xx大学信息化项目服务商安全保密承诺书

xx大学信息化项目服务商安全保密承诺书第一章总则第一条目的与依据为切实保障xx大学信息化项目全生命周期内的数据安全、业务连续与知识产权，依据《中华人民共和国保守国家秘密法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》以及xx大学相关管理制度，特制定本承诺书。第二条适用范围本承诺书适用于服务商及其所有关联机构、分包商、外协团队、顾问、实习生、临时工在参与xx大学信息化项目需求调研、方案设计、开发测试、部署实施、运维运营、升级迁移、退出移交等全部环节中所产生的接触、处理、存储、传输、销毁的信息资产。第三条术语定义1.敏感信息：指非国家秘密但泄露、篡改、丢失、滥用可能对学校教学科研秩序、师生权益、声誉或第三方合法权益造成实质影响的数据，包括但不限于教务数据、科研数据、财务数据、人事数据、日志、配置、源码、算法、模型、接口文档、网络拓扑、漏洞信息、加密密钥、备份文件等。2.最小可用原则：指任何人员仅可获取完成指定任务所需的最小数据集、最小权限、最小时长。3.双人共管：指对核心密钥、核心配置、核心介质的任何操作须由两名授权人员同时在场、同时输入、同时确认，并生成不可抵赖的审计记录。4.零信任：指默认不信任任何主体、设备、网络、服务，每次访问均须动态验证身份、环境、行为、上下文。第二章组织与职责第四条服务商安全责任人服务商须指定一名高级管理人员担任“项目安全责任人”，姓名：张某某，工号：SA2025，邮箱：zhangxx@，手机：138****0001，负责统筹安全保密工作，接受xx大学网络安全与信息化办公室（以下简称“校方”）统一调度。第五条校方安全联系人校方指定信息化办公室郑某某为项目安全联系人，负责下发安全策略、组织检查、受理事件报告。第六条三级安全组织1.决策层：由服务商CTO、校方信息化分管领导组成，每月召开一次安全例会，审议风险通报、整改报告、预算投入。2.管理层：由双方项目经理、安全经理、法务经理组成，每两周召开一次推进会，跟踪进度、闭环问题。3.执行层：由开发、测试、运维、安全、审计、行政等角色组成，每日站立会同步风险，每周输出《安全周报》。第三章人员管理第七条背景审查1.所有入场人员须通过公安机关无犯罪记录核查、校方人脸识别库比对、服务商内部诚信系统评估。2.对触及核心数据库、核心密钥、核心网络的人员额外增加金融征信、社交媒体舆情、竞业限制调查。3.背景审查材料保存七年，离校时再次复核，发现风险立即冻结账号、回收权限、启动退出流程。第八条保密协议1.所有人员须与服务商、校方双重签署《个人保密协议》，明确保密范围、期限、违约责任、赔偿标准。2.保密期限自签署之日起至项目验收后十年；涉及个人信息、核心技术的，延长至二十年；国家秘密按法律法规执行。3.保密协议须加盖骑缝章，扫描件存入校方电子印章系统，纸质件存入校档案馆。第九条分级授权1.将权限分为L0–L4五级：L0禁止访问；L1仅可查看公开页面；L2可查看脱敏业务数据；L3可查看明文业务数据；L4可查看密钥、日志、源码。2.授权须遵循“一事一申请、一事一审批、一事一审计”，审批链须包含申请人、直接主管、安全责任人、校方联系人四级。3.所有授权记录须同步至校方SIEM，保存原始日志不少于180天，并做哈希防篡改。第十条离岗交接1.离岗前须完成知识移交、权限回收、设备归还、邮箱转存、云盘清理、门禁注销、工牌剪角。2.交接过程须由校方审计员在场录像，录像文件命名规则：YYYYMMDD_姓名_角色_离岗.mp4，保存三年。3.离岗后90天内禁止以任何形式远程登录项目环境，VPN、堡垒机、云桌面账号立即加入黑名单。第四章物理与环境安全第十一条机房管理1.服务商自建或租赁的机房须达到GB50174A级标准，双路市电、柴油发电机、UPS30分钟续航，七氟丙烷气体灭火，温湿度22±2℃、45%–65%。2.机房须划分红区（核心数据）、黄区（业务应用）、蓝区（开发测试），三区之间采用物理门禁、单向光闸、视频网闸隔离。3.红区须部署防尾随互锁门、指纹+人脸+CPU卡三因素认证，进出记录保存三年，视频录像保存一年。第十二条介质管控1.所有硬盘、U盘、光盘、磁带须粘贴二维码标签，标签含项目编号、责任人、启用日期、密级。2.介质须存放于防电磁屏蔽柜，柜体须接地，钥匙由双人共管。3.报废介质须使用消磁机消磁后物理粉碎，粉碎颗粒直径≤2mm，全过程录像并生成《介质销毁报告》，由校方代表签字确认。第十三条办公区域1.工位须安装隐私屏，屏幕倾角≤30°，外人无法直视。2.下班须执行“桌面清空”：锁柜、关机、拔Key、盖摄像头，保安每日22:00拍照巡检。3.禁止在办公区讨论敏感内容，确需讨论须使用隔音会议室，手机集中存放于信号屏蔽袋。第五章网络与通信安全第十四条网络架构1.采用“核心—汇聚—接入”三层架构，核心与汇聚之间运行OSPF+BGP双栈，接入层强制DOT1X认证。2.生产网、测试网、办公网、运维网四网物理隔离，互联须通过校方批准的防火墙，策略最小化至端口级。3.所有外部API接口须通过API网关统一暴露，网关须具备流量清洗、签名验证、国密TLS1.3、双向证书、限流熔断、灰度发布能力。第十五条加密要求1.传输加密：Web采用TLS1.3+SM2/SM3/SM4国密套件，内部微服务采用mTLS，数据库采用TDE透明加密。2.存储加密：核心数据库列级加密，密钥托管于校方KMIP服务器，服务商无法导出明文密钥。3.密钥生命周期：生成→分发→使用→轮换→归档→销毁全流程自动化，轮换周期≤90天，销毁须符合GM/T0054-2018。第十六条通信审计1.所有远程运维须通过校方堡垒机，堡垒机须支持国密算法、国密USBKey、国密SSH代理。2.运维命令须实现“输入预审核、执行中监控、执行后回溯”，高危命令须二次短信确认。3.审计日志须实时上传至校方日志云，保留三年，日志哈希每小时同步至司法区块链存证。第六章主机与应用安全第十七条基线加固1.操作系统采用CISBenchmarkLevel2，禁用telnet、rlogin、ftp、usb-storage、autorun。2.中间件关闭管理端口外放，Tomcat删除examples、docs、manager、host-manager，Nginx隐藏版本号，MySQL禁止–skip-grant-tables。3.容器镜像须通过校方Harbor扫描，CVE≥高危禁止拉取，镜像签名须采用Notary+Cosign双签。第十八条漏洞管理1.服务商须建立“日巡检、周扫描、月渗透、季红队”机制，扫描范围覆盖IP、端口、Web、API、容器、云原生。2.高危漏洞须在24小时内修复或提供临时缓解方案，中危72小时，低危14天。3.所有漏洞须录入校方VMS平台，状态包含发现、评估、修复、复测、关闭五阶段，复测须由第三方机构交叉验证。第十九条安全开发1.推行SDL流程：需求→设计→编码→测试→上线→运维六阶段，每阶段须输出安全交付物。2.编码须符合OWASPTop10、SEICERTJava/C++/Python标准，采用SonarQube+CodeQL双引擎扫描，质量门禁：阻塞漏洞=0，严重漏洞≤1，高危漏洞≤3。3.上线前须完成灰度发布、流量镜像、混沌工程、红蓝对抗，确保99.99%可用性后方可全量。第七章数据安全第二十条分类分级1.将数据分为P1–P4四级：P1为公开数据；P2为内部数据；P3为敏感数据；P4为核心数据。2.P3/P4数据须加密、脱敏、水印、权限、审计五重防护，导出须副校长级书面审批。3.数据分级清单须每季度复核，变更须走CCB（变更控制委员会）评审。第二十一条脱敏与匿名1.脱敏算法须采用K-匿名+L-Diversity+T-Closeness组合，K≥5，L≥3，T≤0.2。2.匿名化后须通过重识别风险评估，重识别概率≤0.05方可出库。3.所有脱敏规则须存入GitLab仓库，版本号与代码版本绑定，回滚可追踪。第二十二条备份与恢复1.采用3-2-1策略：3份副本、2种介质、1份异地，备份窗口≤15分钟，RPO≤5分钟，RTO≤30分钟。2.备份数据须与生产数据同等级加密，备份密钥由校方与服务商各持一半，恢复须双方同时到场。3.每季度举行一次灾备演练，演练报告须由信息化办公室、财务处、审计处三方会签。第八章隐私保护第二十三条个人信息处理1.仅处理校方书面授权范围内的个人信息，禁止超范围收集、使用、共享、转让、公开披露。2.采集前须进行PIA（隐私影响评估），评估报告上传至教育部备案系统。3.向第三方共享须签署三方协议，约定数据类型、数量、用途、期限、删除方式，共享后须进行审计跟踪。第二十四条数据主体权利1.建立“一键查询、一键更正、一键删除、一键导出”线上通道，通道地址须在学校官网显著位置公示。2.收到数据主体请求后须在15日内完成，特殊情况可延长至30日并书面说明理由。3.所有操作须留存日志，日志包含请求人、请求时间、操作人、操作结果、拒绝理由（如有）。第九章审计与监控第二十五条日志规范1.日志须包含who、what、when、where、how五要素，时间采用NTP授时，精度≤100毫秒。2.日志格式采用JSON，字段≥28项，包含userId、srcIp、dstIp、url、method、status、bytes、duration、userAgent、referer、sessionId、traceId、spanId。3.日志传输须采用TLS1.3+双向证书，压缩采用LZ4，加密采用SM4，签名采用SM2。第二十六条实时监控1.部署SOC+SIEM+UEBA+SOAR四件套，规则库≥3000条，机器学习模型≥50个，异常检测准确率≥99%。2.告警分级：紧急→高危→中危→低危→提示，紧急告警须在5分钟内电话通知校方联系人，30分钟内提交事件报告。3.所有告警须在24小时内闭环，闭环证据包括截图、日志、录像、工单、复盘报告。第十章事件响应第二十七条分级响应1.将安全事件分为S1–S4四级：S1为特别重大；S2为重大；S3为较大；S4为一般。2.S1事件须立即启动I级响应，服务商CEO须带队到校，2小时内完成初步报告，12小时内完成详细报告，24小时内完成整改措施。3.所有事件须按照“检测→遏制→根除→恢复→总结”五阶段处理，总结报告须上传至教育部安全平台。第二十八条证据保全1.事件发生后立即对涉事主机进行内存转储、磁盘镜像、网络抓包，证据文件采用SHA256+时间戳+司法区块链存证。2.证据链须包含原始日志、原始流量、原始文件、操作录像、证人证言，保存期限≥七年。3.如需移交公安机关，须由校方保卫处、服务商法务部、第三方律所三方共同封装，封装袋采用一次性防拆封条。第十一章外包与