交互式服务安全检查表.xls

交互式服务安全检查表 机构名称上海点掌文化传媒股份有限公司 机构地址上海市普陀区曹杨路500号12楼 业务范围财经类直播 机构责任人廖芳电子邮件 fliao aniu tv 电话安全责任人申成日电子邮件crshen aniu t v 电话网站名称阿牛网 网站域名 www aniu tv IP地址175 102 133 72 网络服务 电子商务 网络金融 游戏 论坛 留言版 聊天室 即时通信 电子邮件 网页制作 P2P下载 应用商店 短信息 网盘 物流 IDC CDN其它 填表说明 检检查查结结果果 应逐项填写 Y表示 符合 N表示 不符合 N A表示 不适用 检检查查说说明明 当用Y N N A表示时 此项必须有详细描述 不不适适用用的的情情况况 例如 当某交互式服务不存在分包时 分包服务 中的各项填写N A 此此表表适适用用于于 备案的实地检查 日常安全检查以及新应用新服务的安全评估检查 条条款款检检查查内内容容检检查查方方法法 检检查查 结结果果 检检查查说说明明 整整改改 要要求求 4 4 安安全全 管管理理制制 度度要要求求 4 1总则 4 1 1 应建立文件化的安全管理制度 安全管理制度文件应包括 检查是否有左列相关制度文件Y a 安全岗位管理制度 制度文件中包括此项内容Y b 系统操作权限管理 制度文件中包括此项内容Y c 安全培训制度 制度文件中包括此项内容Y d 用户管理制度 制度文件中包括此项内容Y e 新服务 新功能安全评估 制度文件中包括此项内容Y f 用户投诉举报处理 制度文件中包括此项内容Y g 信息发布审核 合法资质查验和公共信息巡查 制度文件中包括此项内容Y h 个人电子信息安全保护 制度文件中包括此项内容Y i 安全事件的监测 报告和应急处置制度 制度文件中包括此项内容Y j 现行法律 法规 规章 标准和行政审批文件 制度文件中包括此项内容Y 4 1 2 安全管理制度应经过管理层批准 并向所有员工宣贯制度的批准人是管理层人员 Y 能提供培训记录Y 4 2 文件 控制 a 应按计划的时间间隔或在发生重大的变化时评审安全管理 制度文件 以确保文件是适当的 能提供有计划的对安全管理制度进行评审的记录 或者 当组织机构 业务内容 规定要求发生重大变化时的评 审记录 Y b 确保在使用处可获得适用文件的相关版本 相关岗位人员可以得到与其工作内容相关的安全管理文 件的正确版本 可以是书面或者电子的 Y c 确保文件保持清晰 易于识别 检查安全管理文件是否有统一的格式与标识 包括版本 标识 Y d 确保外来文件得到识别 并控制其分发 对公安机关颁发的互联网信息服务规范等文件能提供培 训记录 Y e 确保文件是现行有效的 能提供现有规定文件的编制 审核和批准记录 Y 4 3记录 控制 4 3 应建立记录并加以保护与控制 以提供符合本标准要求的证 据 能提供会议记录 制度修订记录 人员培训记录 病毒 查杀记录 安全事件记录等 记录可以是电子的 Y 5 机构 要求 5 1法律 责任 5 1 1 互联网交互式服务提供者应是一个能够承担法律责任的组织 或个人 能提供互联网交互式服务提供者的营业执照 企业 或 组织机构代码证 非企业类机构 或身份证 个人 Y 5 1 2 互联网交互式服务提供者从事的信息服务有行政许可的应取 得相应许可 服务内容涉及危险 管制物品等信息服务内容的信息服 务提供者 能提供相关主管部门的许可文件 N A 许可种类 许可证号 签发部门 有效期 5 2 信 息安全组 织 a 组建专职安全管理队伍 组织结构图中包含信息安全组织机构 系统管理员 安 全管理员等岗位 Y b 安全管理人员应经过安全培训与公安机关考核 安全管理 人员数量应与业务规模相适应 注 安全管理人员数量原则 上按照日均信息发布量 频道或栏目数 同时在线用户数等 交互式服务规模配备 能实现9 3要求的违法有害信息防范与 处置能力 能提供安全人员的培训记录 Y信息安全审核人员的数量 4 5 2 2 最高管理者应在管理层任命一名人员 具有以下方面的职责 和权力 a 负责安全管理制度的建立 实施与保持 b 负责 新服务 新功能的风险评估与安全方案审核 c 向最高管理 者报告安全状况与任何改进的需求 信息安全组织机构图中设立了安全负责人岗位 Y 安全负责人是企业高管Y 安全负责人可直接向企业最高管理者汇报 Y 安全制度的制定及修改由安全负责人最终确认 Y 安全风险评估 安全方案审核由安全负责人最终批准Y 5 2 3 应有专门人员负责配合公安机关的工作 安全组织机构图中有专门负责配合公安机关侦查 侦控 的工作人员 Y 配合公安机关的工作人员上岗前向公安机关报备 并征 得同意 人员信息表另附 Y 对接人员姓名 王辉 手机号码报备机关 报备日期 5 3 网 安警务室 应为公安机关网安警务室开展工作提供相应的环境和支持配 合 接受网安警务室的安全管理和指导 为网安警务工作提供相应的办公环境 如未设网安警务 室 检查结果可为N A N A警务室级别 一级 二级 三级 四级 6 6 人人 员员安安全全 管管理理 6 1 安 全岗位管 理制度 应建立安全岗位管理制度 明确主办人 主要负责人 安全 责任人的职责 岗位管理制度应包括保密管理 安全岗位管理制度明确了信息安全组织结构的主要负责 人 安全责任人的工作岗位 及其工作岗位的具体职责 Y 制度中包含保密管理规定 Y 6 2 关 键岗位人 员 6 2 1 关键岗位人员任用之前的背景核查应按照相关法律 法规 道德规范和对应的业务要求来执行 包括 a 个人身份核查 b 个人履历的核查 c 学历 学位 专业资质证明 d 从 事关键岗位所必需的能力 提供关键岗位人员背景材料 特别是配合公安机关工作 的人员 人员信息表另附 Y岗位 运维 姓名 王辉 身份证号手机号码6 2 2 应与关键岗位人员签订保密协议 检查上述关键岗位的保密协定Y 6 3 安 全培训 应建立安全培训制度 定期对所有工作人员进行信息安全培 训 提高全员的信息安全意识 包括 能提供安全培训的计划 内容和要求 Y a 上岗前的培训 安全培训计划覆盖条款所列内容Y b 安全制度及其修订后的培训 能提供按照培训计划实施的培训记录和培训考核等档案Y c 与法律 法规的发展保持同步的继续培训 互联网交互式服务提供者能够提供其安全责任人员和信 息编辑 审核人员参加了公安网安部门组织的信息网络 安全继续教育和考试的培训记录和证书 Y 6 4 人 员离岗 应严格规范人员离岗过程 a 及时终止离岗员工的所有访问 权限 b 关键岗位人员须承诺调离后的保密义务后方可离开 c 配合公安机关工作的人员变动应通报公安机关 制定了人员离岗制度 Y 离岗制度中规定了人员离岗时终止所有访问权限Y 能提供有终止离岗人员访问权限的流程记录 Y 关键岗位人员离职记录中包含已签署的保密承诺 Y 5 机构 要求5 2 信 息安全组 织 7 访 问控制 管理 7 1 访 问管理制 度 应建立包括物理的和逻辑的系统访问权限管理制度 能提供对不同用户分配不同权限规定的管理制度 Y 7 2 权 限分配 应按以下原则根据人员职责分配不同的访问权限 a 角色分 离 如访问请求 访问授权 访问管理 b 满足工作需要的 最小权限 c 未经明确允许 则一律禁止 对系统管理员和普通用户分配不同权限 Y 仅分配完成工作需要的最小权限 Y 没有进行明确授权 不能够进行相应操作 Y 7 3 特 殊权限 应限制和控制特殊访问权限的分配和使用 a 标识出每个系 统或程序的特殊权限 b 按照 按需使用 一事一议 的原则分配特殊权限 c 记录特殊权限的授权与使用过程 d 特殊访问权限的分配需要管理层的批准 注 特殊权限是 系统超级用户 数据库管理等系统管理权限 权限分配表中对特殊权限做出标识 Y 对特殊权限的分配有管理层审批记录 Y 能提供特殊权限的使用记录 Y 7 4 权 限的检查 应定期对访问权限进行检查 对特殊访问权限的授权情况应 在更频繁的时间间隔内进行检查 如发现不恰当的权限设置 应及时予以调整 能提供对用户访问权的定期检查记录 Y 8 网 络与操 作安全 8 1 操 作规程 应将网络与系统操作形成文件化的操作规程 并对所有需要 的用户可用 操作规程包括 计算机的启动和关机 备份 设备维护 介质处理 日志管理等 能提供网络和系统的操作规程文件 可以是电子版 Y 8 2 网 络与主机 系统的安 全 应维护使用的网络与主机系统的安全 包括 a 实施计算机病毒等恶意代码的预防 检测和系统被破坏后 的恢复措施 有计算机防病毒机制及快速恢复的具体措施 Y 在重要的网关 服务器和个人终端安装防病毒系统 Y 有专人对网络和主机进行病毒等恶意代码检测并保存检 测记录 Y 按照防病毒机制定期生成检测记录 Y 病毒库已升级更新到最新版本 N A 防病毒名称 版本号 销售许可证号 最近更新库时间 b 实施7 24h网络入侵行为的预防 检测与响应措施 具备7 24小时防御计算机病毒 网络入侵 攻击破坏等 危害网络安全的行为的入侵检测系统 Y 入侵检测系统的规则库已更新为最新版本 Y 能提供入侵检测系统有效运行的7 24小时记录 注 入 侵检测系统可以是网络的 主机的 与防火墙结合的 也可以是第三方提供的网络安全服务中包括的 Y 信息安全类产品名称 防火墙 型号 CISCO ASA5520 BUN K9 版本号 销售许可证号 更新时间 2016 06c 适用时 对重要文件的完整性进行检测 并具备文件完整 性受到破坏后的恢复措施 能够检测出重要文件的完整性是否遭到破坏 并能够自 动恢复 Y 防篡改产品名称 版本号 销售许可证号 d 对系统的脆弱性进行评估 并采取适当的措施处理相关的 风险 注 系统脆弱性评估包括采用安全扫描 渗透测试等 多种方式 安全制度中要求安全扫描工具定期通过网络和系统进行 漏洞扫描 或测试系统弱点 并对发现的安全漏洞及时 进行修补 Y 能提供漏洞扫描报告或渗透测试报告及整改记录 N A 漏扫产品名称 版本 销售许可证号 最后一次漏扫时间 8 3 备 份 8 3 1 应建立备份策略 有足够的备份设施 确保必要的信息和软 件在灾难或介质故障时可以恢复 能提供备份策略 备份设施 备份记录Y 8 3 2 网络基础服务 登录 消息发布等 应具备容灾能力 有容灾系统Y 8 4 安 全审计 8 4 1 应记录用户活动 异常情况 故障和安全事件的日志 检查是否有左列相关日志内容 Y 8 4 2 审计日志内容应包括 Y a 用户注册相关信息 包括 审计日志包含此项内容Y 1 用户唯一标识 审计日志包含此项内容Y实际留存时长 90 天 2 用户名称及修改记录 审计日志包含此项内容Y实际留存时长 90 天 3 身份信息 如 姓名 证件类型 证件号码等 审计日志包含此项内容Y实际留存时长 90 天 4 注册时间 IP地址及端口号 审计日志包含此项内容Y实际留存时长 90 天 5 电子邮箱地址和手机号码 审计日志包含此项内容Y实际留存时长 90 天 6 用户备注信息 审计日志包含此项内容Y实际留存时长 90 天 7 用户其他信息 审计日志包含此项内容Y实际留存时长 90 天 b 群组 频道相关信息 包括 检查是否有左列相关日志内容 Y 1 创建时间 创建人 创建人IP地址及端口号 审计日志包含此项内容Y实际留存时长 90 天 2 删除时间 删除人 删除人IP地址及端口号 审计日志包含此项内容Y实际留存时长 90 天 3 群组组织结构 审计日志包含此项内容Y实际留存时长 90 天 4 群组成员列表 审计日志包含此项内容Y实际留存时长 90 天 c 用户登录信息 包括 检查是否有左列相关日志内容 Y 1 用户唯一标识 审计日志包含此项内容Y实际留存时长 30 天 2 登录时间 审计日志包含此项内容Y实际留存时长 30 天 3 退出时间 审计日志包含此项内容Y实际留存时长 30 天 4 IP地址及端口号 审计日志包含此项内容Y实际留存时长 30 天 d 用户信息发布日志 包括 检查是否有左列相关日志内容 Y 1 用户唯一标识 审计日志包含此项内容Y实际留存时长 30 天 2 信息标识 审计日志包含此项内容Y实际留存时长 30 天 3 信息发布时间 审计日志包含此项内容Y实际留存时长 30 天 4 IP地址及端口号 审计日志包含此项内容Y实际留存时长 30 天 5 信息标题或摘要 包括图片摘要 审计日志包含此项内容Y实际留存时长 30 天 e 用户行为 包括 检查是否有左列相关日志内容 Y 1 进出群组或频道 审计日志包含此项内容Y实际留存时长 30 天 2 修改 删除所发信息 审计日志包含此项内容Y实际留存时长 30 天 3 上传 下载文件 审计日志包含此项内容Y实际留存时长 30 天 8 网 络与操 作安全 8 4 3 应确保审计日志内容的可溯源性 即可追溯到真实的用户ID 网络地址和协议 电子邮件 短信息 网络电话 即时消息 网络聊天等网络 消息服务提供者应能防范伪造 隐匿发送者真实标记的消息 的措施 能提供发送者伪造 隐匿身份后的与其真实身份对照的 发送记录 Y 涉及地址转换技术的服务 如移动上网 网络代理 内容分 发等应审计转换前后的地址与端口信息 能提供地址转换前后的对应记录Y 涉及短网址服务的 应审计原始URL与短URL之间的映射关 系 能提供原始URL与短URL之间的映射记录 Y 8 4 4 应保护审计日志 保证无法单独中断审计进程 防止删除 修改或覆盖审计日志 安全审计机制中规定了避免审计日志被删除 修改或覆 盖的具体措施 Y 8 4 5 应能够根据公安机关要求留存具备指定信息访问日志的留存 功能 系统可以根据测试要求留存特定日志内容 Y 审计日志保存周期 a 应永久保留用户注册信息 好友列表及历史变更记录 永 久记录聊天室 频道 群组 注册信息 成员列表以及历史 变更记录 留存了左侧所列日志内容在服务上线1个月内的全部记录 Y实际留存时长 30 天 任意选取系统账号 在该账号的注册日至检查日之间选 择任意时间 系统留存了左侧所列日志内容的全部记录 Y实际留存时长 30 天 b 系统维护日志信息保存12个月以上 系统留存了自检查之日起前12个月的维护日志记录 Y实际留存时长 30 天 c 应留存用户日志信息12个月以上 系统留存了自检查之日起前12个月的用户日志记录 Y实际留存时长 30 天 d 对用户发布的信息内容保存6个月以上 系统留存了自检查之日起前6个月的用户发布的信息内容 Y实际留存时长 30 天 e 已下线的系统的日志保存周期也应符合以上规定 如有已下线的系统 检查要求如前 Y 9 应 用安全 9 1 安 全评估 应建立互联网服务安全评估制度 在互联网新服务 新功能 上线前 按照本标准要求评估安全风险 制订信息网络安全 技术方案 并向属地公安机关报备 有新服务 新功能上线前的安全评估制度 Y 有新服务 新功能上线前的安全风险评估报告 Y 有新服务 新功能上线前的信息网络安全技术方案 Y 大型重点网站的新服务新功能应通过公安部组织的专家 评估 新服务新功能内容描述另附 Y 新服务新功能名称 评估时间 评估单位 评估结论 报备单位 上线时间 9 2 用 户管理 9 2 1 应向用户宣传法律法规 应在用户注册时 与用户签订服务 协议 告知相关权利义务及需承担的法律责任 在用户注册时与用户签订服务协议 协议书中告知了相 关权利义务及需承担的法律责任 Y 9 2 2 应建立用户管理制度 包括 制定了用户实名注册管理机制 要求注册用户提供真实 身份信息 并规定了进行有效核验的要求 以下5项方式 中采取任一种都符合要求 Y a 用户实名登记真实身份信息 并对用户真实身份信息进行 有效核验 有校核验方法可追溯到用户登记的真实身份 如 Y 1 身份证与姓名实名验证服务 采取此种方式验证Y 2 有效的银行卡 采取此种方式验证Y 3 合法 有效的数字证书 采取此种方式验证Y 4 已确认真实身份的网络服务的注册用户 采取此种方式验证Y 8 网 络与操 作安全 8 4 安 全审计 5 经电信运营商接入实名认证的用户 注 如某网站采用已经实名认证的第三方帐户登录 可认为 该网站的用户已进行有效核验 采取此种方式验证Y b 应对用户注册的账号 头像和备注等信息进行审核 禁止 使用违反法律法规和社会道德的内容 使用违规内容作为账号 头像和备注 无法通过服务商 的审核 Y c 应建立用户黑名单制度 对网站自行发现以及公安机关通 报的多次 大量发送传播违法有害信息的用户应纳入黑名单 管理 有黑名单列表 Y 黑名单记录了生效时间 微博客服务安全管理规范 中要求24小时 Y 测试黑名单已生效 Y黑名单生效时间 2015年 5 月 20 日 9 2 3 当用户利用互联网从事的服务需要行政许可时 应查验其合 法资质 查验可以通过以下方法进行 制度中规定了用户发布具有行政许可限制的信息时 已 具备相应资质 N A涉及行政许可的服务内容 许可类型 主管部门 许可时间 年 月 日 许可期限 年 月 日 a 核对行政许可文件 具有行政许可列表Y b 通过行政许可主管部门的公开信息 具有行政许可部门的列表Y c 通过行政许可主管部门的验证电话 验证平台 具有行政许可部门的验证电话 验证平台的列表Y 9 3 违 法有害信 息防范和 处置 9 3 1 应采取管理与技术措施 及时发现和停止违法有害信息发布 提供所采用的用于发现和停止违法有害信息发布的管理 与技术措施清单 Y 9 3 2 应采用人工或自动化方式 对发布的信息逐条审核 实际检查信息发布的逐条审核机制 Y 发布测试样本 发现处置成功 Y 应采取技术措施过滤违法有害信息 包括且不限于 a 基于关键词的文字信息屏蔽过滤 通过测试验证基于关键词的文字信息屏蔽过滤措施有效 Y生效时间 1 分钟 b 基于样本数据特征值的文件屏蔽过滤 通过测试验证基于数据特征值的文件屏蔽过滤措施有效 Y生效时间 1 分钟 c 基于URL的屏蔽过滤 通过测试验证基于URL的屏蔽过滤措施有效 Y生效时间 1 分钟 9 3 4 应采取技术措施对违法有害信息的来源实施控制 防止继续 传播 注 违法有害信息来源控制技术措施包括但不限于 封禁特定帐号 禁止新建帐号 禁止分享 禁止留言及回复 控制特定发布来源 控制特定地区或指定IP帐号登陆 禁 止客户端推送 切断与第三方应用的互联互通等 具有对特定对象 特定IP 特定时间等违法有害信息的 来源进行控制的技术措施 Y 对特定对象管控生效时间 1 分钟 对特定IP管控生效时间 1分 钟 对特定时间管控生效时间 1 分钟 9 3 5 应建立7 24h信息巡查制度 及时发现并处置违法有害信息 制定了7 24小时的信息巡查制度 Y 能提供7 24小时的信息巡查记录 Y 9 3 6 应建立涉嫌违法犯罪线索 异常情况报告 安全提示和案件 调查配合制度 包括 制定了涉嫌违法犯罪线索 异常情况报告 安全提示和 案件调查配合制度 Y 9 应 用安全 9 2 用 户管理 9 2 2 a 对发现的违法有害信息 立即停止发布传输 保留相关证 据 包括用户注册信息 用户登录信息 用户发布信息等记 录 并向属地公安机关报告 能提供违法有害信息快速处置 报告记录Y b 对于煽动非法聚集 策划恐怖活动 扬言实施个人极端暴 力行为等重要情况或重大紧急事件立即向属地公安机关报告 同时配合公安机关做好调查取证工作 制定了配合公安机关调查取证工作制度 Y 9 3 7 应与公安机关建立7 24h违法有害信息快速处置工作机制 有明确URL的单条违法有害信息和特定文本 图片 视频 链接等信息的源头以及分享中的任一环节应能在5min之内删 除 相关的屏蔽过滤措施应在10min内生效 制定了快速处置制度 Y快速处置措施生效时间 5 分钟 9 4 破 坏性程序 防范 9 4 1 应实施破坏性程序的发现和停止发布措施 并保留发现的破 坏性程序的相关证据 制度中规定了对用户发布的应用程序进行审核并及时停 止破坏性程序发布的措施 Y 能提供程序发布审核和巡查处置的记录 Y 9 4 2 对软件下载服务提供者 包括应用软件商店 应检查用户 发布的软件是否是计算机病毒等恶意代码 通过提交测试用恶意代码样本 可成功发现并停止发布Y 10 个 人电子 信息保 护 10 1 10 1 1 应制订明确 清楚的个人电子信息处理规则 并在显著位置 予以公示 在用户注册时 应在与用户签订服务协议中明示 收集与使用个人电子信息的目的 范围与方式 具有明确的个人电子信息处理规则Y 规则中明确告知用户收集与使用个人电子信息的目的 范围与方式 Y收集的个人信息内容 10 1 2 网络交互式服务提供者仅收集为实现正当商业目的和提供网 络服务所必需的个人信息 收集个人电子信息时 应取得用 户明确授权同意 将个人电子信息交给第三方处理时 处理 方应符合本标准要求 并取得用户明确授权同意 法律 行 政法规另有规定的 从其规定 检查是否有用户明确授权同意书 Y 10 1 3 修改个人电子信息处理规则时 应告知用户 并取得其同意 能提供个人电子信息处理规则的变更记录 Y 能提供个人电子信息处理规则变更后的用户授权同意书 Y 10 2 技 术措施 应建立覆盖个人电子信息处理的各个环节的安全保护制度和 技术措施 防止个人电子信息泄露 损毁 丢失 包括 a 采用加密方式保存用户密码等重要信息 用户密码等重要信息采用加密方式保存 Y b 审计内部员工对涉及个人电子信息的所有操作 并对审计 结果进行分析 预防内部员工故意泄露 审计功能记录了内部员工涉及个人电子信息的所有操作 能提供处理个人电子信息的审计记录和审计分析报告 Y c 审计个人电子信息上载 存储或传输 作为信息泄露 毁 损 丢失的查询依据 记录了个人电子信息上载 存储或传输 检查是否有个 人电子信息上载 存储或传输的审计记录 Y d 建立程序来控制对涉及个人电子信息的系统和服务的访问 权的分配 这些程序涵盖用户访问生存周期内的各个阶段 从新用户初始注册到不再需要访问信息系统和服务的用户的 最终撤销 具备涉及个人电子信息的系统和服务的访问权分配的审 批记录和操作记录 包括从用户注册到用户撤销全部环 节 Y e 系统的安全保障技术措施覆盖个人电子信息处理的各个环 节 防止网络违法犯罪活动窃取信息 降低个人电子信息泄 露的风险 采取了防止所收集 记录的用户身份信息 日志信息泄 露 损毁 丢失的技术措施 Y 10 3 个 人信息泄 露事件的 处理 当发现个人电子信息泄露事件后 应 a 立即采取补救措施 防止信息继续泄露 b 24h内告知用户 根据用户初始注 册信息重新激活账户 避免造成更大的损失 c 立即报告属 地公安机关 制定了发生个人信息泄露 损毁 丢失等情况时的补救 措施 Y 9 应 用安全 9 3 违 法有害信 息防范和 处置 9 3 6 留存了个人信息泄露 损毁 丢失的记录 如没有发生过该类事件 填写N A N A 事件发生时间 泄露内容 泄露范围 补救措施 向属地公安报告时间 11 投 诉 11 1 投 诉制度 应建立用户投诉举报接收处理制度 明确用户投诉举报渠道 处理流程 方式 时限 鼓励用户举报违法有害信息 制定了用户投诉举报接收处置制度 Y 11 3 投 诉渠道 应根据业务类型 投诉数量和投诉内容等建立适当的投诉渠 道 包括线上投诉 上门投诉 电话 传真 邮件和快递投 诉等 建立了投诉渠道 Y投诉渠道 公司官网 应以明显可见的方式向社会公开投诉渠道 该投诉渠道明显可见 Y 11 4 记 录留存 应保存投诉处理的全部记录 以保证可追溯性 能提供投诉记录文件 Y 12 1 基 本要求 12 1 2 分包安全保护工作时 应 a 确保分包方的信息安全服务交 付水准 b 与分包方签订与安全有关的协议