IT外包服務(wù)網(wǎng)絡(luò)安全管理辦法v21

IT外包服務(wù)網(wǎng)絡(luò)安全管理辦法(征求意見稿)第一章總則第一條為加強和完善#####IT外包服務(wù)的網(wǎng)絡(luò)安全管理，根據(jù)國家有關(guān)網(wǎng)絡(luò)安全法律法規(guī)和安全標準，結(jié)合我單位實際IT外包服務(wù)網(wǎng)絡(luò)安全需求，編制本辦法。第二條本辦法中的IT外包服務(wù)是指中心將直項目或服務(wù)委托給外包服務(wù)商，由其提供服務(wù)的行為°IT外包服務(wù)的內(nèi)容范圍包括系統(tǒng)開發(fā)、系統(tǒng)測試、基礎(chǔ)設(shè)施運維、系統(tǒng)運維及系統(tǒng)安全服務(wù)等。IT外包服務(wù)的地點范圍包括單位辦公場所以及為單位提供服務(wù)的非中心場所。第三條本辦法中的IT外包服務(wù)網(wǎng)絡(luò)安全管理包括外包服務(wù)商安全管理、外包人員安全管理、外包軟件安全管理、外包建設(shè)管理和外包運維安全管理。第四條本辦法適用于中心和直屬單位組織開展的非涉密信息系統(tǒng)IT外包服務(wù)網(wǎng)絡(luò)安全管理工作。第五條針對本辦法中出現(xiàn)的特定名詞解釋如下：>IT是指"信息技術(shù)”，(InformationTechnology)，是用于管理和處理信息所采用的各種技術(shù)的總稱；>本辦法中的“關(guān)鍵信息基礎(chǔ)設(shè)施”指的是根據(jù)上級主管部門定義的行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施;＞本辦法中的“重要信息系統(tǒng)”包括網(wǎng)絡(luò)安全等級保護三級及三級以上的信息系統(tǒng)、單位的官方網(wǎng)站。第二章管理職責(zé)第六條遵循“誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé)”的原則，IT外包服務(wù)使用部門是IT外包服務(wù)網(wǎng)絡(luò)安全的直接責(zé)任部門，負責(zé)確立IT外包服務(wù)的網(wǎng)絡(luò)安全管理工作范圍和內(nèi)容，監(jiān)督IT外包服務(wù)的日常開展情況。第七條采購部門負責(zé)組織IT外包服務(wù)項目的商務(wù)活動，依據(jù)網(wǎng)絡(luò)安全相關(guān)要求組織外包服務(wù)的選擇、驗收、付款等商務(wù)執(zhí)行工作。第八條網(wǎng)絡(luò)安全管理部門負責(zé)對IT外包服務(wù)進行網(wǎng)絡(luò)安全監(jiān)督管理，檢查相關(guān)制度的執(zhí)行情況。第三章外包服務(wù)商安全管理第九條IT外包服務(wù)使用部門應(yīng)確保外包服務(wù)商符合國家有關(guān)網(wǎng)絡(luò)安全管理規(guī)定，外包服務(wù)商應(yīng)如實提交相關(guān)網(wǎng)絡(luò)安全證明材料，保證外包服務(wù)商安全可控。因證明材料瞞報、緩報、漏報造成嚴重不良后果的，由外包服務(wù)商自行承擔(dān)相應(yīng)責(zé)任。構(gòu)成犯罪的，報有關(guān)部門依法追究其法律責(zé)任。證明材料包括但不限于：＞外包服務(wù)商是否具有開展相關(guān)外包服務(wù)時必要的網(wǎng)絡(luò)安全資質(zhì)；＞外包服務(wù)商三年內(nèi)是否有違反網(wǎng)絡(luò)安全法等相關(guān)網(wǎng)絡(luò)安全法律法規(guī)的違法違規(guī)記錄；＞外包服務(wù)商三年內(nèi)是否有被網(wǎng)信部門、公安機關(guān)、上級主管單位等監(jiān)管部門通報的重大網(wǎng)絡(luò)安全問題記錄。第十條IT外包服務(wù)使用部門與外包服務(wù)商簽署的合同中必須明確網(wǎng)絡(luò)安全要求，相關(guān)內(nèi)容包括但不限于：＞外包服務(wù)商應(yīng)遵守單位的相關(guān)網(wǎng)絡(luò)安全管理制度和網(wǎng)絡(luò)安全管理要求；＞外包服務(wù)商應(yīng)遵守知識產(chǎn)權(quán)保護法，不得侵害單位知識產(chǎn)權(quán)；＞外包服務(wù)商應(yīng)明確工作秘密的保守義務(wù)，包括保守內(nèi)容、保守責(zé)任、保守期限和違約責(zé)任；＞外包服務(wù)商應(yīng)對重大保障時期及發(fā)生重大信息安全事件時提供必要的配合。第十一條外包服務(wù)商日常工作中應(yīng)嚴格遵守單位的網(wǎng)絡(luò)安全管理要求，接受IT外包服務(wù)部門的網(wǎng)絡(luò)安全管理，包括但不限于：＞外包服務(wù)商因自身原因引起的IT外包服務(wù)變更，需通過評估后方可變更，對于可能引起網(wǎng)絡(luò)安全風(fēng)險的，原則上不允許變更；＞外包服務(wù)商提供的產(chǎn)品和服務(wù)存在網(wǎng)絡(luò)安全缺陷、漏洞等風(fēng)險時，應(yīng)立即通告并給出解決措施，協(xié)助單位進行加固和處置；＞外包服務(wù)商因自身原因引起安全問題的，應(yīng)立即響應(yīng)和補救。第四章外包人員安全管理第十二條外包項目開始前，應(yīng)對外包人員進行準入考核，除了應(yīng)遵守相關(guān)人事和勞動法律法規(guī)外，IT外包服務(wù)使用部門還必須對外包人員進行以下安全要求，包括但不限于：＞嚴格考察該人員的業(yè)務(wù)技術(shù)水平和相關(guān)資質(zhì)認證（相關(guān)崗位認證證書等）；＞有犯罪前科、重大行政處分記錄和“黑客”經(jīng)歷的人員不予準入；＞外包人員準入前需簽署工作秘密的保守協(xié)議，保守協(xié)議應(yīng)包括保守內(nèi)容、保守范圍以及保守期限等內(nèi)容；＞原則上應(yīng)從本單位內(nèi)部選拔從事關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)相應(yīng)崗位的人員（包括但不限于系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員等），不具備條件的可由外包人員擔(dān)任相應(yīng)崗位。該崗位外包人員需到公安部門進行核查，通過核查后方可上崗；＞關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)崗位的外包人員應(yīng)在IT外包服務(wù)使用部門的監(jiān)督下開展崗位的工作，并簽署關(guān)鍵崗位安全協(xié)議。第十三條外包人員駐場工作期間，IT外包服務(wù)使用部門對外包人員進行安全管理，包括但不限于:＞嚴格要求外包人員遵守單位網(wǎng)絡(luò)安全管理要求；＞禁止外包人員隨意使用非授權(quán)設(shè)備、介質(zhì)接入單位內(nèi)部網(wǎng)絡(luò)；＞對外包人員實行最小化管理原則，保證外包人員權(quán)限僅滿足其工作需要，包括場地、辦公設(shè)施、計算機、服務(wù)器、軟件、數(shù)據(jù)、物理訪問控制設(shè)備和賬號等。定期對外包人員權(quán)限進行梳理和檢查；＞應(yīng)保持駐場人員穩(wěn)定。外包服務(wù)商如需調(diào)整外包服務(wù)人員，應(yīng)及時通知IT外包服務(wù)使用部門，IT外包服務(wù)使用部門審核通過后，才可以進行調(diào)整。調(diào)整前后，不能對服務(wù)內(nèi)容造成影響。第十四條IT外包服務(wù)使用部門應(yīng)將需要進行網(wǎng)絡(luò)安全培訓(xùn)的外包人員名單報送至網(wǎng)絡(luò)安全管理部門，由網(wǎng)絡(luò)安全管理部門定期組織外包人員的安全意識教育和崗位技能培訓(xùn)，其中關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)崗位相應(yīng)的外包人員培訓(xùn)時長每年不得少于3個工作日，并告知相關(guān)的安全責(zé)任和懲戒措施。完成相應(yīng)培訓(xùn)后，對外包人員從安全意識、安全技能等內(nèi)容進行綜合考核，對考核結(jié)果進行記錄。第十五條由于個人原因、工作需要或其他原因，外包人員需要離崗時，IT外包服務(wù)使用部門必須開展以下安全工作，包括但不限于：＞外包人員應(yīng)及時移交相關(guān)工作，上交鑰匙、門禁卡、計算機等屬于中心的軟、硬件資產(chǎn)，辦理完成離崗人員移交手續(xù)后，通過IT外包服務(wù)使用部門審批后，方能離崗。IT外包服務(wù)使用部門應(yīng)及時關(guān)閉、刪除離崗人員的信息系統(tǒng)賬戶，確認離崗人員的訪問權(quán)限已被終止，必要時可由信息技術(shù)部門配合完成。IT外包服務(wù)使用部門和外包服務(wù)商要做好離崗?fù)獍藛T的教育工作，告知其離崗后，不得向第三方泄露其在任職期內(nèi)所獲得機密信息。與原崗位有關(guān)的所有資料文件，包括其軟硬拷貝都需要移交，不允許私自帶走。>涉及關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的外包人員離崗時，應(yīng)按要求采取相應(yīng)的脫敏措施，IT外包服務(wù)使用部門與之簽署離崗保密承諾書，并妥善保管。>外包人員離崗后如發(fā)生泄密情況，應(yīng)承擔(dān)由此涉及的法律責(zé)任。第五章外包軟件安全管理第十六條IT外包服務(wù)使用部門在進行IT外包軟件采購和選擇前，應(yīng)明確外包軟件的網(wǎng)絡(luò)安全保護等級，外包軟件應(yīng)具備滿足網(wǎng)絡(luò)安全等級要求的安全能力。第十七條IT外包軟件交付前，外包服務(wù)商應(yīng)提供軟件源代碼，并提供第三方的源代碼安全審計報告。涉及關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的，IT外包服務(wù)使用部門應(yīng)將源代碼安全審計報告報單位網(wǎng)絡(luò)和信息安全辦公室備案。第十八條在軟件安裝之前，外包服務(wù)商應(yīng)對軟件包進行安全檢測，并提供第三方的惡意代碼檢測報告。涉及關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的，IT外包服務(wù)使用部門應(yīng)將惡意代碼檢測報告報單位網(wǎng)絡(luò)和信息安全辦公室備案。第十九條IT外包服務(wù)使用部門應(yīng)要求外包服務(wù)商對代碼審計和檢測發(fā)現(xiàn)的安全問題及時進行整改。第二十條外包服務(wù)商應(yīng)向IT外包服務(wù)使用部門提供軟件設(shè)計的相關(guān)文檔和使用指南。第二十一條外包服務(wù)商需嚴格控制外包開發(fā)過程中涉及的數(shù)據(jù)安全、保密、知識產(chǎn)權(quán)、人員變更、轉(zhuǎn)包等風(fēng)險，如果因外包服務(wù)商或其相關(guān)人員原因造成的法律責(zé)任、網(wǎng)絡(luò)安全事件等將由外包服務(wù)商自行承擔(dān)相應(yīng)責(zé)任。第二十二條定制開發(fā)軟件的產(chǎn)品著作權(quán)應(yīng)歸單位所有，相應(yīng)內(nèi)容應(yīng)在合同中明確。第六章外包建設(shè)安全管理第二十三條IT外包服務(wù)使用部門在組織外包建設(shè)前，應(yīng)明確外包建設(shè)系統(tǒng)的網(wǎng)絡(luò)安全保護等級，外包服務(wù)商應(yīng)按照已確定的等級開展系統(tǒng)建設(shè)工作。第二十四條系統(tǒng)備案材料應(yīng)由IT外包服務(wù)使用部門負責(zé)組織編寫和管理。編寫完成后，由IT外包服務(wù)使用部門報公安機關(guān)備案。涉及關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的，同時報單位網(wǎng)絡(luò)和信息安全辦公室備案。第二十五條IT外包服務(wù)使用部門應(yīng)定期組織開展網(wǎng)絡(luò)安全等級保護測評工作。涉及關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的，IT外包服務(wù)使用部門應(yīng)在系統(tǒng)終驗前，確保等級測評結(jié)果達到基本符合的要求。對發(fā)現(xiàn)不符合相應(yīng)等級保護要求的內(nèi)容，應(yīng)及時通知外包服務(wù)商開展整改工作。第二十六條系統(tǒng)建設(shè)完成后，外包服務(wù)商要依據(jù)項目合同向單位進行項目交付，交付的內(nèi)容包括但不限于：＞對交付的設(shè)備、軟件和文檔進行清點，提供信息系統(tǒng)交付清單；＞根據(jù)外包服務(wù)的內(nèi)容，提供系統(tǒng)建設(shè)的過程文檔，包括需求規(guī)格說明書、概要設(shè)計、詳細設(shè)計、實施方案等；＞對系統(tǒng)運維人員進行技能培訓(xùn)，使系統(tǒng)運維人員能夠進行日常的維護；＞提供系統(tǒng)運行維護的幫助或操作手冊。第二十七條項目驗收通過后，IT外包服務(wù)使用部門應(yīng)將外包系統(tǒng)建設(shè)過程中的文檔資料完整歸檔。涉及關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的，將開展等級保護工作的相關(guān)材料報單位網(wǎng)絡(luò)和信息安全辦公室備案。第七章外包運維安全管理第二十八條IT外包服務(wù)使用部門應(yīng)管理、約束外包運維服務(wù)行為，所有IT外包運維服務(wù)商和人員不得破壞單位的網(wǎng)絡(luò)安全，不得嘗試利用單位的網(wǎng)絡(luò)安全漏洞，不得竊取或篡改單位的數(shù)據(jù)。第二十九條外包運維人員應(yīng)通過單位規(guī)定的方式開展運維服務(wù)，不得未經(jīng)授權(quán)通過互聯(lián)網(wǎng)進行運維服務(wù)，不得未經(jīng)允許隨意開啟運維通道，IT外包服務(wù)使用部門應(yīng)對IT運維服務(wù)進行審計。第三十條在外包運維的過程中，可能導(dǎo)致單位信息系統(tǒng)發(fā)生安全風(fēng)險的操作（包括但不限于系統(tǒng)上線、系統(tǒng)變更、配置管理、系統(tǒng)升級、數(shù)據(jù)操作等），均需制定實施方案和應(yīng)急回退機制，通過IT外包服務(wù)使用部門審批后，方可實施。重要網(wǎng)上安保時期不得進行可能發(fā)生安全風(fēng)險的操作。第三十一條在外包運維的過程中，因國家政策、行業(yè)規(guī)范、業(yè)務(wù)需求等，導(dǎo)致已定級信息系統(tǒng)等級發(fā)生變化時，IT外包服務(wù)使用部門應(yīng)及時啟動信息系統(tǒng)級別變更相關(guān)工作，并組織進行安全改造。第三十二條在外包運維的過程中，如發(fā)現(xiàn)安全問題或安全事件，IT外包服務(wù)使用部門應(yīng)及時啟動部門應(yīng)急預(yù)案，指導(dǎo)外包服務(wù)商開展處置工作。第八章外包服務(wù)安全監(jiān)督評估第三十三條IT外包服務(wù)使用部門應(yīng)定期對外包服務(wù)商的服務(wù)進行安全監(jiān)督和評估，包括但不限于:＞外包服務(wù)商在服務(wù)期內(nèi)的完成情況和質(zhì)量監(jiān)督考核；＞外包服務(wù)商在服務(wù)期內(nèi)對單位網(wǎng)絡(luò)安全管理要求的執(zhí)行情況監(jiān)督考核；＞外包服務(wù)商在服務(wù)期內(nèi)因自身原因引起的網(wǎng)絡(luò)安全事件數(shù)量和網(wǎng)絡(luò)安全事件造成的損失評估；＞外包服務(wù)商在服務(wù)期內(nèi)發(fā)生網(wǎng)絡(luò)安全事件和重大保障時期時的應(yīng)急響應(yīng)和處置能力評估。第三十四條IT外包服務(wù)使用部門應(yīng)定期對服務(wù)商的外包人員進行安全監(jiān)督和評估，包括但不限于:＞外包人員的準入安全管理和保密協(xié)議簽署情況及相關(guān)記錄；＞外包人員的培訓(xùn)考核情況及相關(guān)記錄；＞外包人員的權(quán)限及日常管理情況及相關(guān)記錄；＞外包人員的離崗離職情況及相關(guān)記錄。第三十五條IT外包服務(wù)安全評估記錄作為中心后續(xù)選擇外包服務(wù)商的依據(jù)之一，針對存在高危風(fēng)險整改不力、服務(wù)響應(yīng)不及時、應(yīng)急處置能力不足