F4-C-研发服务体系-004-V1.0-外包服务管理规定

【外包服务管理规定】F4-C-研发服务体系-004-V1.0第页外包服务管理规定目录TOC\o"1-3"\h\u248401、目的 2278112、适用范围 2212303、管理规定 2191793.1机房安全 2204293.2网络安全 2292553.3系统管理 2205813.4用户管理 368093.5数据安全 3119723.6合同管理 4308763.7运行时管理 4112601)变更管理 4131412)应急响应 5318213)运维管理 5312484)系统管理 5219415)数据安全 5

目的为了提高外包业务的服务质量，规范外包业务的管理活动，保障系统安全运行，提升外包服务业务人员安全意识水平，北京讯鸟软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，制定了本外包服务业务的管理规定。适用范围本规定适用于云计算及互联网服务平台的所有应用系统。管理规定3.1机房安全机房应安装门禁系统和视频监控系统。机房环境应符合相关机房管理规定的要求。3.2网络安全1)外包服务的信息系统所在网络区域应与其他网络区域使用访问控制列表或防火墙进行网络安全隔离。2)外包服务的网络区域应部署入侵检测系统，及时分析入侵事件。（增强性要求）3)外包服务的网络区域应安装网络监控系统，及时监控网络访问情况。（增强性要求）3.3系统管理1)运行应用系统的服务器和工作站必须安装防病毒系统，病毒库及时更新。2)应用系统首次投产前，应实施操作系统、数据库、应用漏洞扫描和渗透测试，修复高危漏洞后投产，并向甲方提交书面报告（包括漏洞扫描结果、分析报告、漏洞修复情况等内容）。3)应用系统客户端不允许直接连接数据库。4)信息系统应有日志审计功能，不提供删除、修改、覆盖日志功能。3.4用户管理应检查用户密码复杂度，密码不得与用户账号相同，密码组成至少包含大写字母、小写字母、数字和特殊字符四类要素中的三种，且长度至少为8位。应提供用户密码连续输入错误锁定功能，用户连续输入错误次数超过规定次数（最大为5次）锁定用户，须解锁后才能正常使用。应严格限制默认帐户的访问权限，重命名默认用户，修改默认用户口令。对于无法修改默认帐户访问权限及命名的，应严格限制用户登录。不得明文传输和存储用户登录密码。3.5数据安全1)信息系统如涉及资金类交易时，银行账号及密码、CVV2、磁道信息、信用卡有效期等敏感数据应加密传输和存储。2)信息系统如不涉及资金类交易时，不允许处理（包括采集、记录、传输等）银行账号密码、CVV2、磁道信息、信用卡有效期等敏感数据。3)应用日志不允许记录密钥、密码、磁道信息、卡片校验码（CVV2）等敏感数据信息。4)信息系统如涉及资金类交易时，应采取通信报文防篡改和防重放的校验措施，报文MAC校验范围应纳入账号、金额、交易流水号、交易时间等字段，并由交易报文接收方检查交易流水号及交易时间的唯一性。5)信息系统如提供查询客户信息功能时，不能未经脱敏就批量显示/打印/导出我行客户资料敏感信息（账户、姓名、电话号码、手机、身份证号码等），不得在终端存储客户资料敏感信息。（增强性要求）6)系统使用的加密算法须符合甲方要求（对称加密算法可选择SM4、AES、3DES；非对称算法可选择SM2、RSA、DSA、D.H；杂凑算法可选择SM3、SHA1、SHA256、MD5；安全协议可选择SSL、TLS、SSH、SFTP、Kerberos、RADIUS，对称加密算法的密钥长度至少设定为128bit；非对称的RSA算法密钥长度至少2048bit，SM2算法至少210bit），密钥不以明文方式存储，且支持密钥更新。7)应有安全管控措施保障甲方敏感数据安全，防范我行敏感数据被非法获取，如：敏感数据在数据库加密保存或脱敏保存、定期对数据库的敏感数据进行清理或脱敏等。3.6合同管理在合同或协议中，应约定因应用系统导致甲方客户资料等敏感数据泄露的告知义务和惩罚措施。3.7运行时管理1)变更管理a.实施变更前须评估对甲方业务和系统的影响，制定变更方案，经甲方同意方可实施变更。b.提前三个工作日通知甲方变更时间。c.实施变更前，应做好系统和数据的备份，应避免在业务繁忙时段实施变更，对于实施风险较大的变更，应在变更后对系统的运行情况进行检查和跟踪。应急响应a.明确与甲方的应急沟通机制、应急联系人，发生信息安全事件应立即通报甲方。b.制定切合实际的应急预案，定期开展应急演练。运维管理a.保留完整的视频监控录像、门禁权限审批记录和门禁出入记录，视频监控录像应至少保存3个月，门禁审批和门禁出入记录数据应至少保存1年。（增强性要求）b.应每日定时巡检机房、网络运行状况，保留完整的巡检记录，巡检记录数据至少保存1年以上。系统管理a.定期更新操作系统补丁。（增强性要注）b.应用系统首次投产后，每年实施一次操作系统、数据库、应用漏洞扫描和渗透测试，修复高危漏洞后投产，并向甲方提交书面报告（包括漏洞扫描结果、分析报告、漏洞修复情况等内容）。（增强性要求）c.应用系统每次变更投产前，应实施应用漏洞扫描，修复高危漏洞后投产，并向甲方提交书面报告（包括漏洞扫描结果、分析报告、漏洞修复情况等内容）。d.关注互联网公布的漏洞，涉及到的0day漏洞及其他高危漏洞，应及时修复，并向甲方提交书面报告（包括漏洞扫描结果、分析报告、漏洞修复情况等内容）。（增强性要求）数据安全a.严禁未经批准的数据提取，严禁私自将包含生产数据的存储介质带离工作场所。（增强性要求）b.严禁将生产系统敏感数据直接用于开发测试环境，严禁将生产系统的密钥明文或密文用于开发测试环境。（增强性要求）c.用于存储或处理甲方业务数据的电子设备送外部维修前必须先拆除数据存储部件，报废电子设备或存储介质前必须实施数据销毁。本制度相关修改及解释权属于研发服务体系文档编号（由总经办填写）F4-C-研发服务体系-004-V1.0密级内部公开文档发布级别公司级文档发布及实行范围系统服务部