信息安全外包運維治理制度第一章總則第一條為標準XXX單位信息安全外包效勞工作，確保我單位網絡與信息系統安全、穩定運行，保證我單位的信息安全，降低信息安全效勞外包引發的風險，特制定本制度。其次條本制度適用XXX單位信息安全外包效勞治理。其次章術語和定義第三條外包效勞治理單位:XXX單位屬于外包治理單位，是信息安全效勞的治理和執行單位，督查處是外包效勞治理的具體執行部門。第四條外包效勞廠商:為XXX單位供給效勞的軟件開發商、產品供給商、系統集成商、設備維護商和安全效勞供給商等。第五條信息安全外包效勞:信息化根底設施的安裝、配置、運行維護及單位信息化的安全效勞。第三章外包效勞合同治理要求第六條網絡與信息系統外包治理單位在實施外包效勞立項前，與效勞供給商簽訂的效勞合同應依據外包效勞需求、風險評估和資質審查結果確定其具體程度和重點。在外包合同或協議中應當明確以下內容，包括不限于：a）效勞范圍、效勞內容、工作時限及安排、責任安排、交付物要求以及后續合作中的相關限定條件；b）合規與內控要求，對法律法規及政府行業內部治理制度的遵從要求，監管1雌的通報貫徹機制、效別提合商的內才智昔施；c）效勞連續性要求，效勞供給商的業務連續性治理目標應當滿足XXX單位業務連續性目標要求；d）政策或環境變化因素等在內的合同變更或終止的觸發條件，外包效勞供給商在過渡期間應當履行的主要職責及合同變更或終止的過渡安排，包括信息、資料和實施的交接處置等過渡期間相關效勞的安排；e）外包效勞過程中產生、加工、交互的信息和學問產權的歸屬權，允許效勞供給商使用的內容及范圍，對效勞供給商使用合法軟、硬件產品的要求；f）效勞要求或效勞水平條款，至少包括如下內容：外包效勞的關鍵要素、效勞時效和可用性、數據的機密性和完整性要求、變更的掌握、安全標準及業務連續性要求遵守的狀況、技術支持水公平。第七條網絡與信息系統外包治理單位應當在合同或協議中明確效勞供給商在安全和保密方面的責任，以及針對安全及保密要求所實行的具體措施，包括不限于：a）制止效勞供給商在合同范圍內使用或者披露XXX單位相關信息系統信息，以防止信息被非授權使用；b）在合同或協議中商定效勞供給商不得以XXX單位的名義開放活動;c）效勞供給商在其發生信息安全大事時必需準時向XXX單位信息治理部門報告大事的影響以及處置和訂正措施。第四章外包效勞安全治理第八條網絡與信息系統外包治理單位應制定和落實信息安全管控措施，防范因外包活動引起的信息泄露、信息篡改、信息不行用、非法入侵、物理環境或設施患病破壞等風險，具體措施包括：a）對外包人員進展信息安全意識培訓，提高風險治理意識，確保信息安全管控措施在外包效勞過程中有效落實。b）對外包人員的治理依據相關信息系統第三方人員安全治理規定執行。c）明確外包活動需要使用的信息資產，包括場地、辦公設施、計算機、效勞器、軟件、婁攵據、信息、物理訪問掌握設備、賬號、網絡帶寬、網絡端口等，按〃最小使用〃原則進展隔離，經審批后進展〃最小授權〃。d）對重要或核心的信息系統開發交付物進展源代碼檢查和安全掃描。e）定期對效勞供給商進展安全檢查、獵取效勞供給商自評估或第三方評估報告。第五章外包效勞監控與評價第九條網絡與信息系統外包治理單位應當對外包效勞進展持續監控，要求效勞供給商建立階段，皎勞目標及任務，并跟蹤任務的執行狀況，準時覺察和訂正效勞過程中存在的各類特別狀況。信息系統外包治理單位應當依據XXX單位信息安全的外包需求、合同、效勞水平協議等建立明確的效勞監控指標，并進展相應的監控，常見指標包含但不限于以下內容：a）網絡與信息系統和根底設施的可利用率、設備的開機率；b）故障次數、故障解決率、故障響應時間；c）效勞次數和外包系統使用滿足度；d）各階E她務需求的準時完癖、程序的缺陷數、需求變更率；e）外包人員考核的合格率。第十條網絡與信息系統外包治理單位每年對外包效勞廠商及人員的年度目標完成狀況、效勞水平、效勞質量、用戶滿足度、是否符合合同及質量標準等各方面進展年度綜合考核和評估。第六章外包效勞的中斷與終止第十一條網絡與信息系統外包治理單位應當考慮信息安全外包引入對業務連續性治理的影響，有針對性的完善業務連續性治理打算，包括但不限于：a）識別出重要業務所涉及的效勞供給商和資源；b）通過合同協議等形式明確要求效勞供給商需提前預備并維護好相關資源；c）對效勞供給商的業務連續性治理進展監控，并評價其治理水平；d）在進展業務連續性打算演練時將相關的效勞供給商納入演練范圍。第十二條網絡與信息系統外包治理單位應當針對重要外包效勞中斷的場景，擬定相應的應急打算，并定期進展演練，應考慮的因素包括但不限于以下內容：a）大事場景，如重要人員流失導致效勞無法持續，效勞供給商主動退出，因資質變更、被收購、兼并或破產等緣由導致的效勞供給商被動退出等；b）大事持續時間和恢復可能性；c）大事影響范圍和可能的應急措施；d）效勞供給商自行恢復效勞的可能性和時間；e）備選的效勞供給商以及外包效勞遷徙方案；f）外包效勞過濾給XXX單位自行運作的可能性、時效及資源需求。第十三條對于無法滿足外包效勞要求或發生重大大事的狀況,網絡與信息系統外包治理單位應當在充分評估其影響及制定退出計劃的前提下，考慮主動要求效勞供給商終止效勞，情節特別嚴峻的,消準入資質。第七章第三方人員治理第十四條為加強與信息安全公司、產品供給商、業界專家、安全組織的溝通與合作或應急響應，應建立具體的外聯單位聯系表〔內容至少包括外聯單位的名稱、聯系人、地址、聯系方式等〕。第十五條第三方人員對敏感信息資產進展訪問前，必需簽訂正式的合同及保密協議；在合同和保密協議中明確第三方人員的安全責任、必需遵守的安全要求以及違反要求的懲罰等條款，對其允許訪問的區域、系統、設備、信息等內容應有明確的規定。第十六條需要訪問信息系統的第三方人員必需得到有關部門和領導的許可、授權，其訪問權限必需得到嚴格的限制。第三方人員使用的工具需經過相關部門的安全檢查。檢查是否存在木馬、漏洞，是否更最補丁等。第十七條與第三方人員共同協定現場工作標準并依據既定標準實施治理、落實運維人員或終端責任人全程伴隨的策略以降低風險。第十八條第三方人員如需接入網絡，應對其入網信息進展登記記錄，入網登記記錄應包含以下內容：IP地址、MAC地址、接入交換機端口、物理位置、使用人信息等文檔資料。第十九條第三方人員進入機房需進展審批，審批記錄應包含以下內容：第三方人員進入時間、離開時間、工作內容、工作權限以及本單位的伴隨人員等，如需進入深圳市資源中心機房，需單位工作人員伴隨并依據市資源中心機房相關規定進展申請及登記。其次十條在第三方人員進展遠程訪問之前，要嚴格鑒定訪問者的身份，確保訪問者為已授權人員。其次十一條負責第三方人員接待和治理的部門在第三方人員訪問完畢之后，要準時收回相關物品、資料并且終止其訪問權限。其次十二條負責接待第三方人員的工作人員須有相應信息安全教育培訓閱歷，并且具備良好的安全意識和風險識別力量。其次十三條應選擇具有公安部門、保密部門、密碼治理部門資質認證的第三方公司進展信息安全合作，保障系統安全。第八章附錄其次十四條本制度由XXX單位負責解釋。其次十五條本制度自公布之日起試行。附件1、第三方人員入網登記表附件1、第三方人員設備入網登記表第三方人員1姓名身份證