5.8 外部信息系統服務及相關服務

5.8.1 一般要求

云服務商應：

a）要求外部服務提供商遵從并實施云服務商的安全要求。

b）明確外部服務提供商的安全分工與責任，同時要求外部服務提供商接受相關客戶監督。

c）使用[賦值：云服務商定義的過程、方法和技術]，對外部服務提供商所提供的安全措施的合規性進行持續監控。

5.8.2 增強要求

云服務商應：

a）在采購或外包[賦值：云服務商定義的安全服務]之前進行風險評估，如應急支援服務。

b）確保[賦值：云服務商定義的安全服務]的采購或外包得到[賦值：云服務商定義的人員或角色]批準。

c）要求[賦值：云服務商定義的外部服務]的服務提供商明確說明該服務涉及的功能、端口、協議和其他服務。

d）基于[賦值：云服務商定義的安全要求、屬性、因素或者其他條件]建立并保持與外部服務提供商的信任關系。

e）使用[賦值：云服務商定義的安全防護措施]，以確保[賦值：云服務商定義的外部服務提供商]不損害本組織的利益。根據實際情況，安全防護措施可以是：

• 1）對外部服務提供商進行人員背景審查，或要求外部服務提供商提供可信的人員背景審查結果。

• 2）檢查外部服務提供商資本變更記錄。

• 3）選擇可信賴的外部服務提供商，如有過良好合作的提供商。

• 4）定期或不定期檢查外部服務提供商的設施。

f）基于[賦值：云服務商定義的要求或條件]，限制[選擇：信息處理；信息或數據；信息系統服務] 的地點，如本地或境內。