THBPFS 004-2023 信息安全服務(wù)信息科技外包管理規(guī)范

ICS03.060CCSA11團 體 標 準T/HBPFS004-2023信息安全服務(wù)信息科技外包管理規(guī)范InformationSecurityServicesInformationTechnologyOutsourcingManagementSpecification2023-12-26發(fā)布 2023-12-31實施河北省金融學(xué)會發(fā)布T/HBPFS004-2023T/HBPFS004-2023目??次前??言 2引??言 3范圍 4規(guī)范性引用文件 4術(shù)語與定義 4總體要求 5外包活動管理 6外包風(fēng)險管理 8外包監(jiān)督管理 91前??言本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》和GB/T20004.1—2016《團體標準化第1部分：良好行為指南》給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任。本文件由中國人民銀行邯鄲市分行和邯鄲銀行股份有限公司提出。本文件由河北省金融學(xué)會歸口。本文件起草單位：中國人民銀行邯鄲市分行、邯鄲銀行股份有限公司。本文件主要起草人：韓延敏、韓文科、李利杰、張聰聰、張帥帥、王輝、武蕾、王樹怡。2引??言3信息安全服務(wù)信息科技外包管理規(guī)范范圍本文件規(guī)定了信息科技外包管理要求，對信息科技外包活動管理，包括準入前評估、盡職調(diào)查、合同約定等外包活動，以及非駐場集中式外包、同業(yè)和關(guān)聯(lián)外包提出管理標準。本文件適用于開展信息科技外包活動，執(zhí)行外包服務(wù)提供商準入、盡職調(diào)查、服務(wù)評價和退出管理，以及對外包過程中的關(guān)鍵管理活動進行監(jiān)控及分析。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T24405.1-2009信息技術(shù)服務(wù)管理第1部分:規(guī)范GB/T22080-2016信息科技安全技術(shù)信息安全管理體系要求GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系JRT0071.1-2020金融行業(yè)網(wǎng)絡(luò)安全等級保護實施指引第1部分：基礎(chǔ)和術(shù)語銀保監(jiān)辦發(fā)[2021]141號中國銀保監(jiān)會辦公廳關(guān)于印發(fā)銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法的通知術(shù)語與定義下列術(shù)語和定義適用于本文件。信息安全服務(wù) informationsecurityservice面向組織或個人的各類信息安全需求和信息安全保障需求,由服務(wù)提供方按照服務(wù)協(xié)議所執(zhí)行的一個信息安全過程或任務(wù)。注:信息安全服務(wù)通常以信息安全服務(wù)提供方和信息安全服務(wù)需求方之間的服務(wù)項目形式進行。[來源：GB/T22080-2016/ISO/IEC27001:2013]服務(wù)協(xié)議 serviceagreement服務(wù)需求方和服務(wù)提供方在服務(wù)開始前共同簽署的約定，并在服務(wù)過程中共同遵守。[來源：GB/T24405.1一2009，2.13]信息安全風(fēng)險評估 informationsecurityriskassessment4注:信息安全風(fēng)險評估貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計、實施、運行維護以及廢棄各個階段。[來源：GBT22080-2016ISO27001-2013信息技術(shù)安全技術(shù)信息安全管理體系6.1.2有修改]信息科技外包 informationtechnologyoutsourcing將原來由自身負責處理的某些業(yè)務(wù)活動委托給服務(wù)提供商進行持續(xù)處理的行為。[來源：銀保監(jiān)辦發(fā)[2021]141號中國銀保監(jiān)會辦公廳關(guān)于印發(fā)銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法的通知附則]關(guān)聯(lián)外包 relatedoutsourcing[來源：銀保監(jiān)辦發(fā)[2021]141號中國銀保監(jiān)會辦公廳關(guān)于印發(fā)銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法的通知附則]駐場外包 onsiteoutsourcing服務(wù)提供商在客戶現(xiàn)場以駐場的方式提供服務(wù)的外包形式。[來源：銀保監(jiān)辦發(fā)[2021]141號中國銀保監(jiān)會辦公廳關(guān)于印發(fā)銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法的通知附則]非駐場外包 nonresidentoutsourcing服務(wù)提供商不在客戶場所提供服務(wù)的外包形式。[來源：銀保監(jiān)辦發(fā)[2021]141號中國銀保監(jiān)會辦公廳關(guān)于印發(fā)銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法的通知附則]總體要求外包管理原則在實施信息科技外包時應(yīng)當遵循以下管理原則：不得將信息科技管理責任、網(wǎng)絡(luò)安全主體責任外包；以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向；保持外包風(fēng)險、成本和效益的平衡；保障網(wǎng)絡(luò)和信息安全，加強重要數(shù)據(jù)和個人信息保護；強調(diào)事前控制和事中監(jiān)督；持續(xù)改進外包策略和風(fēng)險管理措施。外包活動分類5信息科技外包服務(wù)類型劃分如下：咨詢規(guī)劃類——包括但不限于：信息科技戰(zhàn)略規(guī)劃（含中長期規(guī)劃）咨詢，數(shù)據(jù)中心（機房）（含數(shù)據(jù)治理開發(fā)測試類——包括但不限于：軟硬件開發(fā)和測試外包（含人力外包），軟件即服務(wù)形式的外包；運行維護類——包括但不限于：數(shù)據(jù)中心（機房）物理環(huán)境的托管或運行維護，軟硬件基礎(chǔ)設(shè)安全服務(wù)類——包括但不限于：安全運營服務(wù)，安全加固服務(wù)，安全設(shè)備運行維護，安全日志處理與分析，安全測試服務(wù)，密鑰管理及運行維護，數(shù)據(jù)安全服務(wù)，以及涉及以上服務(wù)的人力外包；業(yè)務(wù)支持類——包括但不限于：市場拓展，業(yè)務(wù)運營（集中作業(yè)、呼叫中心等），企業(yè)管理，外包風(fēng)險管理在信息科技外包活動中，應(yīng)防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險。外包活動管理外包準入管理對外包準入條件要求包括但不限于：明確服務(wù)提供商的準入標準，制定準入評價，對備選服務(wù)提供商進行初步篩選；選擇跨境外包時，應(yīng)當充分評估服務(wù)提供商所在國家或地區(qū)的政治、經(jīng)濟、社會、法律、文化等經(jīng)營環(huán)境；涉及信息跨境存儲、處理和分析的，應(yīng)遵守我國有關(guān)法律法規(guī)的規(guī)定；對于關(guān)聯(lián)外包和同業(yè)外包，不得降低對服務(wù)提供商的要求，嚴格防范利益沖突和利益輸送。盡職調(diào)查管理對重要外包的備選服務(wù)提供商，應(yīng)在簽訂合同前，開展盡職調(diào)查，必要時可聘請第三方機構(gòu)協(xié)助調(diào)查。盡職調(diào)查內(nèi)容應(yīng)包括但不限于：服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗，人員及能力；服務(wù)提供商的內(nèi)部控制和管理能力；服務(wù)提供商的網(wǎng)絡(luò)和信息安全保障能力；服務(wù)提供商的持續(xù)經(jīng)營狀況；服務(wù)提供商及其母公司或?qū)嶋H控制人遵守國家和相關(guān)法律法規(guī)要求的情況；服務(wù)提供商配合審計、評估、檢查及監(jiān)管機構(gòu)監(jiān)督檢查情況。6符合重要外包條件的非駐場外包，還應(yīng)進一步調(diào)查：服務(wù)提供商對本機構(gòu)與其他機構(gòu)的設(shè)施、系統(tǒng)和數(shù)據(jù)是否有明確、清晰的邊界；服務(wù)提供商是否有管理制度和技術(shù)措施以保障機構(gòu)數(shù)據(jù)的完整性和保密性；服務(wù)提供商對涉及本機構(gòu)的服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件等軟硬件基礎(chǔ)設(shè)施是否具有最高訪問權(quán)限；服務(wù)提供商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的最高管理權(quán)限或訪問權(quán)限，是否能夠瀏覽、獲取重要數(shù)據(jù)或客戶個人敏感信息；服務(wù)提供商是否有完善的災(zāi)難恢復(fù)設(shè)施和應(yīng)急管理體系，是否有業(yè)務(wù)連續(xù)性安排；服務(wù)提供商是否存在不正當競爭或規(guī)避監(jiān)管的情形。外包合同管理在合同或協(xié)議中應(yīng)當明確包括但不限于以下內(nèi)容：服務(wù)范圍、服務(wù)內(nèi)容、服務(wù)要求、工作時限及安排、責任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件和服務(wù)質(zhì)量考核評價約定；合規(guī)、內(nèi)控及風(fēng)險管理要求，對法律法規(guī)及監(jiān)管政策的通報貫徹機制；服務(wù)持續(xù)性管理目標應(yīng)當滿足業(yè)務(wù)連續(xù)性目標要求；對服務(wù)提供商進行風(fēng)險評估、監(jiān)測、檢查和審計的權(quán)利，及服務(wù)提供商承諾接受監(jiān)管機構(gòu)對其所承擔的外包服務(wù)的監(jiān)督檢查；合同變更或終止的觸發(fā)條件，合同變更或終止的過渡安排；外包活動中相關(guān)信息和知識產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍，對服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求；資源保障條款；安全保密和消費者權(quán)益保護約定，禁止服務(wù)提供商在合同允許范圍外使用或者披露信息，服務(wù)提供商不得將數(shù)據(jù)以任何形式轉(zhuǎn)移、挪用或謀取外包合同約定以外的利益；爭端解決機制、違約及賠償條款；外包監(jiān)控管理信息系統(tǒng)、硬件設(shè)備、基礎(chǔ)設(shè)施的可用率；故障次數(shù)、故障解決率、故障響應(yīng)時間、故障解決時間；服務(wù)的次數(shù)、客戶滿意度；業(yè)務(wù)需求的及時完成率、程序的缺陷數(shù)、需求變更率；外包人員工作飽和率、外包人員考核合格率；網(wǎng)絡(luò)和信息安全指標、業(yè)務(wù)連續(xù)性指標。服務(wù)安全管理7應(yīng)當在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包或變相轉(zhuǎn)包。業(yè)務(wù)連續(xù)性管理應(yīng)考慮科技外包引入對業(yè)務(wù)連續(xù)性管理的影響，有針對性地完善業(yè)務(wù)連續(xù)性管理計劃：識別出重要業(yè)務(wù)（指面向客戶、涉及賬務(wù)處理、時效性要求較高的業(yè)務(wù)，其運營服務(wù)中斷會對對服務(wù)提供商業(yè)務(wù)連續(xù)性管理水平進行監(jiān)控、評價，要求服務(wù)提供商制訂服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案；明確措施和方法，在服務(wù)提供商服務(wù)質(zhì)量不能滿足合同要求的情況下，保障獲取其外包服務(wù)資源的優(yōu)先權(quán)；組織服務(wù)提供商參與應(yīng)急計劃編制和應(yīng)急演練，至少每年在綜合性演練或?qū)ｍ椦菥氈屑{入一個或多個服務(wù)提供商開展一次相關(guān)演練；考慮外包服務(wù)提供商預(yù)先在機構(gòu)內(nèi)部配置相應(yīng)的人力資源，掌握必要的技能，保障在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。異常糾錯管理應(yīng)制定外包服務(wù)提供商替換方案,及相應(yīng)的外包應(yīng)急計劃，完善相關(guān)應(yīng)急流程，并定期進行演練?？紤]重要外包終止的可能性，制定退出策略。退出策略應(yīng)至少明確包括但不限于以下內(nèi)容：可能造成外包終止的情形；外包終止的業(yè)務(wù)影響分析；終止交接安排。合作期間，外包服務(wù)提供商出現(xiàn)以下異常情況的，應(yīng)執(zhí)行禁用或退出：提供虛假中標材料；信用、財務(wù)出現(xiàn)危機或產(chǎn)品質(zhì)量、技術(shù)水平出現(xiàn)重大問題的；涉及嚴重違法違規(guī)、法律訴訟、案件等情況的；經(jīng)查實有商業(yè)賄賂行為的；服務(wù)供應(yīng)商業(yè)務(wù)或經(jīng)營存在嚴重困難的；無正當理由不履行合同的；嚴重泄露機構(gòu)商業(yè)機密或客戶信息等敏感數(shù)據(jù)的；其他可能帶來經(jīng)營、管理風(fēng)險的情況。外包評價管理外包服務(wù)到期前，應(yīng)就是否繼續(xù)外包進行評估決策。外包風(fēng)險管理8在信息科技外包活動中，應(yīng)防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、對服務(wù)提供商和外包人員進行網(wǎng)絡(luò)和信息安全教育或培訓(xùn)，簽訂安全保密協(xié)議，外包人員應(yīng)簽署安全保密承諾書；對信息系統(tǒng)開發(fā)交付物（含擁有知識產(chǎn)權(quán)的源代碼）進行安全掃描和檢查；對服務(wù)提供商所提供的模型、算法及相關(guān)信息系統(tǒng)加強管理，確保模型和算法遵循可解釋、可驗證、透明、公平的原則；定期對外包活動進行網(wǎng)絡(luò)和信息安全評估。對符合重要外包標準的非駐場外包服務(wù)進行實地檢查，對具有行業(yè)集中度性質(zhì)的服務(wù)提供商，可采取聯(lián)合檢查、委托檢查等形式，減少重復(fù)性工作。定期對外包服務(wù)提供商進行風(fēng)險評估，評估內(nèi)容包括但不限于：服務(wù)提供商合規(guī)情況、服務(wù)的執(zhí)行效果等，評估結(jié)果應(yīng)當作為服務(wù)提供商準入及退出的重要依據(jù)。定期對外包活動進行審計，發(fā)生重大外包風(fēng)險事件后應(yīng)及時開展專項審計。外包監(jiān)督管理開展以下信息科技外包活動時，應(yīng)開展外包監(jiān)督管理：信息科技工作整體外包;數(shù)據(jù)中心(機