39、信息安全外包运维管理制度

第一章 总 则

第一条 为规范XXX单位信息安全外包服务工作，确保我单位网络与信息系统安全、稳定运行，保证我单位的信息安全，降低信息安全服务外包引发的风险，特制定本制度。

第二条 本制度适用XXX单位信息安全外包服务管理。

第二章 术语和定义

第三条 外包服务管理单位: XXX单位属于外包管理单位，是信息安全服务的管理和执行单位，督查处是外包服务管理的具体执行部门。

第四条 外包服务厂商:为XXX单位提供服务的软件开发商、产品供应商、系统集成商、设备维护商和安全服务提供商等。

第五条 信息安全外包服务: 信息化基础设施的安装、配置、运行维护及单位信息化的安全服务。

第三章 外包服务合同管理要求

第六条 网络与信息系统外包管理单位在实施外包服务立项前，与服务提供商签订的服务合同应根据外包服务需求、风险评估和资质审查结果确定其详细程度和重点。在外包合同或协议中应当明确以下内容，包括不限于：

a) 服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件；

b) 合规与内控要求，对法律法规及行业内部管理制度的遵从要求，监管的通报贯彻机制、服务提供商的内控措施； c) 服务连续性要求，服务提供商的业务连续性管理目标应当满足XXX单位业务连续性目标要求；

d) 或环境变化因素等在内的合同变更或终止的触发条件，外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排，包括信息、资料和实施的交接处置等过渡期间相关服务的安排；

e) 外包服务过程中产生、加工、交互的信息和知识产权的归属权，允许服务提供商使用的内容及范围，对服务提供商使用合法软、硬件产品的要求；

f) 服务要求或服务水平条款，至少包括如下内容：外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准及业务连续性要求遵守的情况、技术支持水平等。

第七条 网络与信息系统外包管理单位应当在合同或协议中明确服务提供商在安全和保密方面的责任，以及针对安全及保密要求所采取的具体措施，包括不限于：

a) 禁止服务提供商在合同范围内使用或者披露XXX单位相关信息系统信息，以防止信息被非授权使用；

b) 在合同或协议中约定服务提供商不得以XXX单位的名义展开活动；

c) 服务提供商在其发生信息安全事件时必须及时向XXX单位信息管理部门报告事件的影响以及处置和纠正措施。

第四章 外包服务安全管理

第 网络与信息系统外包管理单位应制定和落实信息安全管控措施，防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险，具体措施包括：

a) 对外包人员进行信息安全意识培训，提高风险管理意识，确保信息安全管控措施在外包服务过程中有效落实。 b) 对外包人员的管理按照相关信息系统第三方人员安全管理规定执行。

c) 明确外包活动需要使用的信息资产，包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络带宽、网络端口等，按“最小使用”原则进行隔离，经审批后进行“最小授权”。

d) 对重要或核心的信息系统开发交付物进行源代码检查和安全扫描。

e) 定期对服务提供商进行安全检查、获取服务提供商自评估或第三方评估报告。

第五章 外包服务监控与评价

第九条 网络与信息系统外包管理单位应当对外包服务进行持续监控，要求服务提供商建立阶段性服务目标及任务，并跟踪任务的执

行情况，及时发现和纠正服务过程中存在的各类异常情况。信息系统外包管理单位应当根据XXX单位信息安全的外包需求、合同、服务水平协议等建立明确的服务监控指标，并进行相应的监控，常见指标包含但不限于以下内容：

a) 网络与信息系统和基础设施的可利用率、设备的开机率； b) 故障次数、故障解决率、故障响应时间； c) 服务次数和外包系统使用满意度；

d) 各阶段业务需求的及时完成率、程序的缺陷数、需求变更率； e) 外包人员考核的合格率。

第十条 网络与信息系统外包管理单位每年对外包服务厂商及人员的年度目标完成情况、服务水平、服务质量、用户满意度、是否符合合同及质量标准等各方面进行年度综合考核和评估。

第六章 外包服务的中断与终止

第十一条 网络与信息系统外包管理单位应当考虑信息安全外包引入对业务连续性管理的影响，有针对性的完善业务连续性管理计划，包括但不限于：

a) 识别出重要业务所涉及的服务提供商和资源；

b) 通过合同协议等形式明确要求服务提供商需提前准备并维护好相关资源；

c) 对服务提供商的业务连续性管理进行监控，并评价其管理水平；

d) 在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。

第十二条 网络与信息系统外包管理单位应当针对重要外包服务中断的场景，拟定相应的应急计划，并定期进行演练，应考虑的因素包括但不限于以下内容：

a) 事件场景，如重要人员流失导致服务无法持续，服务提供商主动退出，因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等； b) 事件持续时间和恢复可能性； c) 事件影响范围和可能的应急措施； d) 服务提供商自行恢复服务的可能性和时间； e) 备选的服务提供商以及外包服务迁徙方案；

f) 外包服务过滤给XXX单位自行运作的可能性、时效及资源需求。

第十三条 对于无法满足外包服务要求或发生重大事件的情况，网络与信息系统外包管理单位应当在充分评估其影响及制定退出计划的前提下，考虑主动要求服务提供商终止服务，情节特别严重的，考虑取消准入资质。

第七章 第三方人员管理

第十四条 为加强与信息安全公司、产品供应商、业界专家、安全组织的沟通与合作或应急响应，应建立详细的外联单位联系表（内容至少包括外联单位的名称、联系人、地址、联系方式等）。

第十五条 第三方人员对敏感信息资产进行访问前，必须签订正式的合同及保密协议；在合同和保密协议中明确第三方人员的安全责任、必须遵守的安全要求以及违反要求的处罚等条款，对其允许访问的区域、系统、设备、信息等内容应有明确的规定。

第十六条 需要访问信息系统的第三方人员必须得到有关部门和领导的许可、授权，其访问权限必须得到严格的。第三方人员使用的工具需经过相关部门的安全检查。检查是否存在木马、漏洞，是否更新最新补丁等。

第十七条 与第三方人员共同协定现场工作规范并按照既定规范实施管理、落实运维人员或终端责任人全程陪同的策略以降低风险。

第十 第三方人员如需接入网络，应对其入息进行登记记录，入网登记记录应包含以下内容：IP地址、MAC地址、接入交换机端口、物理位置、使用人信息等文档资料。

第十九条 第三方人员进入机房需进行审批，审批记录应包含以下内容：第三方人员进入时间、离开时间、工作内容、工作权限以及本单位的陪同人员等，如需进入深圳市资源中心机房，需单位工作人员陪同并按照市资源中心机房相关规定进行申请及登记。

第二十条 在第三方人员进行远程访问之前，要严格鉴定访问者的身份，确保访问者为已授权人员。

第二十一条 负责第三方人员接待和管理的部门在第三方人员访问结束之后，要及时收回相关物品、资料并且终止其访问权限。

第二十二条 负责接待第三方人员的工作人员须有相应信息安全教育培训经验，并且具备良好的安全意识和风险识别能力。

第二十三条 应选择具有门、保密部门、密码管理部门资质认证的第三方公司进行信息安全合作，保障系统安全。

第八章 附录

第二十四条 本制度由XXX单位负责解释。 第二十五条 本制度自发布之日起试行。

附件1、第三方人员入网登记表

附件1、第三方人员设备入网登记表

第三方人员设备入网登记表 姓名 身份证号码 IP地址 接入交换机端口 杀毒软件 设备入网安全检查 所在单位 电话号码 MAC地址 物理位置 操作系统版本 是否存在木马 是□ 否□ 是否更新最新补丁 是□ 否□ 是否有漏洞 是□ 否□ 登记人员