外包服務(wù)管理規(guī)定

第頁外包服務(wù)管理規(guī)定TOC\o"1-3"\h\u248401、目的 2278112、適用范圍 2212303、管理規(guī)定 2191793.1機(jī)房安全 2204293.2網(wǎng)絡(luò)安全 2292553.3系統(tǒng)管理 2205813.4用戶管理 368093.5數(shù)據(jù)安全 3119723.6合同管理 4308763.7運(yùn)行時管理 4112601)變更管理 4131412)應(yīng)急響應(yīng) 5318213)運(yùn)維管理 5312484)系統(tǒng)管理 5219415)數(shù)據(jù)安全 5

目的為了提高外包業(yè)務(wù)的服務(wù)質(zhì)量，規(guī)范外包業(yè)務(wù)的管理活動，保障系統(tǒng)安全運(yùn)行，提升外包服務(wù)業(yè)務(wù)人員安全意識水平，北京訊鳥軟件有限公司（以下簡稱“公司”）依據(jù)信息安全管理標(biāo)準(zhǔn)《GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》的相關(guān)要求，結(jié)合自身業(yè)務(wù)系統(tǒng)實(shí)際運(yùn)行安全需求，制定了本外包服務(wù)業(yè)務(wù)的管理規(guī)定。適用范圍本規(guī)定適用于云計算及互聯(lián)網(wǎng)服務(wù)平臺的所有應(yīng)用系統(tǒng)。管理規(guī)定3.1機(jī)房安全機(jī)房應(yīng)安裝門禁系統(tǒng)和視頻監(jiān)控系統(tǒng)。機(jī)房環(huán)境應(yīng)符合相關(guān)機(jī)房管理規(guī)定的要求。3.2網(wǎng)絡(luò)安全1)外包服務(wù)的信息系統(tǒng)所在網(wǎng)絡(luò)區(qū)域應(yīng)與其他網(wǎng)絡(luò)區(qū)域使用訪問控制列表或防火墻進(jìn)行網(wǎng)絡(luò)安全隔離。2)外包服務(wù)的網(wǎng)絡(luò)區(qū)域應(yīng)部署入侵檢測系統(tǒng)，及時分析入侵事件。（增強(qiáng)性要求）3)外包服務(wù)的網(wǎng)絡(luò)區(qū)域應(yīng)安裝網(wǎng)絡(luò)監(jiān)控系統(tǒng)，及時監(jiān)控網(wǎng)絡(luò)訪問情況。（增強(qiáng)性要求）3.3系統(tǒng)管理1)運(yùn)行應(yīng)用系統(tǒng)的服務(wù)器和工作站必須安裝防病毒系統(tǒng)，病毒庫及時更新。2)應(yīng)用系統(tǒng)首次投產(chǎn)前，應(yīng)實(shí)施操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用漏洞掃描和滲透測試，修復(fù)高危漏洞后投產(chǎn)，并向甲方提交書面報告（包括漏洞掃描結(jié)果、分析報告、漏洞修復(fù)情況等內(nèi)容）。3)應(yīng)用系統(tǒng)客戶端不允許直接連接數(shù)據(jù)庫。4)信息系統(tǒng)應(yīng)有日志審計功能，不提供刪除、修改、覆蓋日志功能。3.4用戶管理應(yīng)檢查用戶密碼復(fù)雜度，密碼不得與用戶賬號相同，密碼組成至少包含大寫字母、小寫字母、數(shù)字和特殊字符四類要素中的三種，且長度至少為8位。應(yīng)提供用戶密碼連續(xù)輸入錯誤鎖定功能，用戶連續(xù)輸入錯誤次數(shù)超過規(guī)定次數(shù)（最大為5次）鎖定用戶，須解鎖后才能正常使用。應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名默認(rèn)用戶，修改默認(rèn)用戶口令。對于無法修改默認(rèn)帳戶訪問權(quán)限及命名的，應(yīng)嚴(yán)格限制用戶登錄。不得明文傳輸和存儲用戶登錄密碼。3.5數(shù)據(jù)安全1)信息系統(tǒng)如涉及資金類交易時，銀行賬號及密碼、CVV2、磁道信息、信用卡有效期等敏感數(shù)據(jù)應(yīng)加密傳輸和存儲。2)信息系統(tǒng)如不涉及資金類交易時，不允許處理（包括采集、記錄、傳輸?shù)龋┿y行賬號密碼、CVV2、磁道信息、信用卡有效期等敏感數(shù)據(jù)。3)應(yīng)用日志不允許記錄密鑰、密碼、磁道信息、卡片校驗(yàn)碼（CVV2）等敏感數(shù)據(jù)信息。4)信息系統(tǒng)如涉及資金類交易時，應(yīng)采取通信報文防篡改和防重放的校驗(yàn)措施，報文MAC校驗(yàn)范圍應(yīng)納入賬號、金額、交易流水號、交易時間等字段，并由交易報文接收方檢查交易流水號及交易時間的唯一性。5)信息系統(tǒng)如提供查詢客戶信息功能時，不能未經(jīng)脫敏就批量顯示/打印/導(dǎo)出我行客戶資料敏感信息（賬戶、姓名、電話號碼、手機(jī)、身份證號碼等），不得在終端存儲客戶資料敏感信息。（增強(qiáng)性要求）6)系統(tǒng)使用的加密算法須符合甲方要求（對稱加密算法可選擇SM4、AES、3DES；非對稱算法可選擇SM2、RSA、DSA、D.H；雜湊算法可選擇SM3、SHA1、SHA256、MD5；安全協(xié)議可選擇SSL、TLS、SSH、SFTP、Kerberos、RADIUS，對稱加密算法的密鑰長度至少設(shè)定為128bit；非對稱的RSA算法密鑰長度至少2048bit，SM2算法至少210bit），密鑰不以明文方式存儲，且支持密鑰更新。7)應(yīng)有安全管控措施保障甲方敏感數(shù)據(jù)安全，防范我行敏感數(shù)據(jù)被非法獲取，如：敏感數(shù)據(jù)在數(shù)據(jù)庫加密保存或脫敏保存、定期對數(shù)據(jù)庫的敏感數(shù)據(jù)進(jìn)行清理或脫敏等。3.6合同管理在合同或協(xié)議中，應(yīng)約定因應(yīng)用系統(tǒng)導(dǎo)致甲方客戶資料等敏感數(shù)據(jù)泄露的告知義務(wù)和懲罰措施。3.7運(yùn)行時管理1)變更管理a.實(shí)施變更前須評估對甲方業(yè)務(wù)和系統(tǒng)的影響，制定變更方案，經(jīng)甲方同意方可實(shí)施變更。b.提前三個工作日通知甲方變更時間。c.實(shí)施變更前，應(yīng)做好系統(tǒng)和數(shù)據(jù)的備份，應(yīng)避免在業(yè)務(wù)繁忙時段實(shí)施變更，對于實(shí)施風(fēng)險較大的變更，應(yīng)在變更后對系統(tǒng)的運(yùn)行情況進(jìn)行檢查和跟蹤。應(yīng)急響應(yīng)a.明確與甲方的應(yīng)急溝通機(jī)制、應(yīng)急聯(lián)系人，發(fā)生信息安全事件應(yīng)立即通報甲方。b.制定切合實(shí)際的應(yīng)急預(yù)案，定期開展應(yīng)急演練。運(yùn)維管理a.保留完整的視頻監(jiān)控錄像、門禁權(quán)限審批記錄和門禁出入記錄，視頻監(jiān)控錄像應(yīng)至少保存3個月，門禁審批和門禁出入記錄數(shù)據(jù)應(yīng)至少保存1年。（增強(qiáng)性要求）b.應(yīng)每日定時巡檢機(jī)房、網(wǎng)絡(luò)運(yùn)行狀況，保留完整的巡檢記錄，巡檢記錄數(shù)據(jù)至少保存1年以上。系統(tǒng)管理a.定期更新操作系統(tǒng)補(bǔ)丁。（增強(qiáng)性要注）b.應(yīng)用系統(tǒng)首次投產(chǎn)后，每年實(shí)施一次操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用漏洞掃描和滲透測試，修復(fù)高危漏洞后投產(chǎn)，并向甲方提交書面報告（包括漏洞掃描結(jié)果、分析報告、漏洞修復(fù)情況等內(nèi)容）。（增強(qiáng)性要求）c.應(yīng)用系統(tǒng)每次變更投產(chǎn)前，應(yīng)實(shí)施應(yīng)用漏洞掃描，修復(fù)高危漏洞后投產(chǎn)，并向甲方提交書面報告（包括漏洞掃描結(jié)果、分析報告、漏洞修復(fù)情況等內(nèi)容）。d.關(guān)注互聯(lián)網(wǎng)公布的漏洞，涉及到的0day漏洞及其他高危漏洞，應(yīng)及時修復(fù)，并向甲方提交書面報告（包括漏洞掃描結(jié)果、分析報告、漏洞修復(fù)情況等內(nèi)容）。（增強(qiáng)性要求）數(shù)據(jù)安全a.嚴(yán)禁未