信息技术服务外包人员安全管理细则1总则1.1目的为规范本公司对外包服务人员的信息安全管理工作,明确相关部门和人员职责,使信息技术外包服务纳入制度化、规范化管理,特制定本管理细则。
1.2适用范围本规范适用于《名称》管理服务中心对外包服务商及外包服务人员的管理。
2术语和定义3外包安全管理基本原则在信息技术服务外包活动中,应遵循以下信息安全管理基本原则:(一)责任延展原则。
信息安全管理责任不随服务外包而转移,无论《名称》数据和业务是位于自身信息系统还是外包服务商的信息系统上,XXX都是信息安全的最终责任人。
(二)领导决策原则。
信息技术外包应获得《名称》服务外包主管领导的支持、批准和授权。
(三)风险控制原则。
责任人员应始终关注信息技术服务外包可能带来的信息安全风险,并能够及时应用风险控制措施。
(四)监督检查原则。
运维部应对信息技术服务活动进行监管,并接受信息安全主管部门的监督检查。
(五)数据归属关系不变。
XX公司提供给外包服务服务商的数据、设备等资源,以及外包服务过程中收集、产生、存储的数据和文档等资源属XX公司所有。
外包服务商应保障XX公司对这些资源的访问、利用、支配,未经XX公司授权,外包服务商和任何第三方不得访问、修改、披露、利用、转让、销毁。
4角色与职责4.1主管领导XX公司领导小组担任信息技术外包服务信息安全管理的最高管理机构,承担外包活动的信息安全管理总职责,对外包活动中的信息安全相关事项具有一票否决权。
主管领导具有以下职责:(一)根据XX公司的信息安全管理总体框架,批准服务外包信息安全管理策略。
(二)授权并支持相应的服务外包接口人具体管理外包活动的信息安全。
(三)提供并保障服务外包信息安全管理所需要的资源。
(四)组织检查外包服务商的信息安全控制措施的执行情况。
(五)承担服务外包信息安全管理的监管职责。
(六)定期评审并发布本规定。
4.2外包服务责任人主管领导可根据外包类型和项目的不同,设置多个外包服务责任人,负责具体的外包项目管理活动,主要职责如下:(一)对信息安全主管领导负责,将服务外包信息安全管理情况、信息技术服务外包信息安全执行情况及时报告主管领导。
(二)负责按本规定要求来管理外包服务人员,落实并监督外包服务基本信息安全控制措施的执行情况,及时制止外包服务人员的非安全行为。
(三)负责与本单位业务部门的协调,负责与外包服务商的协调。
(四)负责外包服务人员的管理,包括保密协议的签订、外包服务人员信息数据网接入管理、外包服务人员权限创建与移除、外包服务人员的变更管理等;(五)承担外包服务信息安全管理的直接责任。
4.3外包服务人员外包服务人员应严格遵守本规定中的相关要求。
5管理规定5.1合同签订外包服务商应与XX公司签署服务外包合同,合同内容应包括但不限于以下内容:(一)所承担的外包服务的信息安全目标和保障措施。
(二)服务过程中不泄露我方重要敏感信息的信息安全承诺。
(三)未经XX公司授权不将服务进行分保的承诺。
(四)接受XX公司信息安全管理部门监督检查的义务。
(五)外包服务合同终止后对服务内容和信息的保密承诺。
5.2外包服务人员管理5.2.1服务前外包服务责任人在服务开始前应通过以下措施对外包服务人员进行安全管理:(一)对于能接触到XX公司敏感信息的外包服务人员,应与其签订《外包服务人员保密协议》(附件一),协议签订后方可接触XX公司的敏感信息。
(二)应对外包服务人员进行适当的岗位描述、任用要求和其应履行的信息安全职责要求,以降低资源被盗窃、滥用和误用的风险。
(三)应要求外包服务商提供本单位外包服务人员的背景调查信息,要求外包服务商为背景调查的结果负责。
(四)应要求外包服务人员承诺不使用含有恶意代码的产品、有缺陷的产品或假冒产品进行相关服务工作。
5.2.2服务中外包服务责任人在服务过程中应通过以下措施对外包服务人员进行安全管理:(一)应对外保服务人员进行信息安全意识和相关管理制度的培训,告知外包服务人员相关的安全责任和要求,并对培训结果进行考核。
(二)应为外包服务人员办理上岗证,要求外包服务人员持证上岗。
(三)应要求外包服务人员对工作中接触到的XXX敏感资源,不得提供给其他任何人员,更不得上传到网络中供他人下载、使用或查看。
(四)当出现外包服务人员职责变更或离职时,外包服务商应提前一个月向外包责任人提出申请,同时外包服务商应安排接替人员进行一个月的交接与熟悉,接替人员在这一个月中其专业技能、工作能力、职业素养获得外包服务责任人认可后,方能核准外包服务人员职责变更或离职申请,并要求外包服务商收回其掌握的信息资产,禁止其向外传播。
5.2.3服务变更或中止外包服务变更或中止后,外包服务责任人应要求外包服务人员归还借用的相关设备,办理资源归还手续,并通知各信息系统和IT基础设施负责人移除外包服务人员的相关权限。
5.3外包服务人员权限与设备接入管理外包服务人员的对XX公司信息系统和资源的访问权限以及电脑等硬件设备接入XX公司的办公网络,应遵照以下要求执行:(一)因工作需要访问互联网、XX公司办公网络及信息系统和数据资源的,应填写业务申请表,经主管领导审批同意并报运维部门备案后,由外包服务责任人为其开通相关权限,权限应按照“必需知道”和“最小授权”原则对外包服务人员进行授权。
工作结束后,外包服务责任人须将申请的临时权限和资源及时注销登记。
(二)因工作需要申请XX公司相关信息设备或需接入自带设备及使用附属设备的,应填写业务申请表,经主管领导审批同意并报运维部门备案后,由外包服务责任人提供相关设备,对于外包服务人员的自带设备需进行安全检查后方允许其使用。
(三)原则上,禁止外包服务人员自带电脑接入XX公司办公网络,但如工作需要确需接入办公网络时,应由外服服务责任人进行防病毒检测及漏洞扫描后方可接入办公网络,外包服务人员不得使用任何黑客工具及与工作无关的软件,不得从事任何网络、主机的安全攻击、信息窃取。
5.4物理与环境安全管理5.4.1物理与环境规划外包服务责任人应对本局的物理和环境做出规划,将关键和重要敏感信息及信息处置设备控制在安全区域内,且该区域具有清晰的安全边界标识,防止外包服务人员非授权接触重要敏感信息。
外包服务人员应在指定的办公场所及公共区域内活动,未经许可不得随意进出其他办公区域。
5.4.2物理环境访问控制运维主管领导应建立物理环境访问控制机制,对外包服务人员的物理访问进行授权,主要包括:(一)对所有机房、重要办公空间实施物理访问授权,具体包括:在准许进入机房前验证其访问授权、使用门禁等控制设施。
(二)制定和维护外包服务人员的物理访问审计日志。
(三)确保钥匙、访问凭证以及其他物理访问设备的安全。
5.5外包运维安全管理外包服务责任人应对外包服务人员在《名称》系统中的运维活动采取以下安全控制措施:(一)应根据自身的业务需求,对信息系统组件的维护进行规划、实施、记录,并对维护记录进行审查,维护记录中,至少应包括维护日志和实践、维护人员姓名、陪同人姓名、对维护活动的描述、被转移或替换的设备列表等信息。
(二)所有外包服务人员对信息系统与IT基础设施进行维护时,均需要使用运维审计系统来对信息系统与IT基础设施进行运维,以便进行强制留痕。
(三)应建立对维护人员的授权流程,对已获得授权的人员建立列表,确保只有列表中的维护人员才可在没有人员陪同时进行系统维护;不在列表中的人员,必须在外包服务责任人授权且技术可胜任的人员陪同与监督下,才可开展运维工作。
5.6外包开发安全管理外包服务人员在进行系统设计、开发等服务时,应满足以下要求:(一)提供交付物时的缺省配置为安全配置,且已删除所有测试接口,不含有后门或其他不必要的功能;(二)确保系统开发人员接受了软件开发安全培训;(三)制定明确的开发规范,在规范中明确一下事项:(四)所开发系统的安全需求(五)开发过程中使用的标准和工具(六)开发过程中使用的特定工具选项和工具配置(七)采取有关措施,确保开发过程的完整性和工具变更的完整性;(八)在开发过程的初始阶段定义质量度量标准,并定期检查质量度量标准的落实情况;(九)对所开发的外包服务信息系统及其组件或服务进行安全测试,修复发现的脆弱性或不足。
5.7应急处置5.7.1应急处置计划外包服务商应制定应急处置计划,以应对外包服务过程中可能出现的信息安全事件,应急处置计划应包括:(一)说明启动应急处置计划的条件和方法(二)说明其机构内与应急处置有关的组织架构和人员(三)定义需要报告的安全事件(四)定义必要的资源和管理支持5.7.2应急演练外包服务商应制定应急演练计划,对可能发生的安全事件进行应急演练,并根据演练结果修订应急处置方法。
5.7.3事件报告当发生信息安全事件时,外包服务商应及时启动事件报告机制,向外包服务责任人报告,并启动相应的应急处置计划。
5.8违规处罚外包服务人员如违法上述规定,XX公司外包服务责任人有权终止其服务,如影响XX公司业务正常使用的,XX公司将根据影响程度保留进一步追究的权利。
6附则本规定由XX公司总经办负责最终解释。