DB14T 1251-2016 信息技术服务外包安全要求

2016-12-10实施2016-12-10实施I 1 13术语和定义 14对委托方的基本要求 24.1委托方信息技术服务外包安全管理基本原则 24.2信息技术服务外包安全管理职责 25总体要求与分类分级 45.1总体要求 45.2安全要求的实施主体 45.3安全要求的分类 5 5 66.1服务商选择与供应链安全 66.2访问控制 8 96.4事件处理 C………………………10 16.6人员安全 16.7物理与环境安全 9………………137中级 7.1服务商选择与供应链安全 7.2访问控制 7.4事件处理 217.6人员安全 7.7物理与环境安全 268.1服务商选择与供应链安全 8.2访问控制 298.3维护 8.4事件处理 3IIsRA 348.6人员安全 8.7物理与环境安全 37附录A(资料性附录)信息技术服务外包分类 39附录B(资料性附录)信息安全风险分析 41参考文献 见》(国发〔2012〕23号)要求，“严格政府信息技术服务外包的安全管理”,“在软件服务外包、信信息技术服务注：附录A给出了信息技术服务外包的分类，包括信息技术咨询服务、系统集成服务、系统设计与开发服务、运行维护服务、数据处理服务、数据存储服务、灾难恢复服务、事件处理服务、安全测评认证服务、系统托管服务2通过多个资源和过程联系在一起的一系列组织，始于未加工的原材料，终于使用产品和服务的最终用户，是一个由多个上游与下游供应商形成的网链结构，可将信息通信技术的产品和服务提供给最终用网络安全审查委托方与外包服务商之间就外包服务的品质、水准、性能等方面所达成的双方共同认可的协议或契b)领导决策原则。信息技术服务外包应获得委托方服务外包主管领导的支持、批准和授权。d)监督检查原则。委托方应对信息技术服务活动进行监管，并接受信息安全主管部门的监督检查。产生、存储的数据和文档等资源属委托方所有。外包服务商应保障委托方对这些资源的访问、3a)应由委托方信息安全主管领导担任服务外包管理小组的副职(含)以上领导。2)提供并保障服务外包信息安全管理所需要的资源。3)组织检查信息技术服务外包中信息安全措施的执行情况。a)对信息安全主管领导负责，将服务外包信息安全管理情况、信息技术服务外包信息安全执行情况及时报告主管领导。委托方应建立信息技术服务外包安全管理模型，如图1所示。该模型将信息技管理活动划分为服务外包信息安全规划准备、机构和人员选择、运行4信息技术服务外包安全管理角色和职责●主管领导●负责机构外包服务机构外包服务机构和人员选择●外包服务机构和人员风险评估●服务外包合同●服务外包信息●外包服务机构规划准备●服务外包信息安全风险评估●服务外包信息安全管理策略和制度运行监督●服务过程评估●阶段成果交付●服务改进●服务退出改进和完成5.1总体要求信息技术外包服务安全要求的核心是建立委托方与外包服务商的信任关系，这一信任关系包括以下 (如提供软件开发服务)时，其全部过程对委托方可见，所有技术资料、说明文档完备可查，d)保密性。外包服务商具备保护自身信息安全的能力，所存储的委托方的信息不被非授权泄露。为了保障信息技术外包服务的信息，委托方和外包服务商均应实施相应信息安全保障措施，具体包5b)本标准在第5—7章提出的信息安全要求同时涵盖以上两方面内容，并在描述中将信息安全要5.3安全要求的分类b)“访问控制”类。委托方应防止外包6c)对需要资质的信息技术服务，如信息安全测评、云计算等，外包服务商应已获得相应资质。a)制定信息安全条款，具体内容包括但不限于：2)服务外包信息安全保障范围和费用。h)建立服务退出策略中有关信息安全的管理要求：2)保证信息技术服务信息安全质量在退出阶段能够维持服务合同中的信息安全管理要求。6.1.3供应链安全a)将信息安全纳入信息系统生命周期，确保信息安全与信息化同步规划、同步建设、同步运行。c)制定明确的开发规范，在规范中明确以下事项：1)所开发系统的安全需求。d)采取有关措施，确保开发过程的完整性和工具变更的完整性。6.1.6系统文档2)安全特性或功能的使用和维护说明。3)与管理功能有关的配置和使用方面的注意事项。81)用户可使用的安全功能或机制，以及对如何有效使用外包服务商应对委托方提供培训，以帮助委托方正确使用所交付系统或产品中的安全功能、措施和机制。d)针对鉴别凭证的初始分发、丢失处置以及收回，建立和实施管理规程。6.2.3数据静态保护外包服务商应采取以下措施，防止其信息系统中承载的委托方业务或数据被非授权访问：对委托方的业务和数据实施严格的访问控制，确保未经委托方授权的人员不能访问其业务和数据，包括外包服务委托方应按照最小特权原则，赋予外包服务商在本系统、本机构中的逻辑和物理访问权限：9b)采取有关措施保证远程访问的安全，如多因子认证、VPN(虚拟专用网)、数字证书等。a)根据信息系统组件的规格说明以及自身的业务需求，对信息系统组件的维护和修理进行规划、实施、记录，并对维护和修理记录进行审查。描述、被转移或替换的设备列表(包括设备标识号)等信息。a)检查由维护人员带入设施内部的维护工具，以确保维护工具未被不当修改。c)对所有远程维护和诊断活动进行审计，并定期对所有远程维护和诊断会话的记录进行审查。a)建立对维护人员的授权流程，对已获授权的人员建立列表。外包服务商应对本机构承载委托方业务和数据的信息系统进行安全维护，并定期将维护记录向委托方提交。a)明确信息系统中有哪些变更需要包含在b)建立对受控配置进行变更的授权程序。c)审查所提交的受控配置变更事项，根据安全影响分析结果决定批准或否决，并进行记录。d)保留信息系统中受控配置的变更记录。e)定期对受控配置变更活动进行审查。a)明确管理目标与范围，制定包括系统设施和操作等内容的系统安全目标与范围计划文件。c)提供对信息系统进行基本安全f)提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措外包服务商应制定信息安全管理制度，包括信息安全管理规定、系统安全管理规定、数据安全管理规定、防病毒规定、机房安全管理规定、设备使用管理规定、人员安全管理规定、安全审计管理规定、用户管理规定、风险管理规定√信息分类分级管理规定、安全事件报告规定、事故处理规定、应急管理规定和灾难恢复管理规定等以及相关规程。6.4事件处理b)当审计记录存储容量即将用完时，例如剩余10%,向审计管理员报警。外包服务商应建立或指定负责外包活动信息安全的部门：b)处理涉及委托方的信息安全事件。e)定期或在信息安全策略或计划发生变更时，评审和更新信息安全规章制度，以确保其持续适用和有效。c)根据岗位风险，明确所有岗位的信息安全职责。a)事先告知委托方。b)在正式下达调令后的一周或更短时间内，启动再分配或调动行动，不得无故拖延。b)在启动处罚程序时，通知本机构相关部门，通报受处罚人员及处罚原因。外包服务商应对本机构外包服务人员、委托方及其他有关人员(包括管理层人员和合同商)提供信b)将关键和重要敏感信息及信息处理设备控制在安全区域内，且该区域具有清晰的安全边界标委托方应建立物理环境访问控制机制，对外包服务商的物理访向进行授权：b)制定和维护外包服务人员的物理访问审计日志。d)定期或在钥匙丢失、访问凭证受损以及相关人员发生变动的情况下，更换钥匙和访问凭证。a)在本机构设置物理访问监控设备，使物理访问监控设备保持24小时开启，并制定对监控记录b)对重要设备进入和离开机房进行授权和监控，并制定和维护相关记录。6.7.7资源管理5)接受过本机构或政府主管部门组织的背景审查。e)外包服务商在中华人民共和国境内(港澳台地区除外)注册，由中国公民投资、中国法人投资 (港澳台地区除外)。6)服务外包过程中的知识产权归属。8)明示外包服务机构接受信息安全主管部门监督检查的责任义务。3)与外包服务机构协商达成一致的合同撤销退出条件。2)保证信息技术服务信息安全质量在退出阶段能够维持服务合同中的信息安全管理要求。2)在服务退出过程中，退还所有委托方的数据和文档。j)外包服务商承诺不在未获得明确授权情况下向境外传输委托方的数据。a)将信息安全纳入信息系统生命周期，确保信息安全与信息化同步规划、同步建设、同步运行。c)对信息系统的安全措施进行清晰描述，例如安全功能、机制、安全管理制度等，并向委托方提供详细说明。1)所开发系统的安全需求。e)定期审查开发过程、标准、工具以及工具选项和配置。g)确定安全问题追踪工具，并在开发过程期间使用。i)即使在交付外包服务后，也应跟踪漏洞情况，发现漏洞后及时通知委托方，并向委托方提供经验证的漏洞补丁。1)所开发的信息系统及其组件或服务的安2)安全特性或功能的使用和维护说明。外包服务商应对委托方提供培训，以帮助委托方正确使用所交付系统或产品中的安全功能、措施和机制。a)明确由专门的授权人员为外包服务人员分配个人、组、角色或设备标识符。b)部署数据挖掘检测，对系统中存储的委托方数据受到的数据挖掘和大数据分析行为能够及时发7.2.4数据流控制外包服务商应在确保委托方隐私权和安全利益的前提下，对承载委托方业务和数据的信息系统实施数据流控制措施：a)控制委托方数据在系统内或互连系统间流向第三方。根据实际情况，数据流控制策略的实现方式可包括：将相关数据属性(如数据内容和数据结构)、源与目的地对象等作为数据流控制的决策基础。b)必要时对数据流实施人工审查。委托方应按照最小特权原则，赋予外包服务商在本系统、本机构中的逻辑和物理访问权限：a)为外包服务商提供的访问权限应是其完成外包服务所必需的，符合本机构的业务需求。7.2.6边界保护a)在连接外部系统的边界和内部关键边界上，对通信进行监控；在访问系统的关键逻辑边界上，c)在每一次远程连接前，对远程访问进行单独授权，在到达规定的时间或单次外包活动结束后，终止远程访问。a)根据信息系统组件的规格说明以及自身的业务需求，对信息系统组件的维护和修理进行规划、描述、被转移或替换的设备列表(包括设备标识号)等信息。a)检查由维护人员带入设施内部的维护工具，以确保维护工具未被不当修改。2)净化或破坏设备。 7.3.3远程维护c)对所有远程维护和诊断活动进行审计，并定期对所有远程维护和诊断会话的记录进行审查。d)仅允许使用事先报备、符合委托方要求并经批准的远程维护和诊断工具，例如可要求远程维护和诊断活动中所有流入和流出的信息均对委托方可见。7.3.4维护人员外包服务商应对本机构承载委托方业务和数据的信息系统进行安全维护，并定期将维护记录向委托方提交。7.3.7变更控制委托方应采取以下变更控制措施，防止外包服务商对委托方信息系统和承载委托方业务和数据的信息系统进行非授权更改：息系统进行非授权更改：b)建立对受控配置进行变更的授权程序。c)审查所提交的受控配置变更事项，根据安全影响分析结果决定批准或否决，并进行记录。f)在每次实施变更之前，对变更项进行分析，以判断该变更事项对信息安全带来的潜在影响。h)限制外包服务商对生产环境中的信息系统及其硬件、软件和固件进行直接变更20a)明确管理目标与范围，制定包括系统设施和操作等内容的系统安全目标与范围计划文件。b)为达到相应等级技术要求，提供相应的管理保证。c)提供对信息系统进行基本安全保护的安全功能和安全管理措施，确保安f)提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措a)制定基本的信息安全管理规定，包括信息安全管理规定、系统安全管理规定、数据安全管理规定、防病毒规定、机房安全管理规定、设备使用管理规定、人员安全管理规定、安全审计管理规定、用户管理规定、风险管理规定、信息分类分级管理规定、安全事件报告规定、事故处理规定、应急管理规定和灾难恢复管理规定等以及相关规程。b)制定全面的信息安全管理规定，包括：1)机房、主机设备、网络设施、物理设施分类3)网络连接检查评估、网络使用授权、网络检测、网络设施(设备和协议)变更控制和相关记录、病毒防护、系统维护、网络互联、安全审计、安全事件报告、事故处理、应急管6)信息分类标记、涉密信息管理、文档管理、存储介质管理、信息披露与发布审批管理、第7.4事件处理为及时应对承载委托方业务和数据的信息系统可能发生的信息安全事件，外包服务商应制定事件处理计划：2)说明其机构内与事件处理有关的组织架构。c)协调应急响应活动与事件处理活动，并与相关外部组织(如国家和地方信息安全应急处理机构)进行协调。7.4.3事件报告承载委托方业务和数据的信息系统发生信息安全事件后，外包服务商应及时启动事件报告机制：c)在事件处理部门和外部的信息安全组织之间建立直接合作关系，能够在必要时获得外部组织的协助。7.5审计22c)在线审计委托方的业务和数据委托给外包服务商后，所有对委托方业务和数据的访问、操作行a)根据所获得的授权，审计本系统、本机构中所有对委托方业务和数据的访问、操作行为，并定期向委托方提交审计报告。 d)当审计过程失败时，向审计管理员报警。发生位置、事件发生时间以及事件涉及的IP地址和系统资源等。c)当法律法规、委托方的需求或信息系统面临的威胁环境发生变化时，调整对审计记录进行审查、分析、报告的策略。a)定期评估外包活动信息安全执行情况，以确保信息技术服务的信息安全质量和连续性。b)定期评估内外部信息安全风险和威胁变化情况，必要时调整对外包服务机构提出的安全要求，具体评估内容包括：233)信息技术服务类型、服务方式、服务产品等要素的调整而造成的新威胁。c)根据评估和审计结果，提出新的信息安全风险预防措施和改进措施，并报主管领导批准。3)审计中发现的异常情况以及处置情况。委托机构和外包服务商应对审计机制设置时间戳：使用信息系统内部系统时钟生成审计记录的时间戳，并满足秒级的时间颗粒度。g)向委托方提交审计记录、事件处理报告、应急演练计划等重要文档。外包服务商应制定与外包活动有关的岗位清单：b)建立上岗人员的筛选准则。d)对关键岗位进行职责分离，并将职责分离情况记录在案，通过访问控制措施进行落实。a)事先告知委托方。d)终止或撤销与该人员相关的任何身份鉴别物或凭证。 b)在正式下达调令后的一周或更短时间内，启动再分配或调动行动，不得无故拖延。外包服务商应对来访本机构并可能接触委托方业务和数据的第三方人员实施安全控制措施：a)提出第三方供应商(如合同商、外部应用提供商等)的人员安全要求，包括安全角色和责任。c)监视第三方供应商的合规情况。b)在启动处罚程序时，通知本机构相关部门，通报受处罚人员及处罚原因。外包服务商应对本机构外包服务人员、委托方及其他有关人员(包括管理层人员和合同商)提供信b)控制机房位置信息的知悉范围。b)将关键和重要敏感信息及信息处理设备控制在安全区域内，且该区域具有清晰的安全边界标外包服务商应对本机构的物理和环境作出规划，防止承载委托方业务和数据的信息系统被非授权访a)合理划分机房物理区域，合理布置信息系统组件，以防范火灾、电磁泄露等物理和环境威胁以及非授权访问等人为威胁。b)制定和维护外包服务人员的物理访问审计日志。d)定期或在钥匙丢失、访问凭证受损以及相关人员a)在本机构设置物理访问监控设备，使物理访问监控设备保持24小时开启，并制定对监控记录的授权查阅流程。b)定期或当发生安全事件时，对物理访问日志进行查阅。b)对重要设备进入和离开机房进行授权和监控，并制定和维护相关记录。7.7.7资源管理8增强级c)对需要资质的信息技术服务，如信息安全测评、云计算等，外包服务商应已获得相应资质。4)为中国公民。内(港澳台地区除外)。h)在能提供相同产品的多个不同供应商中作选择，以防范供应商锁定风险。6)服务外包过程中的知识产权归属。8)明示外包服务机构接受信息安全主管部门监督检查的责任义务。1)当服务合同到期后的正常退出条件。3)与外包服务机构协商达成一致的合同撤销退出条件。4)服务合同内容的修改或调整退出条件。1)依据不同的服务退出条件，定义服务退出过程2)保证信息技术服务信息安全质量在退出阶段能够维持服务合同中的信息安全管理要求。2)在服务退出过程中，退还所有委托方的数据和文档。j)外包服务商承诺不在未获得明确授权情况下向境外传输委托方的数据。a)将信息安全纳入信息系统生命周期，确保信息安全与信息化同步规划、同步建设、同步运行。c)制定明确的开发规范，在规范中明确以下事项：e)定期审查开发过程、标准、工具以及工具选项和配置。验证的漏洞补丁。m)提供对硬件组件进行完整性验证的方法，如防伪标签、可核查序列号、防篡改技术等。2)安全特性或功能的使用和维护说明。3)与管理功能有关的配置和使用方面的注意事项。1)用户可使用的安全功能或机制，以及对如何有效使用这些安全功能或机制的说明。d)在合理的时间段内防止对用户或设备标识符的重用。8.2.4数据流控制外包服务商应在确保委托方隐私权和安全利益的前提下，对承载委托方业务和数据的信息系统实施数据流控制措施：a)控制委托方数据在系统内或互连系统间流向第三方。根据实际情况，数据流控制策略的实现方式可包括：1)将相关数据属性(如数据内容和数据结构)、源与目的地对象等作为数据流控制的决策基2)实施动态数据流控制，如针对运行条件或运行环境变化，具备动态调整数据流控制策略的b)必要时对数据流实施人工审查。c)在不同的安全域之间传输信息时，检查信息中是否存在敏感信息，并遵循相关安全策略，禁止传输此类信息。d)为委托方业务搭建物理独立的计算平台、存储a)明确远程访问使用条件、配置和连接要求c)在每一次远程连接前，对远程访问进行单独授权，在到达规定的时间或单次外包活动结束后，终止远程访问。f)自动监视和控制远程访问会话，以检测网络攻击，确保远程访问策略得以实现，重点防止外包服务商通过远程访问执行恶意功能。a)根据信息系统组件的规格说明以及自身的业务需求，对信息系统组描述、被转移或替换的设备列表(包括设备标识号)等信息。a)检查由维护人员带入设施内部的维护工具，以确保维护工具未被不当修改。a)针对远程维护链接及诊断链接的建立，明确规定有关策略和规程，对每次远程维护和诊断进行审批和监视。8.3.4维护人员8.3.7变更控制委托方应采取以下变更控制措施，防止外包服务商对委托方信息系统和承载委托方业务和数据的信息系统进行非授权更改：a)明确信息系统中有哪些变更需要包含在受控配置列表中，如主机配置项、网络配置项等。c)审查所提交的受控配置变更事项，根据安全影响分析结果决定批准或否决，并进行记录。d)保留信息系统中受控配置的变更记录。e)定期对受控配置变更活动进行审查。f)在每次实施变更之前，对变更项进行分析，以判断该变更事项对信息安全带来的潜在影响。g)要求外包服务商实施变更之前，对受控i)定期对外包服务商掌握的变更权限进行审查和再评估。c)提供对信息系统进行基本安全保护的安全功能和安全管理措施，确保安全功能达到预期目标，f)提供对信息系统进行安全保护的比较完整的系统化安全保护的能力和比较完善的安全管理措施，从整体上保护信息免遭非授权的泄露和破坏，保证信息系统h)对信心安全管理策略和措施进行周期性评估，包括对信息安全风险变化和安全事件的评估。b)制定全面的信息安全管理规定，包括：5)人员安全管理、安全意识与安全技术教育、操作安全、操作系统和数据库安全、系统运行记录、病毒防护、系统维护、网络互联、安全审计、安全事件报告、事故处理、应急管理、灾难恢复和相关的操作规程等运行安全管理规定。6)信息分类标记、涉密信息管理、文档管理、存储介质管理、信息披露与发布审批管理、第三方访问控制和相关的操作规程等信息安全管理规定。7)信息保密标识与管理规定、密码使用管理规定等。2)说明其机构内与事件处理有关的组织架构。c)事件处理计划应得到委托方的同意，并告知委托方和外包服务商的所有相关部门与人员。b)将在事件处理活动中获得的经验，纳入事件处理、培训及演练计划，并实施相应的变更。c)协调应急响应活动与事件处理活动，并与相关外部组织(如国家和地方信息34承载委托方业务和数据的信息系统发生信息安全事件后，外包服务商应及时启动事件报告机制：b)建立事件报告渠道，当发生影响较大的安全事件时，向国家和地方应急响应组织及有关信息安全主管部门报告。b)记录外包服务商在委托方物理场所内的所有活动。c)在线审计委托方的业务和数据委托给外包服务商后，所有对委托方业务和数据的访问、操作行a)根据所获得的授权，审计本系统、本机构中所有对委托方业务和数据的访问、操作行为，并定期向委托方提交审计报告。b)对本机构承载委托方业务和数据的信息系统运行情况进行审计，并定期向委托方提交审计报35d)当审计过程失败时，向审计管理员报警。e)对审计记录和审计工具实施访问控制机制，防止非授权访问、篡改或删除。a)能够根据不同审计类别对审计记录进行检索和处理。审计类别包括用户身份、事件类型、事件发生位置、事件发生时间以及事件涉及的IP地址和系统资源等。c)当法律法规、委托方的需求或信息系统面临的威胁环境发生变化时，调整对审计记录进行审查、分析、报告的策略。d)使用自动机制对审查、分析和报告过程进行整合，以支持对可疑活动的调查和响应。e)对来自不同审计源的审计记录进行关联性分析，以便形成整体态势感知。8.5.6持续监视b)定期评估内外部信息安全风险和威胁变化情况，必要时调整对外包服务机构提出的安全要求，具体评估内容包括：3)信息技术服务类型、服务方式、服务产品等要素的调整而造成的新威胁。4)信息安全事件的处置措施准备情况。3)审计中发现的异常情况以及处置情况。5)承载委托方业务和数据的信息系统的远程访问的总体情况及其统计分析。委托机构和外包服务商应对审计机制设置时间戳：a)使用信息系统内部系统时钟生成审计记录的时间戳，并满足秒级的时间颗粒度。36b)对重要外包服务，如云计算，应将信息系统内部系统时钟与国家授时中心权威时间源进行同步，并满足秒级甚至毫秒级的时间颗粒度。b)处理涉及委托方的信息安全事件。e)定期或在信息安全策略或计划发生变更时，评审和更新信息安全规章制度，以确保其持续适用和有效。外包服务商应制定与外包活动有关的岗位清单：d)对关键岗位进行职责分离，并将职责分离情况记录在案，通过访问控制措施进行落实。