2026年信息化外包服务安全管理规范

2026年信息化外包服务安全管理规范1范围与适用对象本规范适用于所有以合同形式将信息系统建设、运维、开发、测试、数据处理、云资源租赁、安全运营、咨询评估等业务整体或部分委托给外部供应商的党政机关、金融机构、能源企业、交通单位、医疗卫生组织及大型国企。无论外包模式为驻场、离岸、混合或云化，均须全文执行。对于多供应商联合交付场景，甲方应以本规范为最低基准，在采购文件、SLA、合同附件及验收准则中逐条引用，禁止删减或降维。2术语与缩略语缩写全称定义OSCOutsourcedServiceCenter外包服务中心，指供应商侧承担交付任务的组织单元ISACInformationSecurityAssuranceCommittee甲方信息安全保障委员会CSDCriticalSensitiveData关键敏感数据，含核心生产数据、个人隐私、国家重要数据PAMPrivilegedAccessManagement特权账号管理S-SDLCSecureSoftwareDevelopmentLifeCycle安全开发生命周期CTICyberThreatIntelligence网络威胁情报MTTDMeanTimeToDetect平均检测时间MTTRMeanTimeToRespond平均响应时间ZTAZeroTrustArchitecture零信任架构KRIKeyRiskIndicator关键风险指标3安全治理架构3.1甲方责任a)董事会层面设立“外包风险治理专项”，每季度听取一次CISO汇报，对重大外包决策拥有一票否决权。b)ISAC由业务、法务、合规、内审、安全、采购、人力、财务八部门组成，负责制定年度外包安全战略、审批供应商准入清单、发布统一风险评级模型。c)建立“外包安全官”(OSO)角色，统一对外接口，拥有合同变更安全条款否决权、现场突击检查权、远程渗透测试权。3.2乙方责任a)设立独立“客户安全服务部”，与交付、运维、研发条线平行，直接向乙方CSO汇报，禁止利润中心考核。b)指定“客户安全经理”(CSM)作为单点联系人，7×24小时待命，更换前须提前30日书面征得甲方OSO同意。c)建立与甲方ISAC对口的“联合安全委员会”(JSC)，每月召开一次，会议纪要双方会签后存档五年。3.3第三方监督引入具备国家认可资质的独立评估机构，每年对乙方开展一次TypeⅢSOC2plus审计，覆盖可用性、保密性、隐私性、处理完整性、安全性五大信任服务原则，审计报告原文交甲方留存。4外包生命周期安全管理4.1规划阶段a)业务需求部门须填写《外包安全需求基线表》，明确数据分类、合规要求、可接受残余风险阈值。b)采购部在招标文件中嵌入“安全权重≥30%”的评分规则，技术分中安全子项低于80%即废标。c)对涉及CSD的外包项目，必须同步规划数据出境评估、国密算法改造、可信执行环境(TEE)预算。4.2供应商准入a)实施“安全准入双轨制”：资质轨+实测轨。资质轨要求具备ISO27001、27701、22301、20000、9001五体系证书且在有效期内；实测轨由甲方红队对乙方生产环境开展为期两周的远程渗透，高危漏洞数量>0直接淘汰。b)对乙方关键岗位人员开展背景调查，覆盖过去十年犯罪记录、失信记录、竞业限制、社交媒体敏感言论，调查比例100%，替补人员同样执行。c)建立“供应商安全评级池”，评分维度包括历史事件、漏洞整改时效、配合度、创新贡献，评级结果与合同份额、付款账期挂钩。4.3合同与SLAa)合同中须明确“安全违约金”条款：每发生一次CSD泄露事件，乙方按合同总金额10%支付违约金，上不封顶；若造成社会影响，甲方有权要求乙方按日营业额1%额外赔偿。b)SLA量化到分钟级：核心系统可用性≥99.95%，MTTD≤15分钟，MTTR≤30分钟，安全事件闭环≤24小时，违规一次扣减当月服务费5%。c)引入“安全激励金”：全年零事件且通过红队对抗演练，甲方可额外支付2%服务费作为奖励，鼓励主动防御。4.4交付与运维a)乙方所有变更须通过甲方ITSM平台流转，使用双人双因子审批；紧急变更须CSM与甲方值班经理电话+视频双重确认，事后24小时内补录工单。b)禁止使用个人邮箱、社交软件传输源代码或生产数据，所有文件交换经甲方自托管的加密文件柜完成，保留哈希值与日志五年。c)对生产环境实施“四眼原则”，乙方工程师与甲方工程师同时登录堡垒机，操作过程全屏录像，日志上传至甲方SIEM，保存七年。4.5持续监控a)甲方在全球部署蜜罐节点，将乙方出口IP加入白名单，一旦蜜罐被乙方IP触碰，立即触发“零信任冻结”，乙方所有VPN账号强制下线，CSM需在30分钟内提交书面解释。b)引入用户与实体行为分析(UEBA)引擎，对乙方工程师的键盘节奏、鼠标轨迹、命令序列建模，偏离基线30%即触发二次认证或强制休班审查。c)建立KRI仪表盘，实时展示暴力破解次数、异常下载量、高危端口开放数、未修复漏洞资产数，任一指标连续三次超过阈值自动启动“供应商黄牌”程序。4.6变更与退出a)合同期满或提前终止，乙方须在10个工作日内完成数据清除、账号注销、密钥吊销、硬盘消磁，并提供由国家级保密资质单位出具的《数据销毁证明》。b)退出阶段实施“暗桩观察期”，甲方在六个月内对原乙方IP、域名、邮箱持续监控，发现残留后门或数据外泄立即启动法律程序。c)建立“知识转移验收清单”，含运维手册、拓扑图、应急脚本、测试用例、漏洞报告、红队演练视频，缺一项即扣减尾款1%。5数据安全与隐私保护5.1分类分级级别数据示例加密要求存储位置访问权限L1-绝密国家重要数据、实时交易核心流水国密SM4-XTS+硬件SE甲方专有国密机房双人共管密钥L2-机密用户实名信息、生物特征SM4-GCM+KMS政务云加密池角色+属性+动态L3-秘密业务日志、订单快照AES-256乙方虚拟私有云最小权限+审计L4-内部营销素材、公开报表TLS1.3传输公有云对象存储只读+时间戳5.2数据隔离采用“逻辑隔离+物理隔离+时序隔离”三重机制：a)逻辑层：基于微隔离(Micro-Segmentation)将乙方不同项目划入独立VXLAN，东西向流量默认拒绝。b)物理层：对L1、L2级数据使用独立机柜、独立光纤、独立配电，机柜门封签由甲方保管。c)时序层：对批量数据操作窗口实施“限时令牌”，凌晨02:00-04:00自动失效，超时需重新申请。5.3隐私计算对联合建模场景强制使用联邦学习+可信执行环境(TEE)方案，原始数据不出域，只交换梯度；梯度数据经差分隐私(ε≤1)加噪，确保无法反推出单条个人信息。5.4跨境传输若业务确需出境，须完成省级以上网信办安全评估，并通过国家密码管理局指定的跨境数据加密网关，使用SM2/SM9混合算法进行端到端加密，密钥在甲方硬件密码机内生成，生命周期≤7天，到期自动销毁。6身份与访问控制6.1账号生命周期阶段控制点指标工具创建双人审批+工号复核≤2小时ServiceNow+AD变更岗位异动触发≤4小时HR系统API冻结连续失败5次立即自研ZTA平台注销离职流自动联动≤30分钟LDAP+堡垒机6.2特权管理a)乙方运维人员禁止使用静态超级密码，统一纳入甲方PAM平台，采用“一机一密+动态票据+30分钟自动回收”机制。b)对数据库DBA实行“拆库拆表”策略，任何账号只能获得当前工单涉及表的最小子集权限，授权颗粒度到列级别。c)引入“双人开锁”模式，对生产核心交换机、存储阵列的console口物理访问，须甲方值班经理+乙方CSM同时刷卡+指纹+一次性密码，方可开启机柜锁。6.3多因子认证所有远程接入强制使用“国密UKey+手机TOTP+人脸识别”三因子，任一步骤失败即触发账号冻结与摄像头抓拍，抓拍图像同步到甲方安防平台保存三年。7安全开发与测试7.1S-SDLC流程阶段安全活动交付物验收标准需求安全用户故事STRIDE威胁清单威胁≥高优先全部闭环设计攻击面评估设计加固报告中危及以上攻击面清零编码国密算法替换加密组件库弱加密算法0处测试灰盒+黑盒+代码审计漏洞报告高危漏洞0个，中危≤2上线红队对抗通关报告获取域控失败≥5次7.2开源治理a)建立“开源白名单”，只允许使用经甲方安全评估的组件版本，禁止直接拉取中央仓库最新版。b)引入二进制成分分析(BCA)工具，对乙方交付包进行指纹比对，发现GPL、AGPL等传染性许可证立即阻断上线。7.3测试数据管理禁止使用真实生产数据，统一使用甲方脱敏平台生成的“仿真数据集”，脱敏算法经差分隐私+格式保持+referentialintegrity三重校验，确保无法通过关联攻击还原原始数据。8漏洞与补丁管理8.1漏洞发现a)甲方授权乙方在授权范围内使用商用扫描器+自研引擎，扫描窗口为每周六00:00-06:00，禁止在业务高峰时段扫描。b)对0day漏洞，乙方须在获知后2小时内通过加密邮件+PGP签名向甲方OSO报告，并同步提供临时缓解方案。8.2漏洞评级采用CVSS3.1与国密行业规则融合算法，对国家漏洞库(CNNVD)评级结果上浮一级处理，确保“中危”按“高危”整改。8.3修复时限级别首次响应临时补丁官方补丁验证报告严重30分钟2小时24小时48小时内高危1小时6小时72小时5天内中危4小时24小时14天21天内低危1天7天90天90天内8.4补丁验证所有补丁须先在甲方“影子环境”完成业务回归测试，测试用例覆盖率≥95%，性能衰减≤3%，方可进入生产窗口。9事件与应急响应9.1分级标准等级定义通报时限决策层外部报告P1-紧急国家重要数据泄露、生产系统全局不可用15分钟董事会1小时内报监管P2-重大部分系统不可用>1小时、批量个人信息泄露30分钟分管副总2小时内报监管P3-一般单系统可用性下降<30%、非批量数据泄露1小时部门经理4小时内备案P4-轻微局部功能异常、无数据泄露4小时值班长次日备案9.2应急组织a)建立“1-3-10”梯队：1分钟自动告警，3分钟应急组长到位，10分钟技术专家集结完毕。b)每季度开展一次“无通知”红蓝对抗，蓝方模拟APT攻击，红方启动应急响应，演练通过标准：攻击链被阻断在第二阶段内、数据外泄量=0。9.3取证与溯源a)对P1、P2事件，甲方在30分钟内冻结乙方所有账号，并启动“网络镜像+内存dump+磁盘克隆”三同步取证，证据链使用国密SM3计算哈希，写入区块链存证。b)引入威胁狩猎平台，结合CTI、DNS日志、NetFlow、EDR数据，使用图算法在5分钟内定位初始攻击入口，30分钟内输出可视化攻击路径。10业务连续性与灾难恢复10.1RPO/RTO目标系统类别RPORTO灾备模式核心交易≤15秒≤5分钟双活+仲裁渠道类≤5分钟≤30分钟热备+自动切换管理类≤30分钟≤2小时温备+半自动报表类≤24小时≤1天冷备+人工10.2演练频次a)双活切换每月一次，真实流量占比≥20%，演练期间业务成功率≥99.9%。b)全链路勒索软件演练每半年一次，模拟备份系统被加密，必须在2小时内从离线副本恢复至一致状态。10.3灾备数据中心乙方若提供灾备服务，机房须距离主中心≥300公里，位于不同地震带，且通过国密算法实现加密异步复制，复制通道使用独立光缆，禁止与互联网共用物理路由。11合规与审计11.1法规映射将《网络安全法》《数据安全法》《个人信息保护法》《密码法》《关键信息基础设施安全保护条例》以及行业监管细则，拆解为618条可落地控制点，嵌入合同条款与检查表，实现“一条法规对应一份技术报告”。11.2审计形式a)甲方内审：每年一次，覆盖所有在供供应商，采用“飞行检查”模式，不提前通知，现场封存笔记本与硬盘。b)第三方外审：每三年一次，由国际“Big4”之一与国家主管部门认可机构联合执行，审计范围包含财务、安全、合规、ESG四维度。c)乙方自审：每季度提交自评报告，附带原始日志与截图，甲方使用RPA随机抽查10%证据，伪造或篡改即列入黑名单，三年内禁止参与新项目。11.3审计闭环对发现的“不符合项”，乙方须在7日内提交纠正措施(CA)，14日内提交根本原因分析(RCA)与预防措施(PA)，甲方在21日内验证有效性，未通过验证按5000元/项·天累计罚款。12人员安全管理12.1入职a)乙方员工须通过国家级安全背景审查，提交无犯罪记录证明、最高学历认证、竞业限制声明。b)对掌握L1、L2级数据的人员，增加“心理风险评估”，采用AI面诊+专家访谈，评估结果“高风险”不予录用。12.2在职a)每年至少20小时安全意识培训+8小时实战钓鱼演练，点击率>5%需重新培训。b)对开发、运维、测试、DBA四类岗位实行“轮岗+强制休假”制度，关键岗位每两年必须连续休假≥5个工作日，休假期间回收所有权限，由替岗人员完成工作交接并记录。12.3离职a)离职当日完成账号冻结、工牌注销、门禁删除、摄像头截图、硬盘消磁、保密承诺书签署，全过程由甲方安保人员现场监督。b)建立“离职人员追踪池”，对离职后六个月内入职竞争对手的人员，启动竞业限制诉讼，并监控其GitHub、社交媒体，发现泄露立即取证。13物理与环境安全13.1机房a)乙方若托管甲方设备，须满足GB50174-A级标准，机柜独立区域，使用防爆墙+红外光栅+震动传感器，告警响应≤5秒。b)机房入口部署“防尾随”通道，需同时通过人脸、掌静脉、RFID三道验证，记录保存三年。13.2办公区a)乙方驻场人员与甲方员工分区办公，中间设置物理闸机，禁止携带个人笔记本、移动硬盘、摄影器材进入。b)打印、复印、传真设备纳入审计，所有输出文件强制嵌入隐式水印，含用户、时间、打印机序列号，泄露后可快速溯源。13.3销毁对含有CSD的纸质文件使