T-HBPFS 004-2023 信息安全服务信息科技外包管理规范_第1页
T-HBPFS 004-2023 信息安全服务信息科技外包管理规范_第2页
T-HBPFS 004-2023 信息安全服务信息科技外包管理规范_第3页
T-HBPFS 004-2023 信息安全服务信息科技外包管理规范_第4页
T-HBPFS 004-2023 信息安全服务信息科技外包管理规范_第5页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

ICS

03.060CCS

11

004-2023信息安全服务

信息科技外包管理规范Information

Security

Services

Information

OutsourcingManagement

Specification河北省金融学会

发布

004-2023

004-2023本文件按照GB/T

1.1—2020《标准化工作导则

第1部分:标准化文件的结构和起草规则》和GB/T

004-2023的服务定位也在持续变化,从为银行提供"一揽子”技术解决方案,逐步向提供人力辅助转变。为充分

004-2023

本文件规定了信息科技外包管理要求,对信息科技外包活动管理,包括准入前评估、尽职调查、本文件适用于开展信息科技外包活动,执行外包服务提供商准入、尽职调查、服务评价和退出管

GB/T

GB/T

22080-2016

27001:2013

JRT

0071.1-2020

银保监办发[2021]141号

中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法

3.1

information

service面向组织或个人的各类信息安全需求和信息安全保障需求,由服务提供方按照服务协议所执行的[来源:GB/T22080-2016/ISO/IEC

3.2

service

[来源:GB/T

24405.1一2009,2.13]3.3

information

risk

assessment

004-2023[来源:GBT

22080-2016

27001-2013

6.1.2

3.4

technology

outsourcing

3.5

outsourcing

3.6

site

outsourcing

3.7

non

resident

outsourcing

4.1

a)

b)

c)

d)

e)

f)

4.2

004-2023a)

咨询规划类——包括但不限于:信息科技战略规划(含中长期规划)咨询,数据中心(机房)b)

开发测试类——包括但不限于:软硬件开发和测试外包(含人力外包),软件即服务形式的外c)

运行维护类——包括但不限于:数据中心(机房)物理环境的托管或运行维护,软硬件基础设d)

安全服务类——包括但不限于:安全运营服务,安全加固服务,安全设备运行维护,安全日志e)

业务支持类——包括但不限于:市场拓展,业务运营(集中作业、呼叫中心等),企业管理,4.3

5.1

a)

b)

选择跨境外包时,应当充分评估服务提供商所在国家或地区的政治、经济、社会、法律、文化c)

d)

5.2

a)

b)

c)

d)

e)

f)

004-2023a)

b)

c)

服务提供商对涉及本机构的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基d)

服务提供商是否拥有或可能拥有业务系统的最高管理权限或访问权限,是否能够浏览、获取重e)

f)

5.3

a)

服务范围、服务内容、服务要求、工作时限及安排、责任分配、交付物要求以及后续合作中的b)

c)

d)

对服务提供商进行风险评估、监测、检查和审计的权利,及服务提供商承诺接受监管机构对其e)

f)

外包活动中相关信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供g)

h)

安全保密和消费者权益保护约定,禁止服务提供商在合同允许范围外使用或者披露信息,服务i)

j)

5.4

a)

b)

c)

d)

e)

f)

5.5

004-20235.6

a)

识别出重要业务(指面向客户、涉及账务处理、时效性要求较高的业务,其运营服务中断会对b)

对服务提供商业务连续性管理水平进行监控、评价,要求服务提供商制订服务中断相关的应急c)

明确措施和方法,在服务提供商服务质量不能满足合同要求的情况下,保障获取其外包服务资d)

组织服务提供商参与应急计划编制和应急演练,至少每年在综合性演练或专项演练中纳入一个e)

考虑外包服务提供商预先在机构内部配置相应的人力资源,掌握必要的技能,保障在外包服务5.7

应制定外包服务提供商替换方案,及相应的外包应急计划,完善相关应急流程,并定期进行演练。a)

b)

c)

a)

b)

c)

d)

e)

f)

g)

h)

5.8

004-2023a)

对服务提供商和外包人员进行网络和信息安全教育或培训,签订安全保密协议,外包人员应签b)

c)

d)

e)

对服务提供商所提供的模型、算法及相关信息系统加强管理,确保模型和算法遵循可解释、可f)

g)

对符合重要外包标准的非驻场外包服务进行实地检查,对具有行业集中度性质的服务提供商,h)

定期对外包服务提供商进行风险评估,评

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论