10.5　服務外包管控

10.5.1　外包服務協議

本檢查項包括：

a) 檢查企業與合約方簽訂的外包服務協議中是否具有信息安全管控和保密條款。

檢查要素：

a) 外包服務協議。

檢查方法：

a) 文檔審查，查閱外包服務協議中的信息安全管控和保密條款。

10.5.1　外部人員訪問管理

本檢查項包括：

a) 檢查企業是否對外部人員訪問機房等受控區域采取書面審批、人員陪同、進出記錄等管控措施。

檢查要素：

a) 受控區域訪問控制措施和記錄。

檢查方法：

a) 文檔審查，查閱第三方人員訪問管理制度和記錄。

10.5.2　遠程服務管控

本檢查項包括：

a) 檢查企業是否采取遠程服務，如采取遠程服務，針對遠程服務訪問采取書面審批、訪問控制、在線監測、日志審計等管控措施。

檢查要素：

a) 遠程服務管控措施和記錄。

檢查方法：

a) 人員訪談，詢問對遠程服務訪問采取的控制措施；

a) 文檔審查，查閱遠程服務管控措施制度和記錄；

b) 配置核查，如采取遠程服務，查閱遠程服務管控相關審計日志。

10.5.3　現場開發管控

本檢查項包括：

a) 檢查企業是否采取技術措施實現開發測試環境與實際生產運行環境物理分離，并對開發人員的活動范圍和行為實施管控。

檢查要素：

a) 現場開發的管控措施和記錄。

檢查方法：

a) 人員訪談，詢問是否將開發測試環境與實際生產環境物理分離；

b) 文檔審查，查閱開發人員的活動范圍和行為管控制度。

10.5.4　現場開發管控

本檢查項包括：

a) 檢查企業是否采取技術措施實現開發測試環境與實際生產運行環境物理分離，并對開發人員的活動范圍和行為實施管控。

檢查要素：

a) 現場開發的管控措施和記錄。

檢查方法：

a) 人員訪談，詢問是否將開發測試環境與實際生產環境物理分離；

a) 文檔審查，查閱開發人員的活動范圍和行為管控制度。