4.2 數據和業務保護

4.2 數據和業務保護

在信息安全服務實施過程中，對信息安全服務需求方的數據和業務進行保護。具體原則如下：

a) 在服務實施之前，應與需求方簽訂數據保護協議，明確規定身份數據、業務數據、系統數據等保護內容，明確規定最小數據范圍、最小特權訪問、最小服務用途等保護要求；

b) 應對在服務實施過程中所獲得或產生的信息資料，只在服務范圍內進行數據合理利用，并采用必要的安全措施進行妥善保管；

c) 應采取相應的措施防止因信息安全服務的實施，影響需求方的系統正常使用和業務正常開展，或造成對IT資產的損害；

d) 針對直接作用于信息系統的信息安全實施服務，應事先對服務意外中斷或終止的影響進行確認，并制定應對措施；

e) 在服務實施完成之后，應按需求方和服務協議的要求，進行資料、賬號、證件等清理工作（例如：移交、注銷、銷毀等）。