IT外包服务网络安全管理办法v21

IT外包服务网络安全管理办法(征求意见稿)第一章总则第一条为加强和完善#####IT外包服务的网络安全管理，根据国家有关网络安全法律法规和安全标准，结合我单位实际IT外包服务网络安全需求，编制本办法。第二条本办法中的IT外包服务是指中心将直项目或服务委托给外包服务商，由其提供服务的行为°IT外包服务的内容范围包括系统开发、系统测试、基础设施运维、系统运维及系统安全服务等。IT外包服务的地点范围包括单位办公场所以及为单位提供服务的非中心场所。第三条本办法中的IT外包服务网络安全管理包括外包服务商安全管理、外包人员安全管理、外包软件安全管理、外包建设管理和外包运维安全管理。第四条本办法适用于中心和直属单位组织开展的非涉密信息系统IT外包服务网络安全管理工作。第五条针对本办法中出现的特定名词解释如下：>IT是指"信息技术”，(InformationTechnology)，是用于管理和处理信息所采用的各种技术的总称；>本办法中的“关键信息基础设施”指的是根据上级主管部门定义的行业关键信息基础设施;＞本办法中的“重要信息系统”包括网络安全等级保护三级及三级以上的信息系统、单位的官方网站。第二章管理职责第六条遵循“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，IT外包服务使用部门是IT外包服务网络安全的直接责任部门，负责确立IT外包服务的网络安全管理工作范围和内容，监督IT外包服务的日常开展情况。第七条采购部门负责组织IT外包服务项目的商务活动，依据网络安全相关要求组织外包服务的选择、验收、付款等商务执行工作。第八条网络安全管理部门负责对IT外包服务进行网络安全监督管理，检查相关制度的执行情况。第三章外包服务商安全管理第九条IT外包服务使用部门应确保外包服务商符合国家有关网络安全管理规定，外包服务商应如实提交相关网络安全证明材料，保证外包服务商安全可控。因证明材料瞒报、缓报、漏报造成严重不良后果的，由外包服务商自行承担相应责任。构成犯罪的，报有关部门依法追究其法律责任。证明材料包括但不限于：＞外包服务商是否具有开展相关外包服务时必要的网络安全资质；＞外包服务商三年内是否有违反网络安全法等相关网络安全法律法规的违法违规记录；＞外包服务商三年内是否有被网信部门、公安机关、上级主管单位等监管部门通报的重大网络安全问题记录。第十条IT外包服务使用部门与外包服务商签署的合同中必须明确网络安全要求，相关内容包括但不限于：＞外包服务商应遵守单位的相关网络安全管理制度和网络安全管理要求；＞外包服务商应遵守知识产权保护法，不得侵害单位知识产权；＞外包服务商应明确工作秘密的保守义务，包括保守内容、保守责任、保守期限和违约责任；＞外包服务商应对重大保障时期及发生重大信息安全事件时提供必要的配合。第十一条外包服务商日常工作中应严格遵守单位的网络安全管理要求，接受IT外包服务部门的网络安全管理，包括但不限于：＞外包服务商因自身原因引起的IT外包服务变更，需通过评估后方可变更，对于可能引起网络安全风险的，原则上不允许变更；＞外包服务商提供的产品和服务存在网络安全缺陷、漏洞等风险时，应立即通告并给出解决措施，协助单位进行加固和处置；＞外包服务商因自身原因引起安全问题的，应立即响应和补救。第四章外包人员安全管理第十二条外包项目开始前，应对外包人员进行准入考核，除了应遵守相关人事和劳动法律法规外，IT外包服务使用部门还必须对外包人员进行以下安全要求，包括但不限于：＞严格考察该人员的业务技术水平和相关资质认证（相关岗位认证证书等）；＞有犯罪前科、重大行政处分记录和“黑客”经历的人员不予准入；＞外包人员准入前需签署工作秘密的保守协议，保守协议应包括保守内容、保守范围以及保守期限等内容；＞原则上应从本单位内部选拔从事关键信息基础设施和重要信息系统相应岗位的人员（包括但不限于系统管理员、网络管理员、数据库管理员等），不具备条件的可由外包人员担任相应岗位。该岗位外包人员需到公安部门进行核查，通过核查后方可上岗；＞关键信息基础设施和重要信息系统岗位的外包人员应在IT外包服务使用部门的监督下开展岗位的工作，并签署关键岗位安全协议。第十三条外包人员驻场工作期间，IT外包服务使用部门对外包人员进行安全管理，包括但不限于:＞严格要求外包人员遵守单位网络安全管理要求；＞禁止外包人员随意使用非授权设备、介质接入单位内部网络；＞对外包人员实行最小化管理原则，保证外包人员权限仅满足其工作需要，包括场地、办公设施、计算机、服务器、软件、数据、物理访问控制设备和账号等。定期对外包人员权限进行梳理和检查；＞应保持驻场人员稳定。外包服务商如需调整外包服务人员，应及时通知IT外包服务使用部门，IT外包服务使用部门审核通过后，才可以进行调整。调整前后，不能对服务内容造成影响。第十四条IT外包服务使用部门应将需要进行网络安全培训的外包人员名单报送至网络安全管理部门，由网络安全管理部门定期组织外包人员的安全意识教育和岗位技能培训，其中关键信息基础设施和重要信息系统岗位相应的外包人员培训时长每年不得少于3个工作日，并告知相关的安全责任和惩戒措施。完成相应培训后，对外包人员从安全意识、安全技能等内容进行综合考核，对考核结果进行记录。第十五条由于个人原因、工作需要或其他原因，外包人员需要离岗时，IT外包服务使用部门必须开展以下安全工作，包括但不限于：＞外包人员应及时移交相关工作，上交钥匙、门禁卡、计算机等属于中心的软、硬件资产，办理完成离岗人员移交手续后，通过IT外包服务使用部门审批后，方能离岗。IT外包服务使用部门应及时关闭、删除离岗人员的信息系统账户，确认离岗人员的访问权限已被终止，必要时可由信息技术部门配合完成。IT外包服务使用部门和外包服务商要做好离岗外包人员的教育工作，告知其离岗后，不得向第三方泄露其在任职期内所获得机密信息。与原岗位有关的所有资料文件，包括其软硬拷贝都需要移交，不允许私自带走。>涉及关键信息基础设施和重要信息系统的外包人员离岗时，应按要求采取相应的脱敏措施，IT外包服务使用部门与之签署离岗保密承诺书，并妥善保管。>外包人员离岗后如发生泄密情况，应承担由此涉及的法律责任。第五章外包软件安全管理第十六条IT外包服务使用部门在进行IT外包软件采购和选择前，应明确外包软件的网络安全保护等级，外包软件应具备满足网络安全等级要求的安全能力。第十七条IT外包软件交付前，外包服务商应提供软件源代码，并提供第三方的源代码安全审计报告。涉及关键信息基础设施和重要信息系统的，IT外包服务使用部门应将源代码安全审计报告报单位网络和信息安全办公室备案。第十八条在软件安装之前，外包服务商应对软件包进行安全检测，并提供第三方的恶意代码检测报告。涉及关键信息基础设施和重要信息系统的，IT外包服务使用部门应将恶意代码检测报告报单位网络和信息安全办公室备案。第十九条IT外包服务使用部门应要求外包服务商对代码审计和检测发现的安全问题及时进行整改。第二十条外包服务商应向IT外包服务使用部门提供软件设计的相关文档和使用指南。第二十一条外包服务商需严格控制外包开发过程中涉及的数据安全、保密、知识产权、人员变更、转包等风险，如果因外包服务商或其相关人员原因造成的法律责任、网络安全事件等将由外包服务商自行承担相应责任。第二十二条定制开发软件的产品著作权应归单位所有，相应内容应在合同中明确。第六章外包建设安全管理第二十三条IT外包服务使用部门在组织外包建设前，应明确外包建设系统的网络安全保护等级，外包服务商应按照已确定的等级开展系统建设工作。第二十四条系统备案材料应由IT外包服务使用部门负责组织编写和管理。编写完成后，由IT外包服务使用部门报公安机关备案。涉及关键信息基础设施和重要信息系统的，同时报单位网络和信息安全办公室备案。第二十五条IT外包服务使用部门应定期组织开展网络安全等级保护测评工作。涉及关键信息基础设施和重要信息系统的，IT外包服务使用部门应在系统终验前，确保等级测评结果达到基本符合的要求。对发现不符合相应等级保护要求的内容，应及时通知外包服务商开展整改工作。第二十六条系统建设完成后，外包服务商要依据项目合同向单位进行项目交付，交付的内容包括但不限于：＞对交付的设备、软件和文档进行清点，提供信息系统交付清单；＞根据外包服务的内容，提供系统建设的过程文档，包括需求规格说明书、概要设计、详细设计、实施方案等；＞对系统运维人员进行技能培训，使系统运维人员能够进行日常的维护；＞提供系统运行维护的帮助或操作手册。第二十七条项目验收通过后，IT外包服务使用部门应将外包系统建设过程中的文档资料完整归档。涉及关键信息基础设施和重要信息系统的，将开展等级保护工作的相关材料报单位网络和信息安全办公室备案。第七章外包运维安全管理第二十八条IT外包服务使用部门应管理、约束外包运维服务行为，所有IT外包运维服务商和人员不得破坏单位的网络安全，不得尝试利用单位的网络安全漏洞，不得窃取或篡改单位的数据。第二十九条外包运维人员应通过单位规定的方式开展运维服务，不得未经授权通过互联网进行运维服务，不得未经允许随意开启运维通道，IT外包服务使用部门应对IT运维服务进行审计。第三十条在外包运维的过程中，可能导致单位信息系统发生安全风险的操作（包括但不限于系统上线、系统变更、配置管理、系统升级、数据操作等），均需制定实施方案和应急回退机制，通过IT外包服务使用部门审批后，方可实施。重要网上安保时期不得进行可能发生安全风险的操作。第三十一条在外包运维的过程中，因国家政策、行业规范、业务需求等，导致已定级信息系统等级发生变化时，IT外包服务使用部门应及时启动信息系统级别变更相关工作，并组织进行安全改造。第三十二条在外包运维的过程中，如发现安全问题或安全事件，IT外包服务使用部门应及时启动部门应急预案，指导外包服务商开展处置工作。第八章外包服务安全监督评估第三十三条IT外包服务使用部门应定期对外包服务商的服务进行安全监督和评估，包括但不限于:＞外包服务商在服务期内的完成情况和质量监督考核；＞外包服务商在服务期内对单位网络安全管理要求的执行情况监督考核；＞外包服务商在服务期内因自身原因引起的网络安全事件数量和网络安全事件造成的损失评估；＞外包服务商在服务期内发生网络安全事件和重大保障时期时的应急响应和处置能力评估。第三十四条IT外包服务使用部门应定期对服务商的外包人员进行安全监督和评估，包括但不限于:＞外包人员的准入安全管理和保密协议签署情况及相关记录；＞外包人员的培训考核情况及相关记录；＞外包人员的权限及日常管理情况及相关记录；＞外包人员的离岗离职情况及相关记录。第三十五条IT外包服务安全评估记录作为中心后续选择外包服务商的依据之一，针对存在高危风险整改不力、服务响应不及时、应急处置能力不足