信息技术服务外包人员安全管理细则
信息技术外包服务安全管理制度
信息技术外包服务安全管理制度概述为确保信息技术外包服务的安全性、可靠性和稳定性,有效保护信息系统的机密性、完整性和可用性,本公司特制定本安全管理制度。
适用范围适用于本公司的信息技术外包服务,包括服务提供商和客户。
安全管理安全策略本公司要求所有服务提供商和客户在使用本公司的信息技术外包服务时,必须遵守公司的安全策略,包括但不限于:•保护机密性:避免机密信息泄露,并保护客户数据的机密性。
•保护完整性:确保数据不被篡改,并保护客户数据的完整性。
•保护可用性:确保数据可用,并保证客户对服务的访问可用性。
安全要求本公司要求所有服务提供商和客户在使用本公司的信息技术外包服务时,必须满足以下安全要求:•系统访问控制:只授权给必要的人员访问系统,确保系统安全。
•数据加密:对传输的数据进行加密,防止数据被窃取、篡改、伪造等。
•日志记录:记录系统的操作行为,确保系统安全性能监控。
•存储备份:备份数据,避免数据丢失。
安全控制本公司要求所有服务提供商和客户在使用本公司的信息技术外包服务时,必须实施以下安全措施:•网络段隔离:根据风险评估,将不同的网络隔离,防止攻击扩散和传播。
•系统审计:对系统进行定期审计,确保系统安全。
•安全审计:对系统进行定期安全审计,发现潜在的安全问题,并及时解决。
•威胁和漏洞分析:对威胁和漏洞进行分析,及时更新措施,以确保系统的稳定性和安全性。
安全评估本公司会定期对外包服务提供商的安全管理制度进行评估,确保外包服务的安全性、可靠性和稳定性。
安全培训本公司要求所有服务提供商和客户在使用本公司的信息技术外包服务时,必须接受相关的安全培训,了解本公司的安全政策和安全管理制度。
操作流程系统访问控制系统管理员根据权限设定用户和用户组,为用户授权并配置所需权限。
用户登录系统后,只能访问与其权限相对应的系统资源和数据。
数据加密所有的数据传输都必须采用加密协议,包括但不限于 SSL、TLS、SSH 等协议。
对重要数据进行适当的加密,采用 AES、DES 等安全算法。
服务外包人员安全管理制度
#### 第一章总则第一条为加强公司服务外包人员的安全管理,确保公司业务运营安全,降低安全风险,特制定本制度。
第二条本制度适用于公司所有外包服务人员,包括但不限于软件开发、市场营销、物流配送、售后服务等领域的服务外包人员。
#### 第二章安全管理原则第三条安全第一,预防为主。
外包服务人员安全管理应贯彻“安全第一,预防为主”的原则,加强安全意识,落实安全措施。
第四条责任明确,分工协作。
明确外包服务人员的安全责任,加强部门之间的协作,形成齐抓共管的安全管理格局。
第五条科学管理,持续改进。
运用科学的管理方法,不断优化安全管理制度,提高安全管理水平。
#### 第三章安全管理职责第六条公司安全管理职责:1. 制定外包服务人员安全管理制度,并监督执行;2. 对外包服务人员进行安全教育培训;3. 定期开展安全检查,及时发现并消除安全隐患;4. 对违反安全规定的行为进行严肃处理。
第七条部门安全管理职责:1. 负责外包服务人员的安全管理工作;2. 组织开展安全教育培训;3. 配合公司安全管理部门开展安全检查;4. 及时报告和处置安全隐患。
第八条外包服务人员安全管理职责:1. 遵守国家法律法规、公司规章制度和外包服务协议;2. 接受公司及部门的安全教育培训;3. 严格执行操作规程,确保安全生产;4. 发现安全隐患及时报告。
#### 第四章安全教育培训第九条公司应定期对外包服务人员进行安全教育培训,提高其安全意识和安全技能。
第十条安全教育培训内容:1. 国家安全生产法律法规;2. 公司安全管理制度;3. 事故案例分析;4. 安全操作规程;5. 应急救援知识。
#### 第五章安全检查与隐患整改第十一条公司应定期开展安全检查,及时发现并消除安全隐患。
第十二条安全检查内容:1. 外包服务人员的安全教育培训情况;2. 安全操作规程的执行情况;3. 安全防护设施的配备情况;4. 事故隐患的整改情况。
第十三条对检查中发现的安全隐患,应立即整改,确保整改到位。
信息技术外包服务安全管理制度
信息技术外包服务安全管理制度第一章总则第一条目的和依据为确保公司信息技术(以下简称“IT”)外包服务安全,保护信息资源安全和企业利益,订立本管理制度。
第二条适用范围本管理制度适用于公司的全部信息技术外包服务项目。
第三条定义1.信息技术外包服务:指由外部合作伙伴承接的与公司IT相关的业务或项目。
2.信息资源:指由公司产生、取得、加工和使用的全部信息,包含但不限于公司业务数据、知识产权、商业机密等。
3.外部合作伙伴:指与公司签订信息技术外包服务合同的第三方机构或个人。
第二章安全管理标准第四条安全评估与审查1.在与外部合作伙伴签订信息技术外包服务合同之前,公司应对其信息安全相关资质进行评估与审查。
2.评估与审查的内容包含但不限于外部合作伙伴的安全管理体系、技术本领、数据保护措施等。
第五条合同商定1.与外部合作伙伴签订的信息技术外包服务合同应包含明确的安全条款,商定各方在信息安全保障方面的责任和义务。
2.安全条款的内容应包含但不限于信息保密、数据隐私保护、安全检查与审计、应急响应等方面。
第六条保密措施1.外部合作伙伴应与公司签订保密协议,并对其员工进行保密培训,保证公司的商业机密和客户信息不被泄露。
2.外部合作伙伴应采取合理的技术和管理措施,确保公司的信息资源安全。
第七条数据隐私保护1.外部合作伙伴应对公司委托处理的数据严格保密,未经公司同意不得将数据用于其他目的。
2.外部合作伙伴应订立并执行数据安全掌控措施,防止数据泄露、窜改或丢失。
第八条安全检查与审计1.公司有权对外部合作伙伴进行安全检查和审计,确保其安全管理措施的有效性。
2.外部合作伙伴应乐观搭配公司的安全检查和审计工作,并及时整改发现的安全问题。
第九条应急响应1.外部合作伙伴应建立健全的安全事件应急响应机制,及时响应和处理安全事件,最大程度减少安全事故对公司的影响。
2.外部合作伙伴应将重点安全事件及时报告给公司,并与公司共同进行调查和处理。
第三章考核标准第十条考核内容1.公司将对外部合作伙伴的安全管理进行定期考核。
信息技术外包服务安全管理制度范文(二篇)
信息技术外包服务安全管理制度范文第一章总则第一条为了保护信息技术外包服务的安全性,加强对信息技术外包服务的管理,制定本制度。
第二条本制度适用于提供信息技术外包服务的组织,包括外包服务提供商和外包服务使用方。
第三条本制度的目的是确保信息技术外包服务的安全、规范和可靠,防范信息泄露、数据丢失和网络攻击等安全风险。
第四条信息技术外包服务安全管理的原则包括:规范性、科学性、可操作性、动态性和风险导向。
第二章外包服务安全管理体系第五条信息技术外包服务应建立完善的安全管理体系,包括组织安全管理、风险评估和安全控制等方面的内容。
第六条组织安全管理包括以下内容:建立外包服务安全管理机构和岗位,明确安全管理职责和权限;制定安全管理制度和规范,对外包服务的安全进行规定;建立安全培训体系,提高相关人员的安全意识和技能。
第七条风险评估包括以下内容:对外包服务的风险进行评估,制定风险控制措施;定期进行风险评估,及时发现和处理可能存在的安全风险。
第八条安全控制包括以下内容:建立合理的安全控制措施,包括物理安全、网络安全、应用安全等方面的控制;建立监控和报警机制,及时发现和应对安全事件;建立应急响应机制,处理安全事件和恢复服务。
第三章外包服务安全控制措施第九条外包服务提供商应建立完善的物理安全措施,包括:建立门禁控制制度,限制外来人员进入;安装安全防护设备,如视频监控和入侵报警系统;对关键机房和设备进行密钥和访问控制管理;定期进行安全巡检和演练。
第十条外包服务提供商应建立完善的网络安全措施,包括:建立网络防火墙和入侵检测系统,保护网络不受攻击;建立网络安全监控和日志审计机制,及时发现和应对网络安全事件;加密关键数据和通信内容,防止数据泄露。
第十一条外包服务提供商应建立完善的应用安全措施,包括:开发安全可靠的应用程序,防止应用层安全漏洞;建立应用程序访问控制和权限管理机制,规范应用程序的使用;定期对应用程序进行安全检测和修复,确保应用程序安全。
信息技术外包服务安全管理制度
信息技术外包服务安全管理制度一、引言信息技术外包服务越来越成为企业提高效率、降低成本的重要手段。
然而,随之而来的安全风险也变得越来越严峻。
为了保障企业信息资产的安全,确保外包服务的可信度和可用性,制定一套科学有效的信息技术外包服务安全管理制度是企业的迫切需求。
二、管理责任1. 信息技术外包服务安全管理制度应由企业的最高管理层负责制定和实施。
该制度应与企业的整体安全策略相协调,确保信息安全管理的一致性。
2. 各部门应按照信息技术外包服务安全管理制度的规定,明确各自的责任和权限,并在实施过程中进行监督和评估。
三、安全管理流程1. 外包服务供应商评估流程(1)明确所需外包服务的安全需求和标准。
(2)寻找合适的外包服务供应商,并进行初步评估。
(3)对供应商进行详细评估,包括对其安全措施、安全管理制度、安全事件处置能力等进行检查。
(4)评估结果出来后,对供应商进行等级评定,并将评估结果纳入供应商管理体系。
2. 外包合同签署流程(1)明确外包服务的安全要求,并将其写入合同中。
(2)合同签署前,要对外包供应商进行必要的安全培训和考核,确保其了解和能够执行合同中的安全要求。
(3)在合同中明确安全事件的处理责任和承担风险的措施。
3. 外包服务实施与监控流程(1)对外包服务的实施进行全程监控,及时发现和解决安全问题。
(2)与供应商建立安全事件通报机制,及时获取相关信息,并进行风险评估和处理。
四、安全要求1. 外包服务供应商应具备必要的安全认证和资质,如ISO27001等。
2. 外包服务供应商应建立健全的信息安全管理制度,包括安全政策、安全组织、安全技术、安全人员等。
3. 外包服务供应商应定期对其信息系统进行安全测试和漏洞修复,并确保系统的可用性和可靠性。
4. 外包服务供应商应对员工进行安全教育和培训,提高其安全意识和技能。
五、安全事件处置1. 外包服务供应商应建立健全的安全事件处置机制,及时响应和处理安全事件。
2. 外包服务供应商应与企业建立紧急联系方式,以便在发生安全事件时能够及时进行沟通和协调。
第三方和外包人员安全管理(信息化)
第三方和外包人员安全管理制度第一条第三方和外包人员安全管理包括外部人员分类及管理责任、基本安全、账户管理、计算机设备接入管理、远程访问管理、IT外部人员特别规定以及违规处罚。
第二条外部人员须填写《外部人员信息安全承诺书》(附件十)。
第三条外部人员分类及管理责任:(一)外部人员分为如下四类:(1)贵宾外部人员:指由上级领导或本机构领导直接陪同或委派专人陪同,在本机构信息技术部安全区域内进行活动的外部人员;(2)临时外部人员:指由于业务关系、行政关系或其他特殊原因,在本机构安全区域内进行活动,且活动时间不超过一天的外部人员;(3)短期外部人员:指由于业务关系、行政关系或其他特殊原因,在本机构信息技术部安全区域内进行活动,且活动时间在一周以上、三个月以内的外部人员;(4)长期外部人员:指由于业务关系、行政关系或其他特殊原因,在本机构安全区域内进行活动,且活动时间在三个月以上的外部人员。
(二)外部人员的信息安全管理实行“谁接待,谁负责;谁引入,谁负责”的原则。
对口部门或对口人员负责监督、管理外部人员在本机构工作或访问期间的一切行为,并对其所对口的外部人员的行为、影响和后果负有全部责任。
(三)信息技术部指派专门人员对进入安全区域的外部人员进行身份确认与登记。
(四)对于在安全区域内活动的长期外部人员,如需对其进行考勤,则由对口部门向信息技术部提出申请,由信息技术部统一进行考勤工作。
第四条基本安全:(一)所有外部人员必须遵守本机构发布的与信息科技风险管理和信息安全相关的方针策略、实施规范、管理办法等。
(二)贵宾外部人员由对口部门或对口人员确定其能访问的物理安全区域;临时外部人员人员仅允许访问一级物理安全区域;短期外部和长期外部人员经过审批后,可以允许其访问二级及以上安全区域;所有外部人员进入三级及以上安全区域须本机构信息技术部员工全程陪同。
(三)外部人员在本机构工作期间,必须遵守本机构的《工作人员信息安全守则》,未经许可,外部人员不允许访问本机构信息处理设施;外部人员因工作需要使用本机构相关文档资料,需根据文档的敏感性级别由相关责任部门进行审批并登记备案,所借文档资料未经许可不得复印。
信息技术外包服务安全管理制度
信息技术外包服务安全管理制度1. 引言信息技术外包服务在企业中越来越常见,它可以帮助企业专注于核心业务,同时提供高效、便捷的信息技术支持。
然而,随着外包服务的发展,信息安全问题也变得越来越严重。
为了保护企业敏感信息和避免潜在的风险,制定一个严格的信息技术外包服务安全管理制度是必不可少的。
2. 外包服务安全要求2.1 外包服务提供商的资质要求外包服务提供商应具备必要的资质和经验,包括合法注册、专业认证和相关行业经验等。
企业应该在选择外包服务提供商时进行严格的筛选和评估,确保其能够提供安全可靠的服务。
2.2 外包服务提供商的安全管理制度外包服务提供商应建立健全的信息安全管理制度,包括但不限于安全策略、风险评估、防护措施、漏洞管理、事件响应等。
企业在与外包服务提供商合作前,应要求提供商提供其安全管理制度的相关文档,并对其合规性进行审查。
2.3 外包服务提供商的数据保护措施外包服务提供商应采取适当的数据保护措施,包括但不限于数据加密、权限控制、安全审计等。
企业应与外包服务提供商明确数据保护的责任划分和约束,确保外包商对数据的保护符合相关法律法规和合同约定。
3. 外包服务安全管理制度概述外包服务安全管理制度是企业内部制定的一套规范和制度,旨在确保外包服务的信息安全和数据保护。
该制度包括以下几个方面的内容:3.1 信息安全政策企业应确定并发布信息安全政策,明确信息安全的目标、原则和要求。
信息安全政策应与企业的整体战略和运营目标相一致,为外包服务的安全管理提供指导和约束。
3.2 外包服务供应商选择和评估企业应建立选择和评估外包服务供应商的流程和标准,包括合规性评估、技术能力评估、安全管理制度评估等。
选择外包服务供应商时,企业应综合考虑其资质、经验、安全措施等因素,确保其能够提供安全可靠的服务。
3.3 外包合同管理企业与外包服务供应商签订合同时,应明确安全要求,并在合同中约定相关的责任和义务。
合同应包括但不限于安全条款、数据保护条款、违约责任等内容,以保障企业的权益和安全。
信息技术外包服务安全管理制度(4篇)
信息技术外包服务安全管理制度一、前言信息技术外包服务是企业将部分或全部的信息技术业务外包给合作伙伴进行管理和运营。
随着信息技术的发展,外包服务越来越被企业所接受和采用。
然而,信息技术外包服务的安全问题也日益凸显。
为了保障外包服务的安全,需要制定一套完善的安全管理制度。
本文将从以下几个方面进行讨论和规定。
二、安全管理责任1. 外包服务提供商的安全管理责任:(1)制定安全管理制度和规范;(2)配备专业的安全团队,负责外包服务的安全监控和防护;(3)确保外包服务的安全性和持续可用性;(4)保护客户的敏感信息,防止泄露和滥用;(5)及时修复和反馈安全漏洞。
2. 外包服务接受方的安全管理责任:(1)对外包服务提供商进行严格的安全评估和背景调查;(2)监督和审核外包服务提供商的安全管理制度和规范;(3)与外包服务提供商签订明确的安全协议;(4)建立及时有效的应急响应机制;(5)定期对外包服务进行安全演练和评估。
三、安全管理流程1. 安全需求分析与规划:(1)明确外包服务的安全要求;(2)制定外包服务的安全目标和策略;(3)评估外包服务的安全风险。
2. 安全管理制度和规范的制定:(1)制定详细的安全管理制度和流程;(2)制定外包服务的安全规范和标准;(3)明确外包服务的安全责任和义务。
3. 安全评估和审计:(1)对外包服务提供商进行定期的安全评估和审计;(2)评估外包服务的安全防护能力和漏洞修复情况;(3)对外包服务的安全事件进行调查和取证。
4. 安全应急响应:(1)建立及时有效的安全事件响应机制;(2)定期进行安全演练和应急演练;(3)对外包服务的安全事件进行快速处置和恢复。
5. 安全培训和意识:(1)对外包服务提供商进行安全培训和考核;(2)组织外包服务的安全培训和演讲活动;(3)提高外包服务接受方的安全意识和防范能力。
四、安全管理措施1. 外包服务服务器安全管理:(1)建立严格的服务器访问控制和权限管理制度;(2)定期对服务器进行安全巡检和漏洞扫描;(3)对服务器进行及时的安全补丁升级和配置优化。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息技术服务外包人员安全管理细则1总则1.1目的为规范本公司对外包服务人员的信息安全管理工作,明确相关部门和人员职责,使信息技术外包服务纳入制度化、规范化管理,特制定本管理细则。
1.2适用范围本规范适用于《名称》管理服务中心对外包服务商及外包服务人员的管理。
2术语和定义3外包安全管理基本原则在信息技术服务外包活动中,应遵循以下信息安全管理基本原则:(一)责任延展原则。
信息安全管理责任不随服务外包而转移,无论《名称》数据和业务是位于自身信息系统还是外包服务商的信息系统上,XXX都是信息安全的最终责任人。
(二)领导决策原则。
信息技术外包应获得《名称》服务外包主管领导的支持、批准和授权。
(三)风险控制原则。
责任人员应始终关注信息技术服务外包可能带来的信息安全风险,并能够及时应用风险控制措施。
(四)监督检查原则。
运维部应对信息技术服务活动进行监管,并接受信息安全主管部门的监督检查。
(五)数据归属关系不变。
XX公司提供给外包服务服务商的数据、设备等资源,以及外包服务过程中收集、产生、存储的数据和文档等资源属XX公司所有。
外包服务商应保障XX公司对这些资源的访问、利用、支配,未经XX公司授权,外包服务商和任何第三方不得访问、修改、披露、利用、转让、销毁。
4角色与职责4.1主管领导XX公司领导小组担任信息技术外包服务信息安全管理的最高管理机构,承担外包活动的信息安全管理总职责,对外包活动中的信息安全相关事项具有一票否决权。
主管领导具有以下职责:(一)根据XX公司的信息安全管理总体框架,批准服务外包信息安全管理策略。
(二)授权并支持相应的服务外包接口人具体管理外包活动的信息安全。
(三)提供并保障服务外包信息安全管理所需要的资源。
(四)组织检查外包服务商的信息安全控制措施的执行情况。
(五)承担服务外包信息安全管理的监管职责。
(六)定期评审并发布本规定。
4.2外包服务责任人主管领导可根据外包类型和项目的不同,设置多个外包服务责任人,负责具体的外包项目管理活动,主要职责如下:(一)对信息安全主管领导负责,将服务外包信息安全管理情况、信息技术服务外包信息安全执行情况及时报告主管领导。
(二)负责按本规定要求来管理外包服务人员,落实并监督外包服务基本信息安全控制措施的执行情况,及时制止外包服务人员的非安全行为。
(三)负责与本单位业务部门的协调,负责与外包服务商的协调。
(四)负责外包服务人员的管理,包括保密协议的签订、外包服务人员信息数据网接入管理、外包服务人员权限创建与移除、外包服务人员的变更管理等;(五)承担外包服务信息安全管理的直接责任。
4.3外包服务人员外包服务人员应严格遵守本规定中的相关要求。
5管理规定5.1合同签订外包服务商应与XX公司签署服务外包合同,合同内容应包括但不限于以下内容:(一)所承担的外包服务的信息安全目标和保障措施。
(二)服务过程中不泄露我方重要敏感信息的信息安全承诺。
(三)未经XX公司授权不将服务进行分保的承诺。
(四)接受XX公司信息安全管理部门监督检查的义务。
(五)外包服务合同终止后对服务内容和信息的保密承诺。
5.2外包服务人员管理5.2.1服务前外包服务责任人在服务开始前应通过以下措施对外包服务人员进行安全管理:(一)对于能接触到XX公司敏感信息的外包服务人员,应与其签订《外包服务人员保密协议》(附件一),协议签订后方可接触XX公司的敏感信息。
(二)应对外包服务人员进行适当的岗位描述、任用要求和其应履行的信息安全职责要求,以降低资源被盗窃、滥用和误用的风险。
(三)应要求外包服务商提供本单位外包服务人员的背景调查信息,要求外包服务商为背景调查的结果负责。
(四)应要求外包服务人员承诺不使用含有恶意代码的产品、有缺陷的产品或假冒产品进行相关服务工作。
5.2.2服务中外包服务责任人在服务过程中应通过以下措施对外包服务人员进行安全管理:(一)应对外保服务人员进行信息安全意识和相关管理制度的培训,告知外包服务人员相关的安全责任和要求,并对培训结果进行考核。
(二)应为外包服务人员办理上岗证,要求外包服务人员持证上岗。
(三)应要求外包服务人员对工作中接触到的XXX敏感资源,不得提供给其他任何人员,更不得上传到网络中供他人下载、使用或查看。
(四)当出现外包服务人员职责变更或离职时,外包服务商应提前一个月向外包责任人提出申请,同时外包服务商应安排接替人员进行一个月的交接与熟悉,接替人员在这一个月中其专业技能、工作能力、职业素养获得外包服务责任人认可后,方能核准外包服务人员职责变更或离职申请,并要求外包服务商收回其掌握的信息资产,禁止其向外传播。
5.2.3服务变更或中止外包服务变更或中止后,外包服务责任人应要求外包服务人员归还借用的相关设备,办理资源归还手续,并通知各信息系统和IT基础设施负责人移除外包服务人员的相关权限。
5.3外包服务人员权限与设备接入管理外包服务人员的对XX公司信息系统和资源的访问权限以及电脑等硬件设备接入XX公司的办公网络,应遵照以下要求执行:(一)因工作需要访问互联网、XX公司办公网络及信息系统和数据资源的,应填写业务申请表,经主管领导审批同意并报运维部门备案后,由外包服务责任人为其开通相关权限,权限应按照“必需知道”和“最小授权”原则对外包服务人员进行授权。
工作结束后,外包服务责任人须将申请的临时权限和资源及时注销登记。
(二)因工作需要申请XX公司相关信息设备或需接入自带设备及使用附属设备的,应填写业务申请表,经主管领导审批同意并报运维部门备案后,由外包服务责任人提供相关设备,对于外包服务人员的自带设备需进行安全检查后方允许其使用。
(三)原则上,禁止外包服务人员自带电脑接入XX公司办公网络,但如工作需要确需接入办公网络时,应由外服服务责任人进行防病毒检测及漏洞扫描后方可接入办公网络,外包服务人员不得使用任何黑客工具及与工作无关的软件,不得从事任何网络、主机的安全攻击、信息窃取。
5.4物理与环境安全管理5.4.1物理与环境规划外包服务责任人应对本局的物理和环境做出规划,将关键和重要敏感信息及信息处置设备控制在安全区域内,且该区域具有清晰的安全边界标识,防止外包服务人员非授权接触重要敏感信息。
外包服务人员应在指定的办公场所及公共区域内活动,未经许可不得随意进出其他办公区域。
5.4.2物理环境访问控制运维主管领导应建立物理环境访问控制机制,对外包服务人员的物理访问进行授权,主要包括:(一)对所有机房、重要办公空间实施物理访问授权,具体包括:在准许进入机房前验证其访问授权、使用门禁等控制设施。
(二)制定和维护外包服务人员的物理访问审计日志。
(三)确保钥匙、访问凭证以及其他物理访问设备的安全。
5.5外包运维安全管理外包服务责任人应对外包服务人员在《名称》系统中的运维活动采取以下安全控制措施:(一)应根据自身的业务需求,对信息系统组件的维护进行规划、实施、记录,并对维护记录进行审查,维护记录中,至少应包括维护日志和实践、维护人员姓名、陪同人姓名、对维护活动的描述、被转移或替换的设备列表等信息。
(二)所有外包服务人员对信息系统与IT基础设施进行维护时,均需要使用运维审计系统来对信息系统与IT基础设施进行运维,以便进行强制留痕。
(三)应建立对维护人员的授权流程,对已获得授权的人员建立列表,确保只有列表中的维护人员才可在没有人员陪同时进行系统维护;不在列表中的人员,必须在外包服务责任人授权且技术可胜任的人员陪同与监督下,才可开展运维工作。
5.6外包开发安全管理外包服务人员在进行系统设计、开发等服务时,应满足以下要求:(一)提供交付物时的缺省配置为安全配置,且已删除所有测试接口,不含有后门或其他不必要的功能;(二)确保系统开发人员接受了软件开发安全培训;(三)制定明确的开发规范,在规范中明确一下事项:(四)所开发系统的安全需求(五)开发过程中使用的标准和工具(六)开发过程中使用的特定工具选项和工具配置(七)采取有关措施,确保开发过程的完整性和工具变更的完整性;(八)在开发过程的初始阶段定义质量度量标准,并定期检查质量度量标准的落实情况;(九)对所开发的外包服务信息系统及其组件或服务进行安全测试,修复发现的脆弱性或不足。
5.7应急处置5.7.1应急处置计划外包服务商应制定应急处置计划,以应对外包服务过程中可能出现的信息安全事件,应急处置计划应包括:(一)说明启动应急处置计划的条件和方法(二)说明其机构内与应急处置有关的组织架构和人员(三)定义需要报告的安全事件(四)定义必要的资源和管理支持5.7.2应急演练外包服务商应制定应急演练计划,对可能发生的安全事件进行应急演练,并根据演练结果修订应急处置方法。
5.7.3事件报告当发生信息安全事件时,外包服务商应及时启动事件报告机制,向外包服务责任人报告,并启动相应的应急处置计划。
5.8违规处罚外包服务人员如违法上述规定,XX公司外包服务责任人有权终止其服务,如影响XX公司业务正常使用的,XX公司将根据影响程度保留进一步追究的权利。
6附则本规定由XX公司总经办负责最终解释。