記錄內(nèi)容至少包括:a)事件類型、事件發(fā)生的時(shí)間和地點(diǎn)、事件來(lái)源、事件結(jié)果以及與事件相關(guān)的用戶或主體的身份。b)會(huì)話、連接、事務(wù)、活動(dòng)持續(xù)期、接收和發(fā)出的字節(jié)數(shù)量、用于診斷或標(biāo)識(shí)事件的附加信息報(bào)文、用于描述和標(biāo)識(shí)行動(dòng)客體或資源的特征等信息。7.5.4審計(jì)記錄保護(hù)委托方和外包服務(wù)商應(yīng)對(duì)審計(jì)記錄提供以下保護(hù):a)根據(jù)審計(jì)記錄存儲(chǔ)需求,配置審計(jì)記錄存儲(chǔ)容量。b)當(dāng)審計(jì)記錄存儲(chǔ)容量即將用完時(shí),例如剩余10%,向?qū)徲?jì)管理員報(bào)警。c)當(dāng)審計(jì)記錄存儲(chǔ)容量用完時(shí),覆蓋最早的審計(jì)記錄,不得中斷審計(jì)。d)當(dāng)審計(jì)過程失敗時(shí),向?qū)徲?jì)管理員報(bào)警。e)對(duì)審計(jì)記錄和審計(jì)工具實(shí)施訪問控制機(jī)制,防止非授權(quán)訪問、篡改或刪除。f)外包服務(wù)商應(yīng)向委托方提供證據(jù),證明所有提供給委托方的審計(jì)數(shù)據(jù)都是真實(shí)、完整的,未被修改、隱藏或刪除。7.5.5審計(jì)的審查、分析和報(bào)告委托方和外包服務(wù)商應(yīng)對(duì)審計(jì)記錄進(jìn)行審查、分析并報(bào)告敏感事件:a)能夠根據(jù)不同審計(jì)類別對(duì)審計(jì)記錄進(jìn)行檢索和處理。審計(jì)類別包括用戶身份、事件類型、事件發(fā)生位置、事件發(fā)生時(shí)間以及事件涉及的IP地址和系統(tǒng)資源等。b)定期對(duì)審計(jì)記錄進(jìn)行審查和分析,以發(fā)現(xiàn)非授權(quán)訪問委托方業(yè)務(wù)和數(shù)據(jù)等不當(dāng)或異?;顒?dòng),并向系統(tǒng)管理員報(bào)告。c)當(dāng)法律法規(guī)、委托方的需求或信息系統(tǒng)面臨的威脅環(huán)境發(fā)生變化時(shí),調(diào)整對(duì)審計(jì)記錄進(jìn)行審查、分析、報(bào)告的策略。d)使用自動(dòng)機(jī)制對(duì)審查、分析和報(bào)告過程進(jìn)行整合,以支持對(duì)可疑活動(dòng)的調(diào)查和響應(yīng)。7.5.6持續(xù)監(jiān)視委托機(jī)構(gòu)應(yīng)持續(xù)監(jiān)視外包服務(wù)商提供外包服務(wù)的全過程:a)定期評(píng)估外包活動(dòng)信息安全執(zhí)行情況,以確保信息技術(shù)服務(wù)的信息安全質(zhì)量和連續(xù)性。b)定期評(píng)估內(nèi)外部信息安全風(fēng)險(xiǎn)和威脅變化情況,必要時(shí)調(diào)整對(duì)外包服務(wù)機(jī)構(gòu)提出的安全要求,具體評(píng)估內(nèi)容包括:1)本機(jī)構(gòu)的組織機(jī)構(gòu)、人員管理、數(shù)據(jù)管理等隨著信息技術(shù)服務(wù)執(zhí)行而面臨的新脆弱性。DB14/T1251—20162)外包服務(wù)商及其人員的安全性和可靠性。3)信息技術(shù)服務(wù)類型、服務(wù)方式、服務(wù)產(chǎn)品等要素的調(diào)整而造成的新威脅。4)信息安全事件的處置措施準(zhǔn)備情況。c)根據(jù)評(píng)估和審計(jì)結(jié)果,提出新的信息安全風(fēng)險(xiǎn)預(yù)防措施和改進(jìn)措施,并報(bào)主管領(lǐng)導(dǎo)批準(zhǔn)。d)外包服務(wù)商應(yīng)向委托方提供審計(jì)分析報(bào)告,該報(bào)告至少包括下述內(nèi)容,以便對(duì)外包服務(wù)商的服務(wù)情況進(jìn)行詳細(xì)監(jiān)管:1)提供的外包服務(wù)指標(biāo)是否達(dá)到服務(wù)級(jí)別協(xié)議的要求。2)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)的信息安全狀態(tài)的整體描述。3)審計(jì)中發(fā)現(xiàn)的異常情況以及處置情況。4)涉及委托方重要業(yè)務(wù)和數(shù)據(jù)的敏感操作的情況及其統(tǒng)計(jì)分析。5)承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)的遠(yuǎn)程訪問的總體情況及其統(tǒng)計(jì)分析。7.5.7時(shí)間戳委托機(jī)構(gòu)和外包服務(wù)商應(yīng)對(duì)審計(jì)機(jī)制設(shè)置時(shí)間戳:使用信息系統(tǒng)內(nèi)部系統(tǒng)時(shí)鐘生成審計(jì)記錄的時(shí)間戳,并滿足秒級(jí)的時(shí)間顆粒度。7.6人員安全7.6.1安全組織外包服務(wù)商應(yīng)建立或指定負(fù)責(zé)外包活動(dòng)信息安全的部門:a)負(fù)責(zé)保護(hù)本機(jī)構(gòu)承載的委托方業(yè)務(wù)和數(shù)據(jù)的安全。b)處理涉及委托方的信息安全事件。c)組織培訓(xùn)、應(yīng)急演練等活動(dòng)。d)制定、實(shí)施面向委托方信息安全的服務(wù)規(guī)章制度,并傳達(dá)至本機(jī)構(gòu)所有相關(guān)人員。e)定期或在信息安全策略或計(jì)劃發(fā)生變更時(shí),評(píng)審和更新信息安全規(guī)章制度,以確保其持續(xù)適用和有效。f)對(duì)本機(jī)構(gòu)其他部門涉及委托方信息安全的活動(dòng)提出意見、建議,并在報(bào)經(jīng)本機(jī)構(gòu)主管領(lǐng)導(dǎo)同意后,監(jiān)督有關(guān)活動(dòng)的實(shí)施。g)向委托方提交審計(jì)記錄、事件處理報(bào)告、應(yīng)急演練計(jì)劃等重要文檔。7.6.2崗位風(fēng)險(xiǎn)與職責(zé)外包服務(wù)商應(yīng)制定與外包活動(dòng)有關(guān)的崗位清單:a)標(biāo)識(shí)出所有崗位的風(fēng)險(xiǎn)。b)建立上崗人員的篩選準(zhǔn)則。c)根據(jù)崗位風(fēng)險(xiǎn),明確所有崗位的信息安全職責(zé)。d)對(duì)關(guān)鍵崗位進(jìn)行職責(zé)分離,并將職責(zé)分離情況記錄在案,通過訪問控制措施進(jìn)行落實(shí)。e)自行或委托第三方機(jī)構(gòu)對(duì)上崗人員進(jìn)行背景審查,將所有相關(guān)人員背景審查情況報(bào)告委托方。7.6.3人員離職外包服務(wù)商一旦決定終止與某外包服務(wù)人員的雇傭關(guān)系,應(yīng):a)事先告知委托方。b)要求該外包服務(wù)人員返還委托方業(yè)務(wù)和數(shù)據(jù)。c)立即禁止該人員對(duì)委托方業(yè)務(wù)和數(shù)據(jù)的訪問。DB14/T1251—2016d)終止或撤銷與該人員相關(guān)的任何身份鑒別物或憑證。e)與該人員進(jìn)行離職面談,包括約定離職后不得利用掌握的信息和便利條件危害委托方的業(yè)務(wù)和數(shù)據(jù)。f)確保之前由該人員控制的信息和信息系統(tǒng)仍然可用。g)管理層和信息系統(tǒng)關(guān)鍵崗位人員離職時(shí),要求其承諾離職后的保密要求。h)管理層和信息系統(tǒng)關(guān)鍵崗位人員離職時(shí),對(duì)其進(jìn)行離崗安全審查。7.6.4人員調(diào)動(dòng)外包服務(wù)商應(yīng)對(duì)外包服務(wù)人員的調(diào)動(dòng)實(shí)施安全控制:a)在人員被再分配或調(diào)動(dòng)至其他內(nèi)部崗位時(shí),評(píng)審和確認(rèn)是否有必要保留其對(duì)系統(tǒng)或設(shè)施的邏輯和物理訪問權(quán)限。b)在正式下達(dá)調(diào)令后的一周或更短時(shí)間內(nèi),啟動(dòng)再分配或調(diào)動(dòng)行動(dòng),不得無(wú)故拖延。c)修改原有的訪問授權(quán)。7.6.5第三方人員安全外包服務(wù)商應(yīng)對(duì)來(lái)訪本機(jī)構(gòu)并可能接觸委托方業(yè)務(wù)和數(shù)據(jù)的第三方人員實(shí)施安全控制措施:a)提出第三方供應(yīng)商(如合同商、外部應(yīng)用提供商等)的人員安全要求,包括安全角色和責(zé)任。b)要求第三方供應(yīng)商遵守本機(jī)構(gòu)的人員安全規(guī)章制度。c)監(jiān)視第三方供應(yīng)商的合規(guī)情況。7.6.6人員處罰外包服務(wù)商應(yīng)對(duì)外包服務(wù)人員建立人員處罰程序:a)對(duì)于違反信息安全規(guī)章制度的人員,啟動(dòng)處罰程序。b)在啟動(dòng)處罰程序時(shí),通知本機(jī)構(gòu)相關(guān)部門,通報(bào)受處罰人員及處罰原因。c)將處罰情況報(bào)告委托方,并根據(jù)與委托方的合同要求,由委托方追溯受處罰人員的刑事或民事責(zé)任。7.6.7安全培訓(xùn)外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)外包服務(wù)人員、委托方及其他有關(guān)人員(包括管理層人員和合同商)提供信息安全意識(shí)培訓(xùn):a)在以下情況下實(shí)施培訓(xùn):1)本機(jī)構(gòu)外包服務(wù)人員、委托方及其他有關(guān)人員接受初始培訓(xùn)時(shí)。2)承載的委托方業(yè)務(wù)系統(tǒng)發(fā)生變更時(shí)。b)在以下情況下為承擔(dān)外包安全角色和職責(zé)的人員提供基于角色的安全技能培訓(xùn):1)被授權(quán)訪問信息系統(tǒng)或者執(zhí)行所分配的職責(zé)之前。2)承載的委托方業(yè)務(wù)系統(tǒng)發(fā)生變更時(shí)。c)記錄信息系統(tǒng)安全培訓(xùn)活動(dòng),包括基礎(chǔ)的安全意識(shí)培訓(xùn)和特定的信息系統(tǒng)安全培訓(xùn)。d)在安全意識(shí)培訓(xùn)中加入有關(guān)發(fā)現(xiàn)和報(bào)告內(nèi)部威脅的培訓(xùn)。e)將人員培訓(xùn)記錄保存兩年以上。7.7物理與環(huán)境安全7.7.1物理設(shè)施與設(shè)備選址DB14/T1251—2016外包服務(wù)商應(yīng)確保承載委托方業(yè)務(wù)和數(shù)據(jù)的數(shù)據(jù)中心和服務(wù)器處于安全的物理位置:a)對(duì)數(shù)據(jù)中心和服務(wù)器面臨的潛在物理和環(huán)境危險(xiǎn)進(jìn)行評(píng)估,形成評(píng)估報(bào)告,并對(duì)風(fēng)險(xiǎn)作出處置。b)控制機(jī)房位置信息的知悉范圍。c)確保機(jī)房位于中國(guó)境內(nèi)。7.7.2委托方物理和環(huán)境規(guī)劃委托方應(yīng)對(duì)本機(jī)構(gòu)的物理和環(huán)境作出規(guī)劃,防止外包服務(wù)商非授權(quán)接觸重要敏感信息:a)建立物理和環(huán)境安全策略,以及安全操作流程。b)將關(guān)鍵和重要敏感信息及信息處理設(shè)備控制在安全區(qū)域內(nèi),且該區(qū)域具有清晰的安全邊界標(biāo)c)將服務(wù)外包引入的開發(fā)、測(cè)試等操作設(shè)備,與原有的設(shè)備安全隔離。d)確保外包服務(wù)人員在執(zhí)行安全控制區(qū)域內(nèi)的外包服務(wù)活動(dòng)時(shí),始終處于有效監(jiān)管狀態(tài)。7.7.3外包服務(wù)商物理和環(huán)境規(guī)劃外包服務(wù)商應(yīng)對(duì)本機(jī)構(gòu)的物理和環(huán)境作出規(guī)劃,防止承載委托方業(yè)務(wù)和數(shù)據(jù)的信息系統(tǒng)被非授權(quán)訪a)合理劃分機(jī)房物理區(qū)域,合理布置信息系統(tǒng)組件,以防范火災(zāi)、電磁泄露等物理和環(huán)境威脅以及非授權(quán)訪問等人為威脅。b)提供足夠的物理空間、電源容量、網(wǎng)絡(luò)容量、制冷容量,以滿足委托方業(yè)務(wù)所需基礎(chǔ)設(shè)施快速擴(kuò)容的需求。7.7.4物理環(huán)境訪問控制委托方應(yīng)建立物理環(huán)境訪問控制機(jī)制,對(duì)外包服務(wù)商的物理訪問進(jìn)行授權(quán):a)對(duì)所有機(jī)房、重要辦公空間實(shí)施物理訪問授權(quán),具體包括:在準(zhǔn)許進(jìn)入機(jī)房前驗(yàn)證其訪問授權(quán)、使用門禁或警衛(wèi)實(shí)施機(jī)房出入控制等。b)制定和維護(hù)外包服務(wù)人員的物理訪問審計(jì)日志。c)確保鑰匙、訪問憑證以及其他物理訪問設(shè)備的安全。d)定期或在鑰匙丟失、訪問憑證受損以及相關(guān)人員發(fā)生變動(dòng)的情況下,更換鑰匙和訪問憑證。e)涉及重要敏感信息時(shí),對(duì)外包服務(wù)人員的行為進(jìn)行人工陪同和監(jiān)視。7.7.5物理訪問監(jiān)控委托方應(yīng)設(shè)置物理訪問監(jiān)控設(shè)備:a)在本機(jī)構(gòu)設(shè)置物理訪問監(jiān)控設(shè)備,使物理訪問監(jiān)控設(shè)備保持24小時(shí)開啟,并制定對(duì)監(jiān)控記錄的授權(quán)查閱流程。b)定期或當(dāng)發(fā)生安全事件時(shí),對(duì)物理訪問日志進(jìn)行查閱。c)在外包服務(wù)商處設(shè)置物理訪問監(jiān)控設(shè)備,監(jiān)控各類物理訪問委托方業(yè)務(wù)和數(shù)據(jù)的行為。d)安裝物理入侵警報(bào)裝置。7.7.6設(shè)備運(yùn)送和移除委托方應(yīng):a)建立重要設(shè)備臺(tái)帳,明確設(shè)備所有權(quán),并確定責(zé)任人。b)對(duì)重要設(shè)備進(jìn)入和離開機(jī)房進(jìn)行授權(quán)和監(jiān)控,并制定和維護(hù)相關(guān)記錄。DB14/T1251—20167.7.7資源管理委托方應(yīng):a)編制并維護(hù)與信息系統(tǒng)相關(guān)的資產(chǎn)清單,包括信息資產(chǎn)、軟件資產(chǎn)、有形資產(chǎn)、應(yīng)用業(yè)務(wù)相關(guān)資產(chǎn)、計(jì)算和通信設(shè)備等。b)標(biāo)識(shí)出資產(chǎn)所有權(quán)、責(zé)任人、安全分類及所在位置等。c)根據(jù)資產(chǎn)的價(jià)值或重要性對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí),進(jìn)行分級(jí)管理。d)對(duì)信息系統(tǒng)內(nèi)不同業(yè)務(wù)相關(guān)信息,按其對(duì)安全性的不同要求分類并加以標(biāo)識(shí),進(jìn)行分類管理。8增強(qiáng)級(jí)8.1服務(wù)商選擇與供應(yīng)鏈安全8.1.1服務(wù)商選擇準(zhǔn)則委托方應(yīng)對(duì)潛在外包服務(wù)商進(jìn)行風(fēng)險(xiǎn)評(píng)估,依據(jù)以下準(zhǔn)則確定外包服務(wù)商:a)綜合分析各方面的信息,包括執(zhí)法部門披露的信息、信息安全通報(bào)、應(yīng)急響應(yīng)機(jī)構(gòu)的風(fēng)險(xiǎn)提示、國(guó)家網(wǎng)絡(luò)安全審查結(jié)果等,排除存在安全隱患的外包服務(wù)商。b)外包服務(wù)商的法人及主要業(yè)務(wù)人員、技術(shù)人員無(wú)犯罪記錄,外包服務(wù)商具有固定的辦公場(chǎng)所,具備保障信息技術(shù)服務(wù)安全實(shí)施的技術(shù)、財(cái)務(wù)等能力。c)對(duì)需要資質(zhì)的信息技術(shù)服務(wù),如信息安全測(cè)評(píng)、云計(jì)算等,外包服務(wù)商應(yīng)已獲得相應(yīng)資質(zhì)。d)外包服務(wù)商的員工中,所有參與外包活動(dòng)的員工應(yīng)滿足以下條件:1)持有相應(yīng)服務(wù)所需的人員資質(zhì)。2)定期接受信息安全培訓(xùn),具有較強(qiáng)的信息安全意識(shí)。3)與外包服務(wù)機(jī)構(gòu)簽署了長(zhǎng)期固定勞動(dòng)合同,并且簽訂了保密協(xié)議。4)為中國(guó)公民。5)接受過本機(jī)構(gòu)或政府主管部門組織的背景審查。e)外包服務(wù)商在中華人民共和國(guó)境內(nèi)(港澳臺(tái)地區(qū)除外)注冊(cè),由中國(guó)公民投資、中國(guó)法人投資或者國(guó)家投資注冊(cè)成立,外包服務(wù)商處理委托方業(yè)務(wù)和數(shù)據(jù)的數(shù)據(jù)中心、服務(wù)器應(yīng)位于中國(guó)境內(nèi)(港澳臺(tái)地區(qū)除外)。f)基于成功案例、歷史合作關(guān)系、資本關(guān)系、法律管轄權(quán)、合同承諾等因素,委托方與外包服務(wù)商之間已建立并保持一定程度的信任關(guān)系。g)企業(yè)運(yùn)轉(zhuǎn)過程和安全措施相對(duì)透明,并可向委托方提供相關(guān)證明材料,不以不合理的理由推諉。h)在能提供相同產(chǎn)品的多個(gè)不同供應(yīng)商中作選擇,以防范供應(yīng)商鎖定風(fēng)險(xiǎn)。8.1.2服務(wù)外包合同委托方應(yīng)與外包服

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論