下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
【外包服务管理规定】F4-C-研发服务体系-004-V1.0第页外包服务管理规定目录TOC\o"1-3"\h\u248401、目的 2278112、适用范围 2212303、管理规定 2191793.1机房安全 2204293.2网络安全 2292553.3系统管理 2205813.4用户管理 368093.5数据安全 3119723.6合同管理 4308763.7运行时管理 4112601)变更管理 4131412)应急响应 5318213)运维管理 5312484)系统管理 5219415)数据安全 5
目的为了提高外包业务的服务质量,规范外包业务的管理活动,保障系统安全运行,提升外包服务业务人员安全意识水平,北京讯鸟软件有限公司(以下简称“公司”)依据信息安全管理标准《GB/T22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》的相关要求,结合自身业务系统实际运行安全需求,制定了本外包服务业务的管理规定。适用范围本规定适用于云计算及互联网服务平台的所有应用系统。管理规定3.1机房安全机房应安装门禁系统和视频监控系统。机房环境应符合相关机房管理规定的要求。3.2网络安全1)外包服务的信息系统所在网络区域应与其他网络区域使用访问控制列表或防火墙进行网络安全隔离。2)外包服务的网络区域应部署入侵检测系统,及时分析入侵事件。(增强性要求)3)外包服务的网络区域应安装网络监控系统,及时监控网络访问情况。(增强性要求)3.3系统管理1)运行应用系统的服务器和工作站必须安装防病毒系统,病毒库及时更新。2)应用系统首次投产前,应实施操作系统、数据库、应用漏洞扫描和渗透测试,修复高危漏洞后投产,并向甲方提交书面报告(包括漏洞扫描结果、分析报告、漏洞修复情况等内容)。3)应用系统客户端不允许直接连接数据库。4)信息系统应有日志审计功能,不提供删除、修改、覆盖日志功能。3.4用户管理应检查用户密码复杂度,密码不得与用户账号相同,密码组成至少包含大写字母、小写字母、数字和特殊字符四类要素中的三种,且长度至少为8位。应提供用户密码连续输入错误锁定功能,用户连续输入错误次数超过规定次数(最大为5次)锁定用户,须解锁后才能正常使用。应严格限制默认帐户的访问权限,重命名默认用户,修改默认用户口令。对于无法修改默认帐户访问权限及命名的,应严格限制用户登录。不得明文传输和存储用户登录密码。3.5数据安全1)信息系统如涉及资金类交易时,银行账号及密码、CVV2、磁道信息、信用卡有效期等敏感数据应加密传输和存储。2)信息系统如不涉及资金类交易时,不允许处理(包括采集、记录、传输等)银行账号密码、CVV2、磁道信息、信用卡有效期等敏感数据。3)应用日志不允许记录密钥、密码、磁道信息、卡片校验码(CVV2)等敏感数据信息。4)信息系统如涉及资金类交易时,应采取通信报文防篡改和防重放的校验措施,报文MAC校验范围应纳入账号、金额、交易流水号、交易时间等字段,并由交易报文接收方检查交易流水号及交易时间的唯一性。5)信息系统如提供查询客户信息功能时,不能未经脱敏就批量显示/打印/导出我行客户资料敏感信息(账户、姓名、电话号码、手机、身份证号码等),不得在终端存储客户资料敏感信息。(增强性要求)6)系统使用的加密算法须符合甲方要求(对称加密算法可选择SM4、AES、3DES;非对称算法可选择SM2、RSA、DSA、D.H;杂凑算法可选择SM3、SHA1、SHA256、MD5;安全协议可选择SSL、TLS、SSH、SFTP、Kerberos、RADIUS,对称加密算法的密钥长度至少设定为128bit;非对称的RSA算法密钥长度至少2048bit,SM2算法至少210bit),密钥不以明文方式存储,且支持密钥更新。7)应有安全管控措施保障甲方敏感数据安全,防范我行敏感数据被非法获取,如:敏感数据在数据库加密保存或脱敏保存、定期对数据库的敏感数据进行清理或脱敏等。3.6合同管理在合同或协议中,应约定因应用系统导致甲方客户资料等敏感数据泄露的告知义务和惩罚措施。3.7运行时管理1)变更管理a.实施变更前须评估对甲方业务和系统的影响,制定变更方案,经甲方同意方可实施变更。b.提前三个工作日通知甲方变更时间。c.实施变更前,应做好系统和数据的备份,应避免在业务繁忙时段实施变更,对于实施风险较大的变更,应在变更后对系统的运行情况进行检查和跟踪。应急响应a.明确与甲方的应急沟通机制、应急联系人,发生信息安全事件应立即通报甲方。b.制定切合实际的应急预案,定期开展应急演练。运维管理a.保留完整的视频监控录像、门禁权限审批记录和门禁出入记录,视频监控录像应至少保存3个月,门禁审批和门禁出入记录数据应至少保存1年。(增强性要求)b.应每日定时巡检机房、网络运行状况,保留完整的巡检记录,巡检记录数据至少保存1年以上。系统管理a.定期更新操作系统补丁。(增强性要注)b.应用系统首次投产后,每年实施一次操作系统、数据库、应用漏洞扫描和渗透测试,修复高危漏洞后投产,并向甲方提交书面报告(包括漏洞扫描结果、分析报告、漏洞修复情况等内容)。(增强性要求)c.应用系统每次变更投产前,应实施应用漏洞扫描,修复高危漏洞后投产,并向甲方提交书面报告(包括漏洞扫描结果、分析报告、漏洞修复情况等内容)。d.关注互联网公布的漏洞,涉及到的0day漏洞及其他高危漏洞,应及时修复,并向甲方提交书面报告(包括漏洞扫描结果、分析报告、漏洞修复情况等内容)。(增强性要求)数据安全a.严禁未经批准的数据提取,严禁私自将包含生产数据的存储介质带离工作场所。(增强性要求)b.严禁将生产系统敏感数据直接用于开发测试环境,严禁将生产系统的密钥明文或密文用于开发测试环境。(增强性要求)c.用于存储或处理甲方业务数据的电子设备送外部维修前必须先拆除数据存储部件,报废电子设备或存储介质前必须实施数据销毁。本制度相关修改及解释权属于研发服务体系文档编号(由总经办填写)F4-C-研发服务体系-004-V1.0密级内部公开文档发布级别公司级文档发布及实行范围系统服务部
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 初会考试培训与需求分析
- 人教统编版语文四年级上册《8 蝴蝶的家》教学课件小学公开课
- 教职工心理健康知识培训
- 电商创业培训
- 兽医便秘的课件
- 劳务合同违约
- 手房购房签合同流程
- 《NSTEMI指南解读》课件
- 二零二四年度城市公交车运输合同3篇
- 2024年度矿区生态修复合同2篇
- 水手工艺技能题
- 全县村民监督委员会主任培训会专题资料PPT课件
- 人工全髋关节置换术Harris评分表
- 5.DL647-2019电站锅炉压力容器检验规.doc
- DBB、DB、EPC模式的解析及其优缺点+第三小组
- 铁路工务线路工作业指导
- 小学美术《14虾和蟹(二)》PPT课件
- VI设计手册的设计与制作PPT课件
- 天然气管道冰堵发生原因及解堵措施
- 对降低产品成本途径问题的研究
- 工程安全监测
评论
0/150
提交评论