DB14∕T 1251-2016 信息技术服务外包安全要求

ICS25.04025.040DB14山西省质量技术监督局IDB14/T1251—2016前言 12规范性引用文件 13术语和定义 14对委托方的基本要求 24.1委托方信息技术服务外包安全管理基本原则 24.2信息技术服务外包安全管理职责 25总体要求与分类分级 45.1总体要求 45.2安全要求的实施主体 45.3安全要求的分类 55.4安全要求的分级 56一般级 66.1服务商选择与供应链安全 66.2访问控制 86.3维护 96.4事件处理 6.5审计 6.6人员安全 6.7物理与环境安全 7.1服务商选择与供应链安全 147.2访问控制 7.3维护 7.4事件处理 7.5审计 7.6人员安全 7.7物理与环境安全 8增强级 8.1服务商选择与供应链安全 268.2访问控制 8.3维护 8.4事件处理 DB14/T1251—20168.5审计 8.6人员安全 8.7物理与环境安全 附录A（资料性附录）信息技术服务外包分类 附录B（资料性附录）信息安全风险分析 41参考文献 43DB14/T1251—2016本标准按照GB/T1.1-2009给出的规则起草。本标准由山西省经济和信息化委员会提出并归口。本标准起草单位：山西省信息技术产业协会、山西省经贸决策咨询中心、中国信息安全研究院有限公司、山西省信息化和信息安全评测中心、山西省工业控制系统与安全产业联盟。本标准主要起草人：周亚超、左晓栋、李凯军、王乐、薛云琴、张明胜、陆希、苑化军、张卓娅、郭陈勋、刘雨桁。DB14/T1251—2016随着信息技术在各领域的广泛深入应用，信息系统日趋复杂，信息技术服务的专业性越来越高，信息技术服务外包成为常态。信息技术服务外包有利于发挥服务商的专业优势和规模优势，降低成本，提高信息化质量和效率。特别是以大数据、云计算、物联网等为代表的新一代信息技术，极大地拓展了信息技术服务外包的业务领域和层次，并呈现出智能化、平台化与社会化的特征。与此同时，信息技术服务外包也引入了更多的信息安全风险。《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）要求，“严格政府信息技术服务外包的安全管理”，“在软件服务外包、信息技术服务和电子商务等领域开展个人信息保护试点，加强个人信息保护工作”。本标准结合山西省实际，在山西省辖区内各级机关、事业单位、重要领域等更广范围内明确信息技术服务外包过程中应该实现的信息安全要求。本标准提出的信息技术服务外包安全要求分别适用于等级保护二级、三级和四级系统所涉及的外包活动。涉密系统中的信息技术服务外包应参照国家保密局相关保密规定和标准执行，不在本标准范围内。1DB14/T1251—2016信息技术服务外包安全要求本标准规定了信息技术服务外包时的信息安全要求。本标准适用于山西省辖区内各级机关、事业单位、重要领域的信息技术服务外包。外包服务商提供外包服务时可参照执行。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069—2010信息安全技术术语3术语和定义GB/T25069—2010确立的以及下列术语和定义适用于本文件。3.1信息技术服务供方为需方提供开发、应用信息技术的活动，以及供方以信息技术为手段提供支持需方业务的活动。3.2信息技术服务外包以签订合同的方式，需方委托其他机构承担信息技术服务的行为。注：附录A给出了信息技术服务外包的分类，包括信息技术咨询服务、系统集成服务、系统设计与开发服务、运行维护服务、数据处理服务、数据存储服务、灾难恢复服务、3.3外包服务商服务外包中承担信息技术服务的机构。3.4服务分包外包服务商将自身承担的部分信息技术服务再次委托给其他机构完成的行为。3.5信息技术供应链2DB14/T1251—2016通过多个资源和过程联系在一起的一系列组织，始于未加工的原材料，终于使用产品和服务的最终用户，是一个由多个上游与下游供应商形成的网链结构，可将信息通信技术的产品和服务提供给最终用户。3.6委托方信息技术服务外包活动中的需求方，将信息技术服务委托给外包服务商，并对外包服务商提出信息安全要求。3.7网络安全审查国家网信部门组织实施的重要网络安全管理制度，对关系国家安全和公共安全利益的系统使用的重要信息技术产品和服务进行安全审查，审查重点为该产品安全性和可控性，旨在防止产品提供者利用提供产品的方便，非法控制、干扰、中断用户系统，非法收集、存储、处理和利用用户有关信息。3.8服务级别协议委托方与外包服务商之间就外包服务的品质、水准、性能等方面所达成的双方共同认可的协议或契4对委托方的基本要求4.1委托方信息技术服务外包安全管理基本原则委托方在信息技术服务外包活动中，应遵循以下信息安全管理基本原则：a)责任延展原则。信息安全管理责任不应随服务外包而转移，无论委托方数据和业务是位于自身信息系统还是外包服务商的信息系统上，委托方都是信息安全的最终责任人。b)领导决策原则。信息技术服务外包应获得委托方服务外包主管领导的支持、批准和授权。c)风险控制原则。委托方应始终关注信息技术服务外包可能带来的信息安全风险，并能够及时应用风险控制措施。d)监督检查原则。委托方应对信息技术服务活动进行监管，并接受信息安全主管部门的监督检查。e)数据归属关系不变。委托方提供给外包服务商的数据、设备等资源，以及外包服务过程中收集、产生、存储的数据和文档等资源属委托方所有。外包服务商应保障委托方对这些资源的访问、利用、支配，未经委托方授权，外包服务商和任何第三方不得访问、修改、披露、利用、转让、销毁委托方的数据。f)安全管理标准不变。外包服务商的信息系统中，凡承载委托方业务和数据的信息系统均应遵循与委托方自身系统完全一致的信息安全技术要求和管理规定，与委托方自身系统一样接受国家有关部门和委托方的信息安全监督管理。g)敏感信息不出境。为委托方提供服务的重要信息基础设施，例如云计算服务平台、数据中心、升级服务器等要设在境内。敏感信息未经批准不得在境外传输、处理、存储。4.2信息技术服务外包安全管理职责4.2.1管理角色3DB14/T1251—2016委托方应根据服务外包活动范围确定管理角色和责任：a)应由委托方信息安全主管领导担任服务外包管理小组的副职（含）以上领导。b)根据外包类型的不同，委托方的多个内设机构分工承担负责外包管理职责，但外包活动信息安全管理的总职责应由委托方的信息安全部门承担。信息安全部门对外包活动中的信息安全相关事项具有一票否决权。4.2.2主管领导委托方应在服务外包活动中设置信息安全主管领导的职责，包括但不限于：a)在委托方信息安全管理的总体框架下，批准本机构的服务外包信息安全管理策略。b)授权并支持相应的负责机构具体管理外包活动的信息安全。c)支持对服务外包信息安全各环节的管理：1)定期评审并发布服务外包信息安全管理制度，保持与委托方服务外包信息安全管理策略要求相一致。2)提供并保障服务外包信息安全管理所需要的资源。3)组织检查信息技术服务外包中信息安全措施的执行情况。4)协调处置服务外包信息安全管理应急事件。d)承担服务外包信息安全管理的监管责任。4.2.3负责机构委托方应在外包活动中指定信息安全管理部门，其主要职责包括但不限于：a)对信息安全主管领导负责，将服务外包信息安全管理情况、信息技术服务外包信息安全执行情况及时报告主管领导。b)落实服务外包信息安全管理策略要求，组织制定并执行服务外包信息安全管理制度、服务外包合同、服务外包信息安全管理计划等，具体职责应包括以下方面：1)按照服务外包信息安全风险评估有关要求，开展服务外包信息安全风险评估。2)评估和推荐潜在的外包服务商和服务人员。3)落实并监督服务外包基本信息安全控制措施。4)落实服务外包信息安全管理应急处置措施。5)提出服务外包信息安全管理的改进建议。c)承担服务外包信息安全管理的直接责任。4.2.4信息技术服务外包安全管理模型委托方应建立信息技术服务外包安全管理模型，如图1所示。该模型将信息技术服务外包信息安全管理活动划分为服务外包信息安全规划准备、机构和人员选择、运行监督和改进完成4个管理阶段，针对性地提出了规范性要求。4DB14/T1251—2016l服务外包信息l服务外包信息安全管理策略l外包服务机构和人员风险评估l服务外包合同l服务外包信息l信息安全保密l服务过程评估l阶段成果交付l服务改进l服务退出l外包服务机构图1信息技术服务外包安全管理模型5总体要求与分类分级5.1总体要求信息技术外包服务安全要求的核心是建立委托方与外包服务商的信任关系，这一信任关系包括以下方面：a)可控性。外包服务商位于委托方所在国司法管辖权范围之内，外包服务商的责任可追溯。b)透明性。外包服务商收集、处理、使用委托方信息及实施其他可能影响委托方信息安全的行为（如提供软件开发服务）时，其全部过程对委托方可见，所有技术资料、说明文档完备可查，没有有意隐藏或不可见的行为。c)可信性。外包服务商严格遵循法律法规和有关标准的要求，没有违反法律法规的行为，且对其员工进行了必要的安全背景核查，员工的流动情况清晰可查、可追溯。d)保密性。外包服务商具备保护自身信息安全的能力，所存储的委托方的信息不被非授权泄露。e)完整性。外包服务商具备保护自身信息安全的能力，所存储的委托方的信息不被篡改，承载委托方业务和数据的信息系统不被篡改。f)可用性。外包服务商具备保护自身信息安全的能力，承载委托方业务和数据的信息系统满足双方服务级别协议的要求，系统不会出现严重影响委托方关键业务和数据的中断情况，外包服务商不会利用委托方对其形成的依赖而要挟用户。5.2安全要求的实施主体为了保障信息技术外包服务的信息，委托方和外包服务商均应实施相应信息安全保障措施，具体包括：5DB14/T1251—2016a)委托方自身应实施有针对性的信息安全控制措施，还应对外包服务商提供要求。b)本标准在第5—7章提出的信息安全要求同时涵盖以上两方面内容，并在描述中将信息安全要求的实施主体区分为委托方和外包服务商。c)除上述措施外，无论委托方还是外包服务商，均应落实信息系统安全防护的常规要求，如等级保护要求。d)根据本标准4.1“安全管理标准不变”原则，委托方应要求外包服务商保护承载委托方业务和数据的信息系统的安全，该系统应实现与委托方同样的安全防护等级。5.3安全要求的分类本标准将信息技术服务外包信息安全要求分为以下7类：a)“服务商选择与供应链安全”类。委托方应选择可信、可控的外包服务商，并与外包服务商签订安全协议。外包服务商在为委托方开发信息系统时应对其提供充分保护，确保信息技术供应链安全。外包服务商应确保其下级供应商采取了必要的安全措施。外包服务商还应为委托方提供有关安全措施的文档和信息，配合委托方完成对信息系统和业务的管理。b)“访问控制”类。委托方应防止外包服务商非授权访问本机构的重要业务和数据，对于由外包服务商系统承载的委托方业务和数据，应要求外包服务商在系统的外部边界和内部关键边界上监视、控制信息访问行为，保护存储、处理和传输的信息，防止外包服务商及第三方非授权访问。c)“维护”类。外包服务商应对承载委托方业务和数据的信息系统进行妥善维护。此外，外包服务商在对委托方的信息系统提供维护服务时，应保护委托方信息及系统的保密性、完整性和可用性。委托方应对维护所使用的工具、技术、机制以及维护人员进行有效的控制，且做好相关记录。d)“事件处理”类。外包服务商应建立事件处理计划，预防、检测、分析和控制所有可能涉及到委托方业务和数据的信息安全事件，并在事件发生后对受影响的系统实施恢复。发生信息安全事件后，外包服务商应及时跟踪、记录并向相关人员报告。外包服务商应具备容灾恢复能力，建立必要的备份与恢复设施和机制，确保委托方业务可持续。e)“审计”类。委托方应对外包服务商在自身信息系统中的行为进行全程审计，并要求外包服务商根据安全需求和委托方要求，建立审计机制，对外包服务商系统中可能影响委托方信息安全的行为进行审计。审计记录应妥善保存，防止非授权访问、修改和删除。审计记录应定期分析和审查，及时应对可能的信息安全风险。f)“人员安全”类。委托方应对外包服务商中可能接触委托方业务和数据及其他可能影响委托方信息安全的人员进行严格管理，确保其上岗时具备履行其安全责任的素质和能力，并应在授予相关人员访问权限之前对其进行审查并定期复查，在人员调动或离职时履行安全程序，对于违反安全规定的人员进行处罚。g)“物理与环境安全”类。委托方应建立物理安全控制措施，防止外包服务商非授权进入受控区域。委托方应对外包服务商承载委托方业务和数据的信息系统提出物理位置要求，确保其位于法律管辖权内。5.4安全要求的分级不同等级的信息系统应当落实不同等级的信息安全要求。本标准对信息技术服务外包提出了三个级别的信息安全要求，分别为一般级、中级和增强级，各适用于等级保护二级、三级和四级系统所涉及的外包活动。当委托方有多个安全等级的系统时，应判断具体的外包活动影响何种等级的系统，以所有受影响系统的最高等级为准对外包活动提出安全要求。6DB14/T1251—2016本标准对每一级的信息系统单独提出了信息安全要求。6一般级6.1服务商选择与供应链安全6.1.1服务商选择准则委托方应对潜在外包服务商进行风险评估，依据以下准则确定外包服务商：a)综合分析各方面的信息，包括执法部门披露的信息、信息安全通报、应急响应机构的风险提示、国家网络安全审查结果等，排除存在安全隐患的外包服务商。b)外包服务商的法人及主要业务人员、技术人员无犯罪记录或不良诚信记录，外包服务商具有固定的办公场所，具备保障信息技术服务安全实施的技术、财务等能力。c)对需要资质的信息技术服务，如信息安全测评、云计算等，外包服务商应已获得相应资质。d)外包服务商的员工中，所有参与外包活动的员工满足以下条件：1)持有相应服务所需的人员资质。2)定期接受信息安全培训，具有较强的信息安全意识。3)与外包服务机构签署了长期固定劳动合同，并且签订了保密协议。6.1.2服务外包合同委托方应与外包服务商签署服务外包合同，合同应包含以下几方面内容：a)制定信息安全条款，具体内容包括但不限于：1)服务外包信息安全目标和衡量标准。2)服务外包信息安全保障范围和费用。3)不泄露委托方重要敏感信息的信息安全承诺。4)明示外包服务机构在使用和处理数据过程中的所有权、边界控制等要求。5)明示外包服务机构接受信息安全主管部门监督检查的责任义务。6)服务外包意外终止或变更的要求。b)在信息安全影响因素发生变更后，及时修订信息安全条款。c)确保信息安全条款被外包服务机构及其服务人员所周知。d)确保外包服务商承诺对委托方的信息安全负责，不利用提供服务的便利危害委托方业务和数据的安全，不在未获得明确授权情况下泄露服务过程中获取的委托方数据。e)确保外包服务商承诺未经委托方书面许可不将服务进行分包。f)确保外包服务商的信息系统中，承载委托方业务和数据的信息系统接受与委托方信息系统同等的信息安全监督管理，并采取与委托方信息系统同等强度的信息安全防护措施。g)明确定义服务退出条件，包括但不限于以下内容：1)当服务合同到期后的正常退出条件。2)当服务发生错误且不能在一个有效时间内处理完成的退出条件。3)与外包服务机构协商达成一致的合同撤销退出条件。4)服务合同内容的修改或调整退出条件。h)建立服务退出策略中有关信息安全的管理要求：1)依据不同的服务退出条件，定义服务退出过程中及退出后的管理角色和职责。2)保证信息技术服务信息安全质量在退出阶段能够维持服务合同中的信息安全管理要求。3)在服务退出过程中，退还所有服务涉及的文档。7DB14/T1251—20164)保证在服务合同终止之后对服务内容和信息的保密性要求。5)将政府部门的数据有效地消除或移除，确保数据不被其他组织或个人公开。6)当服务失败或企业破产等突发情况发生时，保留继续雇用服务人员开展服务工作的权利。i)外包服务商在服务退出时的信息安全承诺，包括但不限于以下内容：1)及时删除信息技术服务过程中生成的子账户或子功能。2)在服务退出过程中，退还所有委托方的数据和文档。6.1.3供应链安全外包服务商应实施以下供应链安全措施：a)明确有哪些服务或采购的产品对委托方的业务和数据可能会造成严重要影响，并确保涉及外包服务的重要设备通过国家和地方主管部门规定的安全检测。b)向委托方承诺，不使用含有恶意代码的产品、有缺陷产品或假冒产品。c)对外包服务所涉及的产品开发环境、信息存储设备等实施安全控制。6.1.4外包服务商服务环境安全外包服务商应确保其承载委托方业务和数据的信息系统满足以下要求：a)将信息安全纳入信息系统生命周期，确保信息安全与信息化同步规划、同步建设、同步运行。b)已经获得与委托方信息系统同样安全等级的测评。6.1.5开发安全外包服务商在为委托方提供系统设计、开发等服务时，应满足以下要求：a)提供交付物时的缺省配置为安全配置，且已删除所有测试接口，不含有后门或其他不必要的功b)确保系统开发人员接受了软件开发安全培训。c)制定明确的开发规范，在规范中明确以下事项：1)所开发系统的安全需求。2)开发过程中使用的标准和工具。3)开发过程中使用的特定工具选项和工具配置。d)采取有关措施，确保开发过程的完整性和工具变更的完整性。e)在开发过程的初始阶段定义质量度量标准，并定期检查质量度量标准的落实情况。f)确定安全问题追踪工具，并在开发过程期间使用。g)对所开发的系统执行漏洞分析，明确漏洞利用的可能性，确定漏洞消减措施。h)对所开发的外包服务信息系统及其组件或服务进行安全测试：1)制定并实施安全评估计划。2)更正在安全评估过程中发现的脆弱性和不足。6.1.6系统文档外包服务商在服务结束后应向委托方提交以下系统文档：a)管理员文档，至少应涵盖以下信息：1)所开发的信息系统及其组件或服务的安全配置，以及安装和运行说明。2)安全特性或功能的使用和维护说明。3)与管理功能有关的配置和使用方面的注意事项。b)用户文档，至少应涵盖以下信息：8DB14/T1251—20161)用户可使用的安全功能或机制，以及对如何有效使用这些安全功能或机制的说明。2)有助于用户更安全地使用信息系统及其组件或服务的方法或说明。3)对用户安全责任和注意事项的说明。6.1.7培训外包服务商应对委托方提供培训，以帮助委托方正确使用所交付系统或产品中的安全功能、措施和机制。6.2访问控制6.2.1标识符管理委托方应通过以下步骤管理外包服务人员在信息系统中的标识符：a)明确由专门的授权人员为外包服务人员分配个人、组、角色或设备标识符。b)将标识符分配给有关个人、组、角色或设备。c)在服务结束后禁用外包服务人员的标识符。6.2.2鉴别凭证管理委托方应通过以下步骤管理外包服务人员的鉴别凭证：a)验证鉴别凭证接收对象（个人、组、角色或设备）的身份。b)确定鉴别凭证的初始内容。c)确保鉴别凭证能够有效防止伪造和篡改。d)针对鉴别凭证的初始分发、丢失处置以及收回，建立和实施管理规程。e)保护鉴别凭证内容，以防泄露和篡改。f)当组或角色账号的成员资格发生变化时，变更该账号的鉴别凭证。g)在服务结束后收回鉴别凭证。6.2.3数据静态保护外包服务商应采取以下措施，防止其信息系统中承载的委托方业务或数据被非授权访问：对委托方的业务和数据实施严格的访问控制，确保未经委托方授权的人员不能访问其业务和数据，包括外包服务6.2.4最小特权委托方应按照最小特权原则，赋予外包服务商在本系统、本机构中的逻辑和物理访问权限：a)为外包服务商提供的访问权限应是其完成外包服务所必需的，符合本机构的业务需求。b)将特权功能的执行纳入信息系统需要审计的事件之中。6.2.5边界保护外包服务商应对承载委托方业务和数据的信息系统实施边界保护措施：a)在连接外部系统的边界和内部关键边界上，对通信进行监控。b)在访问系统的关键逻辑边界上，对通信进行监控。6.2.6远程访问委托方应实施以下远程访问措施，严格管理外包服务商对委托方信息系统的远程访问：9DB14/T1251—2016a)明确远程访问使用条件、配置和连接要求，并经信息安全主管领导批准。b)采取有关措施保证远程访问的安全，如多因子认证、VPN（虚拟专用网）、数字证书等。6.3维护6.3.1受控维护委托方应对外包服务商在本系统中的运维活动采取以下安全管理措施：a)根据信息系统组件的规格说明以及自身的业务需求，对信息系统组件的维护和修理进行规划、实施、记录，并对维护和修理记录进行审查。b)审批和监视所有维护行为，包括现场维护、远程维护，以及对设备的异地维护。c)在将信息系统组件转移到外部进行非现场的维护或维修前，应获得本机构信息安全主管领导的批准。d)在维护记录中，至少应包括：维护日期和时间、维护人员姓名、陪同人员姓名、对维护活动的描述、被转移或替换的设备列表（包括设备标识号）等信息。6.3.2维护工具委托方应采取以下措施，审批、控制并监视维护工具的使用：a)检查由维护人员带入设施内部的维护工具，以确保维护工具未被不当修改。b)在使用诊断或测试程序前，对其进行恶意代码检测。6.3.3远程维护委托方应对远程维护采取以下安全措施：a)针对远程维护链接及诊断链接的建立，明确规定有关策略和规程，对每次远程维护和诊断进行审批和监视。b)建立和保存对远程维护和诊断活动的记录。c)对所有远程维护和诊断活动进行审计，并定期对所有远程维护和诊断会话的记录进行审查。6.3.4维护人员委托方应采取以下措施，加强对维护人员的安全管理：a)建立对维护人员的授权流程，对已获授权的人员建立列表。b)确保只有列表中的维护人员，才可在没有人员陪同时进行系统维护；不在列表中的人员，必须在授权且技术可胜任的人员陪同与监管下，才可开展维护活动。6.3.5外包服务商系统维护外包服务商应对本机构承载委托方业务和数据的信息系统进行安全维护，并定期将维护记录向委托方提交。6.3.6变更控制委托方应采取以下变更控制措施，防止外包服务商对委托方信息系统和承载委托方业务和数据的信息系统进行非授权更改：a)明确信息系统中有哪些变更需要包含在受控配置列表中，如主机配置项、网络配置项等。b)建立对受控配置进行变更的授权程序。c)审查所提交的受控配置变更事项，根据安全影响分析结果决定批准或否决，并进行记录。DB14/T1251—2016d)保留信息系统中受控配置的变更记录。e)定期对受控配置变更活动进行审查。6.3.7信息安全管理策略外包服务商应制定信息安全管理策略，包括：a)明确管理目标与范围，制定包括系统设施和操作等内容的系统安全目标与范围计划文件。b)为达到相应等级技术要求，提供相应的管理保证。c)提供对信息系统进行基本安全保护的安全功能和安全管理措施，确保安全功能达到预期目标，使信息免遭非授权的泄露和破坏，基本保证信息系统安全运行。d)建立相应的安全管理机构，制定相应的安全操作规程。e)制定信息系统的风险管理计划。f)提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措施，从整体上保护信息免遭非授权的泄露和破坏，保证信息系统安全正常运行。6.3.8信息安全管理制度外包服务商应制定信息安全管理制度，包括信息安全管理规定、系统安全管理规定、数据安全管理规定、防病毒规定、机房安全管理规定、设备使用管理规定、人员安全管理规定、安全审计管理规定、用户管理规定、风险管理规定、信息分类分级管理规定、安全事件报告规定、事故处理规定、应急管理规定和灾难恢复管理规定等以及相关规程。6.4事件处理6.4.1事件处理计划为及时应对承载委托方业务和数据的信息系统可能发生的信息安全事件，外包服务商应制定事件处理计划：a)事件处理计划应包括：1)说明启动事件处理计划的条件和方法。2)说明其机构内与事件处理有关的组织架构。3)定义需要报告的安全事件。4)定义必要的资源和管理支持。b)定期审查和修订事件处理计划。6.4.2事件处理活动外包服务商应采取以下措施，对承载委托方业务和数据的信息系统发生的信息安全事件进行处置：a)为安全事件的处理提供必需的资源和管理支持。b)将在事件处理活动中获得的经验，纳入事件处理、培训及演练计划，并实施相应的变更。6.4.3事件报告承载委托方业务和数据的信息系统发生信息安全事件后，外包服务商应及时启动事件报告机制：当发现可疑的安全事件时，应立即向委托方报告有关情况。6.4.4事件处理支持DB14/T1251—2016外包服务商应提供以下事件处理支持：落实事件处理所需的各类支持资源，为委托方处理、报告安全事件提供咨询和帮助。6.4.5应急演练外包服务商应对本机构承载委托方业务和数据的信息系统开展应急演练：a)制定或修订应急演练计划。b)定期执行应急演练计划。c)记录和核查应急演练结果，并根据需要修订应急响应计划。6.5审计6.5.1委托方审计委托方应对外包服务商的下述活动进行审计，并唯一掌握审计管理员权限：a)在线审计外包服务商在委托方信息系统中的所有活动。b)记录外包服务商在委托方物理场所内的所有活动。6.5.2外包服务商审计外包服务商应开展以下审计：a)根据所获得的授权，审计本系统、本机构中所有对委托方业务和数据的访问、操作行为。b)对本机构承载委托方业务和数据的信息系统运行情况进行审计。6.5.3审计记录内容委托方和外包服务商的审计记录内容至少包括：事件类型、事件发生的时间和地点、事件来源、事件结果以及与事件相关的用户或主体的身份。6.5.4审计记录保护委托方和外包服务商应对审计记录提供以下保护：a)根据审计记录存储需求，配置审计记录存储容量。b)当审计记录存储容量即将用完时，例如剩余10%，向审计管理员报警。c)当审计记录存储容量用完时，覆盖最早的审计记录，不得中断审计。6.5.5审计的审查、分析和报告委托方和外包服务商应对审计记录进行审查、分析并报告敏感事件：a)能够根据不同审计类别对审计记录进行检索和处理。审计类别包括用户身份、事件类型、事件发生位置、事件发生时间以及事件涉及的IP地址和系统资源等。b)定期对审计记录进行审查和分析，以发现非授权访问委托方业务和数据等不当或异常活动，并向系统管理员报告。6.5.6持续监视委托机构应持续监视外包服务商提供外包服务的全过程：定期评估外包活动信息安全执行情况，以确保信息技术服务的信息安全质量和连续性。6.6人员安全DB14/T1251—20166.6.1安全组织外包服务商应建立或指定负责外包活动信息安全的部门：a)负责保护本机构承载的委托方业务和数据的安全。b)处理涉及委托方的信息安全事件。c)组织培训、应急演练等活动。d)制定、实施面向委托方信息安全的服务规章制度，并传达至本机构所有相关人员。e)定期或在信息安全策略或计划发生变更时，评审和更新信息安全规章制度，以确保其持续适用和有效。f)对本机构其他部门涉及委托方信息安全的活动提出意见、建议，并在报经本机构主管领导同意后，监督有关活动的实施。g)向委托方提交审计记录、事件处理报告、应急演练计划等重要文档。6.6.2岗位风险与职责外包服务商应制定与外包活动有关的岗位清单：a)标识出所有岗位的风险。b)建立上岗人员的筛选准则。c)根据岗位风险，明确所有岗位的信息安全职责。6.6.3人员离职外包服务商一旦决定终止与某外包服务人员的雇佣关系，应：a)事先告知委托方。b)要求该外包服务人员返还委托方业务和数据。c)立即禁止该人员对委托方业务和数据的访问。d)终止或撤销与该人员相关的任何身份鉴别物或凭证。e)与该人员进行离职面谈，包括约定离职后不得利用掌握的信息和便利条件危害委托方的业务和数据。f)确保之前由该人员控制的信息和信息系统仍然可用。g)管理层和信息系统关键岗位人员离职时，要求其承诺离职后的保密要求。6.6.4人员调动外包服务商应对外包服务人员的调动实施安全控制：a)在人员被再分配或调动至其他内部岗位时，评审和确认是否有必要保留其对系统或设施的逻辑和物理访问权限。b)在正式下达调令后的一周或更短时间内，启动再分配或调动行动，不得无故拖延。c)修改原有的访问授权。6.6.5人员处罚外包服务商应对外包服务人员建立人员处罚程序：a)对于违反信息安全规章制度的人员，启动处罚程序。b)在启动处罚程序时，通知本机构相关部门，通报受处罚人员及处罚原因。6.6.6安全培训DB14/T1251—2016外包服务商应对本机构外包服务人员、委托方及其他有关人员（包括管理层人员和合同商）提供信息安全意识培训：a)在以下情况下实施培训：1)本机构外包服务人员、委托方及其他有关人员接受初始培训时。2)承载的委托方业务系统发生变更时。b)在以下情况下为承担外包安全角色和职责的人员提供基于角色的安全技能培训：1)被授权访问信息系统或者执行所分配的职责之前。2)承载的委托方业务系统发生变更时。c)记录信息系统安全培训活动，包括基础的安全意识培训和特定的信息系统安全培训。6.7物理与环境安全6.7.1物理设施与设备选址外包服务商应确保承载委托方业务和数据的数据中心和服务器处于安全的物理位置：对数据中心和服务器面临的潜在物理和环境危险进行评估，形成评估报告，并对风险作出处置。6.7.2委托方物理和环境规划委托方应对本机构的物理和环境作出规划，防止外包服务商非授权接触重要敏感信息：a)建立物理和环境安全策略，以及安全操作流程。b)将关键和重要敏感信息及信息处理设备控制在安全区域内，且该区域具有清晰的安全边界标6.7.3外包服务商物理和环境规划外包服务商应对本机构的物理和环境作出规划，防止承载委托方业务和数据的信息系统被非授权访问，合理划分机房物理区域，合理布置信息系统组件，以防范火灾、电磁泄露等物理和环境威胁以及非授权访问等人为威胁。6.7.4物理环境访问控制委托方应建立物理环境访问控制机制，对外包服务商的物理访问进行授权：a)对所有机房、重要办公空间实施物理访问授权，具体包括：在准许进入机房前验证其访问授权、使用门禁或警卫实施机房出入控制等。b)制定和维护外包服务人员的物理访问审计日志。c)确保钥匙、访问凭证以及其他物理访问设备的安全。d)定期或在钥匙丢失、访问凭证受损以及相关人员发生变动的情况下，更换钥匙和访问凭证。6.7.5物理访问监控委托方应设置物理访问监控设备：a)在本机构设置物理访问监控设备，使物理访问监控设备保持24小时开启，并制定对监控记录的授权查阅流程。b)当发生安全事件时，对物理访问日志进行查阅。6.7.6设备运送和移除委托方应：DB14/T1251—2016a)建立重要设备台帐，明确设备所有权，并确定责任人。b)对重要设备进入和离开机房进行授权和监控，并制定和维护相关记录。6.7.7资源管理委托方应：a)编制并维护与信息系统相关的资产清单，包括信息资产、软件资产、有形资产、应用业务相关资产、计算和通信设备等。b)标识出资产所有权、责任人、安全分类及所在位置等。c)根据资产的价值或重要性对资产进行标识，进行分级管理。d)对信息系统内不同业务相关信息，按其对安全性的不同要求分类并加以标识，进行分类管理。7.1服务商选择与供应链安全7.1.1服务商选择准则委托方应对潜在外包服务商进行风险评估，依据以下准则确定外包服务商：a)综合分析各方面的信息，包括执法部门披露的信息、信息安全通报、应急响应机构的风险提示、国家网络安全审查结果等，排除存在安全隐患的外包服务商。b)外包服务商的法人及主要业务人员、技术人员无犯罪记录，外包服务商具有固定的办公场所，具备保障信息技术服务安全实施的技术、财务等能力。c)对需要资质的信息技术服务，如信息安全测评、云计算等，外包服务商应已获得相应资质。d)外包服务商的员工中，所有参与外包活动的员工满足以下条件：1)持有相应服务所需的人员资质。2)定期接受信息安全培训，具有较强的信息安全意识。3)与外包服务机构签署了长期固定劳动合同，并且签订了保密协议。4)为中国公民。5)接受过本机构或政府主管部门组织的背景审查。e)外包服务商在中华人民共和国境内（港澳台地区除外）注册，由中国公民投资、中国法人投资或者国家投资注册成立，外包服务商处理委托方业务和数据的数据中心、服务器位于中国境内（港澳台地区除外）。f)基于成功案例、历史合作关系、资本关系、法律管辖权、合同承诺等因素，委托方与外包服务商之间已建立并保持一定程度的信任关系。7.1.2服务外包合同委托方应与外包服务商签署服务外包合同，合同应包含以下几方面内容：a)制定信息安全条款，具体内容包括但不限于：1)服务外包信息安全目标和衡量标准。2)服务外包信息安全保障范围和费用。3)不得占有服务过程中产生的任何资产。4)不得以服务为由强制要求购买、使用指定产品。5)不泄露委托方重要敏感信息的信息安全承诺。6)服务外包过程中的知识产权归属。DB14/T1251—20167)明示外包服务机构在使用和处理数据过程中的所有权、边界控制等要求。8)明示外包服务机构接受信息安全主管部门监督检查的责任义务。9)服务外包意外终止或变更的要求。b)在信息安全影响因素发生变更后，及时修订信息安全条款。c)确保信息安全条款被外包服务机构及其服务人员所周知。d)确保外包服务商承诺对委托方的信息安全负责，不利用提供服务的便利危害委托方业务和数据的安全，不在未获得明确授权情况下泄露服务过程中获取的委托方数据。e)确保外包服务商承诺未经委托方书面许可不将服务进行分包。f)确保外包服务商的信息系统中，承载委托方业务和数据的信息系统接受与委托方信息系统同等的信息安全监督管理，并采取与委托方信息系统同等强度的信息安全防护措施。g)明确定义服务退出条件，包括但不限于以下内容：1)当服务合同到期后的正常退出条件。2)当服务发生错误且不能在一个有效时间内处理完成的退出条件。3)与外包服务机构协商达成一致的合同撤销退出条件。4)服务合同内容的修改或调整退出条件。h)建立服务退出策略中有关信息安全的管理要求：1)依据不同的服务退出条件，定义服务退出过程中及退出后的管理角色和职责。2)保证信息技术服务信息安全质量在退出阶段能够维持服务合同中的信息安全管理要求。3)在服务退出过程中，退还所有服务涉及的文档。4)保证在服务合同终止之后对服务内容和信息的保密性要求。5)将政府部门的数据有效地消除或移除，确保数据不被其他组织或个人公开。6)当服务失败或企业破产等突发情况发生时，保留继续雇用服务人员开展服务工作的权利。i)外包服务商在服务退出时的信息安全承诺，包括但不限于以下内容：1)及时删除信息技术服务过程中生成的子账户或子功能。2)在服务退出过程中，退还所有委托方的数据和文档。3)在合理的时间内删除所有委托方的数据和文档。j)外包服务商承诺不在未获得明确授权情况下向境外传输委托方的数据。7.1.3供应链安全外包服务商应实施以下供应链安全措施：a)明确有哪些服务或采购的产品对委托方的业务和数据可能会造成严重影响，并确保涉及外包服务的重要设备通过国家和地方主管部门规定的安全检测。b)向委托方承诺，不使用含有恶意代码的产品、有缺陷产品或假冒产品。c)对外包服务所涉及的产品开发环境、信息存储设备等实施安全控制。d)对信息技术外包服务交付物采取可信或可控的分发、交付和仓储手段。e)承载委托方业务和数据的所有信息系统组件均可追踪至下级供应商，且对下级供应商的安全实施了进一步的核查，并建立了评价下级供应商安全态势的准则，与下级供应商签订了安全合同。7.1.4外包服务商服务环境安全外包服务商应确保其承载委托方业务和数据的信息系统满足以下要求：a)将信息安全纳入信息系统生命周期，确保信息安全与信息化同步规划、同步建设、同步运行。b)已经获得与委托方信息系统同样安全等级的测评。DB14/T1251—2016c)对信息系统的安全措施进行清晰描述，例如安全功能、机制、安全管理制度等，并向委托方提供详细说明。7.1.5开发安全外包服务商在为委托方提供系统设计、开发等服务时，应满足以下要求：a)提供交付物时的缺省配置为安全配置，且已删除所有测试接口，不含有后门或其他不必要的功b)确保系统开发人员接受了软件开发安全培训。c)制定明确的开发规范，在规范中明确以下事项：1)所开发系统的安全需求。2)开发过程中使用的标准和工具。3)开发过程中使用的特定工具选项和工具配置。d)采取有关措施，确保开发过程的完整性和工具变更的完整性。e)定期审查开发过程、标准、工具以及工具选项和配置。f)在开发过程的初始阶段定义质量度量标准，并定期检查质量度量标准的落实情况。g)确定安全问题追踪工具，并在开发过程期间使用。h)对所开发的系统执行漏洞分析，明确漏洞利用的可能性，确定漏洞消减措施。i)即使在交付外包服务后，也应跟踪漏洞情况，发现漏洞后及时通知委托方，并向委托方提供经验证的漏洞补丁。j)在开发和测试环境使用生产数据时，应先行批准、记录并进行保护。k)对所开发的外包服务信息系统及其组件或服务进行安全测试。1)制定并实施安全评估计划。2)更正在安全评估过程中发现的脆弱性和不足。3)使用静态代码分析工具识别常见缺陷，并记录分析结果。4)实施威胁和脆弱性分析，并测试或评估已开发完成的交付物。l)提供能够验证软件和固件组件完整性的方法，如哈希算法。m)提供对硬件组件进行完整性验证的方法，如防伪标签、可核查序列号、防篡改技术等。7.1.6系统文档外包服务商在服务结束后应向委托方提交以下系统文档：a)管理员文档，至少应涵盖以下信息：1)所开发的信息系统及其组件或服务的安全配置，以及安装和运行说明。2)安全特性或功能的使用和维护说明。3)与管理功能有关的配置和使用方面的注意事项。b)用户文档，至少应涵盖以下信息：1)用户可使用的安全功能或机制，以及对如何有效使用这些安全功能或机制的说明。2)有助于用户更安全地使用信息系统及其组件或服务的方法或说明。3)对用户安全责任和注意事项的说明。7.1.7培训外包服务商应对委托方提供培训，以帮助委托方正确使用所交付系统或产品中的安全功能、措施和机制。DB14/T1251—20167.2访问控制7.2.1标识符管理委托方应通过以下步骤管理外包服务人员在信息系统中的标识符：a)明确由专门的授权人员为外包服务人员分配个人、组、角色或设备标识符。b)将标识符分配给有关个人、组、角色或设备。c)在服务结束后禁用外包服务人员的标识符。d)在合理的时间段内防止对用户或设备标识符的重用。7.2.2鉴别凭证管理委托方应通过以下步骤管理外包服务人员的鉴别凭证：a)验证鉴别凭证接收对象（个人、组、角色或设备）的身份。b)确定鉴别凭证的初始内容。c)确保鉴别凭证能够有效防止伪造和篡改。d)针对鉴别凭证的初始分发、丢失处置以及收回，建立和实施管理规程。e)保护鉴别凭证内容，以防泄露和篡改。f)当组或角色账号的成员资格发生变化时，变更该账号的鉴别凭证。g)在服务结束后收回鉴别凭证。h)明确鉴别凭证的最小和最大生存时间限制以及再用条件。i)要求在一定时间段之后更新鉴别凭证。7.2.3数据静态保护外包服务商应采取以下措施，防止其信息系统中承载的委托方业务或数据被非授权访问：a)对委托方的业务和数据实施严格的访问控制，确保未经委托方授权的人员不能访问其业务和数据，包括外包服务商。b)部署数据挖掘检测，对系统中存储的委托方数据受到的数据挖掘和大数据分析行为能够及时发7.2.4数据流控制外包服务商应在确保委托方隐私权和安全利益的前提下，对承载委托方业务和数据的信息系统实施数据流控制措施：a)控制委托方数据在系统内或互连系统间流向第三方。根据实际情况，数据流控制策略的实现方式可包括：将相关数据属性（如数据内容和数据结构）、源与目的地对象等作为数据流控制的决策基础。b)必要时对数据流实施人工审查。c)在不同的安全域之间传输信息时，检查信息中是否存在敏感信息，并遵循相关安全策略，禁止传输此类信息。7.2.5最小特权委托方应按照最小特权原则，赋予外包服务商在本系统、本机构中的逻辑和物理访问权限：a)为外包服务商提供的访问权限应是其完成外包服务所必需的，符合本机构的业务需求。b)将特权功能的执行纳入信息系统需要审计的事件之中。DB14/T1251—2016c)确保具有访问系统安全功能或安全相关信息的特权账号或角色用户，当访问非安全功能时，使用非特权账号或角色。7.2.6边界保护外包服务商应对承载委托方业务和数据的信息系统实施边界保护措施：a)在连接外部系统的边界和内部关键边界上，对通信进行监控；在访问系统的关键逻辑边界上，对通信进行监控。b)将允许外部公开直接访问的组件，划分在一个与内部网络逻辑隔离的子网络上。并确保允许外部人员访问的组件与允许委托方访问的组件在逻辑层面实现严格的网络隔离。c)确保与外部网络或信息系统的连接只能通过严格管理的接口进行，该接口上应部署有边界保护设备。7.2.7数据传输保护外包服务商应对承载委托方业务和数据的信息系统实施数据传输保护措施，例如实施加密机制，以防止委托方的业务或信息被非授权访问、篡改、使用、复制或删除。7.2.8远程访问委托方应实施以下远程访问措施，严格管理外包服务商对委托方信息系统的远程访问：a)明确远程访问使用条件、配置和连接要求，并经信息安全主管领导批准。b)采取有关措施保证远程访问的安全，如多因子认证、VPN（虚拟专用网）、数字证书等。c)在每一次远程连接前，对远程访问进行单独授权，在到达规定的时间或单次外包活动结束后，终止远程访问。d)确保所有远程访问只能经过有限数量的、受管理的访问控制点。e)对远程执行特权命令进行限制（如创建系统账号、配置访问授权、执行系统管理功能、审计系统事件或访问事件日志等）。仅在必要情况下，才能通过远程访问的方式，授权执行特权命令或访问安全相关信息，并采取更严格的保护措施且进行审计。7.3维护7.3.1受控维护委托方应对外包服务商在本系统中的运维活动采取以下安全管理措施：a)根据信息系统组件的规格说明以及自身的业务需求，对信息系统组件的维护和修理进行规划、实施、记录，并对维护和修理记录进行审查。b)审批和监视所有维护行为，包括现场维护、远程维护，以及对设备的异地维护。c)在将信息系统组件转移到外部进行非现场的维护或维修前，应获得本机构信息安全主管领导的批准。d)在将信息系统组件转移到外部进行非现场的维护或维修前，应对各类介质进行净化，清除其中的信息。e)在对信息系统或组件进行维护或维修后，检查所有可能受影响的安全措施，以确认其仍正常发挥功能。f)在维护记录中，至少应包括：维护日期和时间、维护人员姓名、陪同人员姓名、对维护活动的描述、被转移或替换的设备列表（包括设备标识号）等信息。7.3.2维护工具DB14/T1251—2016委托方应采取以下措施，审批、控制并监视维护工具的使用：a)检查由维护人员带入设施内部的维护工具，以确保维护工具未被不当修改。b)在使用诊断或测试程序前，对其进行恶意代码检测。c)为防止具有信息存储功能的维护设备在非授权情况下被转移出控制范围，采取以下一种或多种措施，并获得本机构信息安全主管领导的批准：1)确认待转移设备中没有委托方的信息。2)净化或破坏设备。7.3.3远程维护委托方应对远程维护采取以下安全措施：a)针对远程维护链接及诊断链接的建立，明确规定有关策略和规程，对每次远程维护和诊断进行审批和监视。b)建立和保存对远程维护和诊断活动的记录。c)对所有远程维护和诊断活动进行审计，并定期对所有远程维护和诊断会话的记录进行审查。d)仅允许使用事先报备、符合委托方要求并经批准的远程维护和诊断工具，例如可要求远程维护和诊断活动中所有流入和流出的信息均对委托方可见。7.3.4维护人员委托方应采取以下措施，加强对维护人员的安全管理：a)建立对维护人员的授权流程，对已获授权的人员建立列表。b)确保只有列表中的维护人员，才可在没有人员陪同时进行系统维护；不在列表中的人员，必须在授权且技术可胜任的人员陪同与监管下，才可开展维护活动。7.3.5及时维护委托方应建立重要系统组件的备品备件列表，并要求外包服务商提供相应的备品备件，便于在发生故障时使信息系统尽快投入运行。7.3.6外包服务商系统维护外包服务商应对本机构承载委托方业务和数据的信息系统进行安全维护，并定期将维护记录向委托方提交。7.3.7变更控制委托方应采取以下变更控制措施，防止外包服务商对委托方信息系统和承载委托方业务和数据的信息系统进行非授权更改：a)明确信息系统中有哪些变更需要包含在受控配置列表中，如主机配置项、网络配置项等。b)建立对受控配置进行变更的授权程序。c)审查所提交的受控配置变更事项，根据安全影响分析结果决定批准或否决，并进行记录。d)保留信息系统中受控配置的变更记录。e)定期对受控配置变更活动进行审查。f)在每次实施变更之前，对变更项进行分析，以判断该变更事项对信息安全带来的潜在影响。g)要求外包服务商实施变更之前，对受控配置变更项进行测试、验证和记录。h)限制外包服务商对生产环境中的信息系统及其硬件、软件和固件进行直接变更i)定期对外包服务商掌握的变更权限进行审查和再评估。DB14/T1251—2016j)要求外包服务商对其机构内承载委托方业务和数据的信息系统实施变更控制，明确受控配置列表，重大变更应事先得到委托方批准。7.3.8信息安全管理策略外包服务商应制定信息安全管理策略，包括：a)明确管理目标与范围，制定包括系统设施和操作等内容的系统安全目标与范围计划文件。b)为达到相应等级技术要求，提供相应的管理保证。c)提供对信息系统进行基本安全保护的安全功能和安全管理措施，确保安全功能达到预期目标，使信息免遭非授权的泄露和破坏，基本保证信息系统安全运行。d)建立相应的安全管理机构，制定相应的安全操作规程。e)制定信息系统风险管理计划。f)提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措施，从整体上保护信息免遭非授权的泄露和破坏，保证信息系统安全正常运行。g)提供对信息系统进行强制安全保护的能力，并采取必要的强制性安全管理措施，确保数据信息免遭非授权的泄露和破坏，保证信息系统安全运行。7.3.9信息安全管理规定外包服务商应制定以下几方面内容：a)制定基本的信息安全管理规定，包括信息安全管理规定、系统安全管理规定、数据安全管理规定、防病毒规定、机房安全管理规定、设备使用管理规定、人员安全管理规定、安全审计管理规定、用户管理规定、风险管理规定、信息分类分级管理规定、安全事件报告规定、事故处理规定、应急管理规定和灾难恢复管理规定等以及相关规程。b)制定全面的信息安全管理规定，包括：1)机房、主机设备、网络设施、物理设施分类标记等系统资源安全管理规定。2)安全配置、系统分发和操作、系统文档、测试和脆弱性评估、系统信息安全备份和相关的操作规程等系统和数据库安全管理规定。3)网络连接检查评估、网络使用授权、网络检测、网络设施（设备和协议）变更控制和相关的操作规程等网络安全管理规定。4)应用安全评估、应用系统使用授权、应用系统配置管理、应用系统文档管理和相关的操作规程等应用安全管理规定。5)人员安全管理、安全意识与安全技术教育、操作安全、操作系统和数据库安全、系统运行记录、病毒防护、系统维护、网络互联、安全审计、安全事件报告、事故处理、应急管理、灾难恢复和相关的操作规程等运行安全管理规定。6)信息分类标记、涉密信息管理、文档管理、存储介质管理、信息披露与发布审批管理、第三方访问控制和相关的操作规程等信息安全管理规定。7.4事件处理7.4.1事件处理计划为及时应对承载委托方业务和数据的信息系统可能发生的信息安全事件，外包服务商应制定事件处理计划：a)事件处理计划应包括：1)说明启动事件处理计划的条件和方法。DB14/T1251—20162)说明其机构内与事件处理有关的组织架构。3)定义需要报告的安全事件。4)定义必要的资源和管理支持。5)提供事件处理能力的度量目标。b)定期审查和修订事件处理计划。c)事件处理计划应得到委托方的同意，并告知委托方和外包服务商的所有相关部门与人员。d)防止事件处理计划受到非授权泄露和更改。7.4.2事件处理活动外包服务商应采取以下措施，对承载委托方业务和数据的信息系统发生的信息安全事件进行处置：a)为安全事件的处理提供必需的资源和管理支持。b)将在事件处理活动中获得的经验，纳入事件处理、培训及演练计划，并实施相应的变更。c)协调应急响应活动与事件处理活动，并与相关外部组织（如国家和地方信息安全应急处理机构）进行协调。d)使用自动机制支持事件处理过程。7.4.3事件报告承载委托方业务和数据的信息系统发生信息安全事件后，外包服务商应及时启动事件报告机制：a)当发现可疑的安全事件时，应立即向委托方报告有关情况。b)建立事件报告渠道，当发生影响较大的安全事件时，向国家和地方应急响应组织及有关信息安全主管部门报告。c)使用自动机制支持事件报告过程。7.4.4事件处理支持外包服务商应提供以下事件处理支持：a)落实事件处理所需的各类支持资源，为委托方处理、报告安全事件提供咨询和帮助。b)使用自动机制，为事件处理提供进一步的资源支持。c)在事件处理部门和外部的信息安全组织之间建立直接合作关系，能够在必要时获得外部组织的协助。7.4.5应急演练外包服务商应对本机构承载委托方业务和数据的信息系统开展应急演练：a)至少每年制定或修订应急演练计划，并与委托方充分协商，听取委托方意见。b)定期执行应急演练计划，并且至少在演练开始前一个月通知委托方和相关机构。c)记录和核查应急演练结果，并根据需要修订应急响应计划。d)与委托方和其他有关部门（如应急响应组织）进行沟通协调，为应急演练提供保障条件。e)向委托方提供演练记录、演练总结报告等。7.5审计7.5.1委托方审计委托方应对外包服务商的下述活动进行审计，并唯一掌握审计管理员权限：a)在线审计外包服务商在委托方信息系统中的所有活动。DB14/T1251—2016b)记录外包服务商在委托方物理场所内的所有活动。c)在线审计委托方的业务和数据委托给外包服务商后，所有对委托方业务和数据的访问、操作行7.5.2外包服务商审计外包服务商应开展以下审计：a)根据所获得的授权，审计本系统、本机构中所有对委托方业务和数据的访问、操作行为，并定期向委托方提交审计报告。b)对本机构承载委托方业务和数据的信息系统运行情况进行审计，并定期向委托方提交审计报7.5.3审计记录内容委托方和外包服务商的审计记录内容至少包括：a)事件类型、事件发生的时间和地点、事件来源、事件结果以及与事件相关的用户或主体的身份。b)会话、连接、事务、活动持续期、接收和发出的字节数量、用于诊断或标识事件的附加信息报文、用于描述和标识行动客体或资源的特征等信息。7.5.4审计记录保护委托方和外包服务商应对审计记录提供以下保护：a)根据审计记录存储需求，配置审计记录存储容量。b)当审计记录存储容量即将用完时，例如剩余10%，向审计管理员报警。c)当审计记录存储容量用完时，覆盖最早的审计记录，不得中断审计。d)当审计过程失败时，向审计管理员报警。e)对审计记录和审计工具实施访问控制机制，防止非授权访问、篡改或删除。f)外包服务商应向委托方提供证据，证明所有提供给委托方的审计数据都是真实、完整的，未被修改、隐藏或删除。7.5.5审计的审查、分析和报告委托方和外包服务商应对审计记录进行审查、分析并报告敏感事件：a)能够根据不同审计类别对审计记录进行检索和处理。审计类别包括用户身份、事件类型、事件发生位置、事件发生时间以及事件涉及的IP地址和系统资源等。b)定期对审计记录进行审查和分析，以发现非授权访问委托方业务和数据等不当或异常活动，并向系统管理员报告。c)当法律法规、委托方的需求或信息系统面临的威胁环境发生变化时，调整对审计记录进行审查、分析、报告的策略。d)使用自动机制对审查、分析和报告过程进行整合，以支持对可疑活动的调查和响应。7.5.6持续监视委托机构应持续监视外包服务商提供外包服务的全过程：a)定期评估外包活动信息安全执行情况，以确保信息技术服务的信息安全质量和连续性。b)定期评估内外部信息安全风险和威胁变化情况，必要时调整对外包服务机构提出的安全要求，具体评估内容包括：1)本机构的组织机构、人员管理、数据管理等随着信息技术服务执行而面临的新脆弱性。DB14/T1251—20162)外包服务商及其人员的安全性和可靠性。3)信息技术服务类型、服务方式、服务产品等要素的调整而造成的新威胁。4)信息安全事件的处置措施准备情况。c)根据评估和审计结果，提出新的信息安全风险预防措施和改进措施，并报主管领导批准。d)外包服务商应向委托方提供审计分析报告，该报告至少包括下述内容，以便对外包服务商的服务情况进行详细监管：1)提供的外包服务指标是否达到服务级别协议的要求。2)承载委托方业务和数据的信息系统的信息安全状态的整体描述。3)审计中发现的异常情况以及处置情况。4)涉及委托方重要业务和数据的敏感操作的情况及其统计分析。5)承载委托方业务和数据的信息系统的远程访问的总体情况及其统计分析。7.5.7时间戳委托机构和外包服务商应对审计机制设置时间戳：使用信息系统内部系统时钟生成审计记录的时间戳，并满足秒级的时间颗粒度。7.6人员安全7.6.1安全组织外包服务商应建立或指定负责外包活动信息安全的部门：a)负责保护本机构承载的委托方业务和数据的安全。b)处理涉及委托方的信息安全事件。c)组织培训、应急演练等活动。d)制定、实施面向委托方信息安全的服务规章制度，并传达至本机构所有相关人员。e)定期或在信息安全策略或计划发生变更时，评审和更新信息安全规章制度，以确保其持续适用和有效。f)对本机构其他部门涉及委托方信息安全的活动提出意见、建议，并在报经本机构主管领导同意后，监督有关活动的实施。g)向委托方提交审计记录、事件处理报告、应急演练计划等重要文档。7.6.2岗位风险与职责外包服务商应制定与外包活动有关的岗位清单：a)标识出所有岗位的风险。b)建立上岗人员的筛选准则。c)根据岗位风险，明确所有岗位的信息安全职责。d)对关键岗位进行职责分离，并将职责分离情况记录在案，通过访问控制措施进行落实。e)自行或委托第三方机构对上岗人员进行背景审查，将所有相关人员背景审查情况报告委托方。7.6.3人员离职外包服务商一旦决定终止与某外包服务人员的雇佣关系，应：a)事先告知委托方。b)要求该外包服务人员返还委托方业务和数据。c)立即禁止该人员对委托方业务和数据的访问。DB14/T1251—2016d)终止或撤销与该人员相关的任何身份鉴别物或凭证。e)与该人员进行离职面谈，包括约定离职后不得利用掌握的信息和便利条件危害委托方的业务和数据。f)确保之前由该人员控制的信息和信息系统仍然可用。g)管理层和信息系统关键岗位人员离职时，要求其承诺离职后的保密要求。h)管理层和信息系统关键岗位人员离职时，对其进行离岗安全审查。7.6.4人员调动外包服务商应对外包服务人员的调动实施安全控制：a)在人员被再分配或调动至其他内部岗位时，评审和确认是否有必要保留其对系统或设施的逻辑和物理访问权限。b)在正式下达调令后的一周或更短时间内，启动再分配或调动行动，不得无故拖延。c)修改原有的访问授权。7.6.5第三方人员安全外包服务商应对来访本机构并可能接触委托方业务和数据的第三方人员实施安全控制措施：a)提出第三方供应商（如合同商、外部应用提供商等）的人员安全要求，包括安全角色和责任。b)要求第三方供应商遵守本机构的人员安全规章制度。c)监视第三方供应商的合规情况。7.6.6人员处罚外包服务商应对外包服务人员建立人员处罚程序：a)对于违反信息安全规章制度的人员，启动处罚程序。b)在启动处罚程序时，通知本机构相关部门，通报受处罚人员及处罚原因。c)将处罚情况报告委托方，并根据与委托方的合同要求，由委托方追溯受处罚人员的刑事或民事责任。7.6.7安全培训外包服务商应对本机构外包服务人员、委托方及其他有关人员（包括管理层人员和合同商）提供信息安全意识培训：a)在以下情况下实施培训：1)本机构外包服务人员、委托方及其他有关人员接受初始培训时。2)承载的委托方业务系统发生变更时。b)在以下情况下为承担外包安全角色和职责的人员提供基于角色的安全技能培训：1)被授权访问信息系统或者执行所分配的职责之前。2)承载的委托方业务系统发生变更时。c)记录信息系统安全培训活动，包括基础的安全意识培训和特定的信息系统安全培训。d)在安全意识培训中加入有关发现和报告内部威胁的培训。e)将人员培训记录保存两年以上。7.7物理与环境安全7.7.1物理设施与设备选址DB14/T1251—2016外包服务商应确保承载委托方业务和数据的数据中心和服务器处于安全的物理位置：a)对数据中心和服务器面临的潜在物理和环境危险进行评估，形成评估报告，并对风险作出处置。b)控制机房位置信息的知悉范围。c)确保机房位于中国境内。7.7.2委托方物理和环境规划委托方应对本机构的物理和环境作出规划，防止外包服务商非授权接触重要敏感信息：a)建立物理和环境安全策略，以及安全操作流程。b)将关键和重要敏感信息及信息处理设备控制在安全区域内，且该区域具有清晰的安全边界标c)将服务外包引入的开发、测试等操作设备，与原有的设备安全隔离。d)确保外包服务人员在执行安全控制区域内的外包服务活动时，始终处于有效监管状态。7.7.3外包服务商物理和环境规划外包服务商应对本机构的物理和环境作出规划，防止承载委托方业务和数据的信息系统被非授权访a)合理划分机房物理区域，合理布置信息系统组件，以防范火灾、电磁泄露等物理和环境威胁以及非授权访问等人为威胁。b)提供足够的物理空间、电源容量、网络容量、制冷容量，以满足委托方业务所需基础设施快速扩容的需求。7.7.4物理环境访问控制委托方应建立物理环境访问控制机制，对外包服务商的物理访问进行授权：a)对所有机房、重要办公空间实施物理访问授权，具体包括：在准许进入机房前验证其访问授权、使用门禁或警卫实施机房出入控制等。b)制定和维护外包服务人员的物理访问审计日志。c)确保钥匙、访问凭证以及其他物理访问设备的安全。d)定期或在钥匙丢失、访问凭证受损以及相关人员发生变动的情况下，更换钥匙和访问凭证。e)涉及重要敏感信息时，对外包服务人员的行为进行人工陪同和监视。7.7.5物理访问监控委托方应设置物理访问监控设备：a)在本机构设置物理访问监控设备，使物理访问监控设备保持24小时开启，并制定对监控记录的授权查阅流程。b)定期或当发生安全事件时，对物理访问日志进行查阅。c)在外包服务商处设置物理访问监控设备，监控各类物理访问委托方业务和数据的行为。d)安装物理入侵警报装置。7.7.6设备运送和移除委托方应：a)建立重要设备台帐，明确设备所有权，并确定责任人。b)对重要设备进入和离开机房进行授权和监控，并制定和维护相关记录。DB14/T1251—20167.7.7资源管理委托方应：a)编制并维护与信息系统相关的资产清单，包括信息资产、软件资产、有形资产、应用业务相关资产、计算和通信设备等。b)标识出资产所有权、责任人、安全分类及所在位置等。c)根据资产的价值或重要性对资产进行标识，进行分级管理。d)对信息系统内不同业务相关信息，按其对安全性的不同要求分类并加以标识，进行分类管理。8增强级8.1服务商选择与供应链安全8.1.1服务商选择准则委托方应对潜在外包服务商进行风险评估，依据以下准则确定外包服务商：a)综合分析各方面的信息，包括执法部门披露的信息、信息安全通报、应急响应机构的风险提示、国家网络安全审查结果等，排除存在安全隐患的外包服务商。b)外包服务商的法人及主要业务人员、技术人员无犯罪记录，外包服务商具有固定的办公场所，具备保障信息技术服务安全实施的技术、财务等能力。c)对需要资质的信息技术服务，如信息安全测评、云计算等，外包服务商应已获得相应资质。d)外包服务商的员工中，所有参与外包活动的员工应满足以下条件：1)持有相应服务所需的人员资质。2)定期接受信息安全培训，具有较强的信息安全意识。3)与外包服务机构签署了长期固定劳动合同，并且签订了保密协议。4)为中国公民。5)接受过本机构或政府主管部门组织的背景审查。e)外包服务商在中华人民共和国境内（港澳台地区除外）注册，由中国公民投资、中国法人投资或者国家投资注册成立，外包服务商处理委托方业务和数据的数据中心、服务器应位于中国境内（港澳台地区除外）。f)基于成功案例、历史合作关系、资本关系、法律管辖权、合同承诺等因素，委托方与外包服务商之间已建立并保持一定程度的信任关系。g)企业运转过程和安全措施相对透明，并可向委托方提供相关证明材料，不以不合理的理由推诿。h)在能提供相同产品的多个不同供应商中作选择，以防范供应商锁定风险。8.1.2服务外包合同委托方应与外包服