39、信息安全外包运维管理制度

信息安全外包运维治理制度第一章总则第一条为标准XXX单位信息安全外包效劳工作，确保我单位网络与信息系统安全、稳定运行，保证我单位的信息安全，降低信息安全效劳外包引发的风险，特制定本制度。其次条本制度适用XXX单位信息安全外包效劳治理。其次章术语和定义第三条外包效劳治理单位:XXX单位属于外包治理单位，是信息安全效劳的治理和执行单位，督查处是外包效劳治理的具体执行部门。第四条外包效劳厂商:为XXX单位供给效劳的软件开发商、产品供给商、系统集成商、设备维护商和安全效劳供给商等。第五条信息安全外包效劳:信息化根底设施的安装、配置、运行维护及单位信息化的安全效劳。第三章外包效劳合同治理要求第六条网络与信息系统外包治理单位在实施外包效劳立项前，与效劳供给商签订的效劳合同应依据外包效劳需求、风险评估和资质审查结果确定其具体程度和重点。在外包合同或协议中应当明确以下内容，包括不限于：a）效劳范围、效劳内容、工作时限及安排、责任安排、交付物要求以及后续合作中的相关限定条件；b）合规与内控要求，对法律法规及政府行业内部治理制度的遵从要求，监管1雌的通报贯彻机制、效别提合商的内才智昔施；c）效劳连续性要求，效劳供给商的业务连续性治理目标应当满足XXX单位业务连续性目标要求；d）政策或环境变化因素等在内的合同变更或终止的触发条件，外包效劳供给商在过渡期间应当履行的主要职责及合同变更或终止的过渡安排，包括信息、资料和实施的交接处置等过渡期间相关效劳的安排；e）外包效劳过程中产生、加工、交互的信息和学问产权的归属权，允许效劳供给商使用的内容及范围，对效劳供给商使用合法软、硬件产品的要求；f）效劳要求或效劳水平条款，至少包括如下内容：外包效劳的关键要素、效劳时效和可用性、数据的机密性和完整性要求、变更的掌握、安全标准及业务连续性要求遵守的状况、技术支持水公平。第七条网络与信息系统外包治理单位应当在合同或协议中明确效劳供给商在安全和保密方面的责任，以及针对安全及保密要求所实行的具体措施，包括不限于：a）制止效劳供给商在合同范围内使用或者披露XXX单位相关信息系统信息，以防止信息被非授权使用；b）在合同或协议中商定效劳供给商不得以XXX单位的名义开放活动;c）效劳供给商在其发生信息安全大事时必需准时向XXX单位信息治理部门报告大事的影响以及处置和订正措施。第四章外包效劳安全治理第八条网络与信息系统外包治理单位应制定和落实信息安全管控措施，防范因外包活动引起的信息泄露、信息篡改、信息不行用、非法入侵、物理环境或设施患病破坏等风险，具体措施包括：a）对外包人员进展信息安全意识培训，提高风险治理意识，确保信息安全管控措施在外包效劳过程中有效落实。b）对外包人员的治理依据相关信息系统第三方人员安全治理规定执行。c）明确外包活动需要使用的信息资产，包括场地、办公设施、计算机、效劳器、软件、娄攵据、信息、物理访问掌握设备、账号、网络带宽、网络端口等，按〃最小使用〃原则进展隔离，经审批后进展〃最小授权〃。d）对重要或核心的信息系统开发交付物进展源代码检查和安全扫描。e）定期对效劳供给商进展安全检查、猎取效劳供给商自评估或第三方评估报告。第五章外包效劳监控与评价第九条网络与信息系统外包治理单位应当对外包效劳进展持续监控，要求效劳供给商建立阶段，皎劳目标及任务，并跟踪任务的执行状况，准时觉察和订正效劳过程中存在的各类特别状况。信息系统外包治理单位应当依据XXX单位信息安全的外包需求、合同、效劳水平协议等建立明确的效劳监控指标，并进展相应的监控，常见指标包含但不限于以下内容：a）网络与信息系统和根底设施的可利用率、设备的开机率；b）故障次数、故障解决率、故障响应时间；c）效劳次数和外包系统使用满足度；d）各阶E她务需求的准时完癖、程序的缺陷数、需求变更率；e）外包人员考核的合格率。第十条网络与信息系统外包治理单位每年对外包效劳厂商及人员的年度目标完成状况、效劳水平、效劳质量、用户满足度、是否符合合同及质量标准等各方面进展年度综合考核和评估。第六章外包效劳的中断与终止第十一条网络与信息系统外包治理单位应当考虑信息安全外包引入对业务连续性治理的影响，有针对性的完善业务连续性治理打算，包括但不限于：a）识别出重要业务所涉及的效劳供给商和资源；b）通过合同协议等形式明确要求效劳供给商需提前预备并维护好相关资源；c）对效劳供给商的业务连续性治理进展监控，并评价其治理水平；d）在进展业务连续性打算演练时将相关的效劳供给商纳入演练范围。第十二条网络与信息系统外包治理单位应当针对重要外包效劳中断的场景，拟定相应的应急打算，并定期进展演练，应考虑的因素包括但不限于以下内容：a）大事场景，如重要人员流失导致效劳无法持续，效劳供给商主动退出，因资质变更、被收购、兼并或破产等缘由导致的效劳供给商被动退出等；b）大事持续时间和恢复可能性；c）大事影响范围和可能的应急措施；d）效劳供给商自行恢复效劳的可能性和时间；e）备选的效劳供给商以及外包效劳迁徙方案；f）外包效劳过滤给XXX单位自行运作的可能性、时效及资源需求。第十三条对于无法满足外包效劳要求或发生重大大事的状况,网络与信息系统外包治理单位应当在充分评估其影响及制定退出计划的前提下，考虑主动要求效劳供给商终止效劳，情节特别严峻的,消准入资质。第七章第三方人员治理第十四条为加强与信息安全公司、产品供给商、业界专家、安全组织的沟通与合作或应急响应，应建立具体的外联单位联系表〔内容至少包括外联单位的名称、联系人、地址、联系方式等〕。第十五条第三方人员对敏感信息资产进展访问前，必需签订正式的合同及保密协议；在合同和保密协议中明确第三方人员的安全责任、必需遵守的安全要求以及违反要求的惩罚等条款，对其允许访问的区域、系统、设备、信息等内容应有明确的规定。第十六条需要访问信息系统的第三方人员必需得到有关部门和领导的许可、授权，其访问权限必需得到严格的限制。第三方人员使用的工具需经过相关部门的安全检查。检查是否存在木马、漏洞，是否更最补丁等。第十七条与第三方人员共同协定现场工作标准并依据既定标准实施治理、落实运维人员或终端责任人全程伴随的策略以降低风险。第十八条第三方人员如需接入网络，应对其入网信息进展登记记录，入网登记记录应包含以下内容：IP地址、MAC地址、接入交换机端口、物理位置、使用人信息等文档资料。第十九条第三方人员进入机房需进展审批，审批记录应包含以下内容：第三方人员进入时间、离开时间、工作内容、工作权限以及本单位的伴随人员等，如需进入深圳市资源中心机房，需单位工作人员伴随并依据市资源中心机房相关规定进展申请及登记。其次十条在第三方人员进展远程访问之前，要严格鉴定访问者的身份，确保访问者为已授权人员。其次十一条负责第三方人员接待和治理的部门在第三方人员访问完毕之后，要准时收回相关物品、资料并且终止其访问权限。其次十二条负责接待第三方人员的工作人员须有相应信息安全教育培训阅历，并且具备良好的安全意识和风险识别力量。其次十三条应选择具有公安部门、保密部门、密码治理部门资质认证的第三方公司进展信息安全合作，保障系统安全。第八章附录其次十四条本制度由XXX单位负责解释。其次十五条本制度自公布之日起试行。附件1、第三方人员入网登记表附件1、第三方人员设备入网登记表第三方人员1姓名身份证