附錄A（規范性附錄）服務外包基本信息安全控制

附錄A（規范性附錄）服務外包基本信息安全控制

當政府部門決定進行服務外包后，應基于服務外包活動的信息安全需求和風險評估結果，提出相應的信息安全控制措施，以滿足政府部門信息安全保密性、完整性和可用性的需要。本附錄所列信息安全控制措施是在服務外包過程中必須要考慮的基本控制，政府部門還應結合自己服務外包的具體需求，制定并修改形成適合的信息安全控制條款。

A.1　信息安全組織

負責機構應：
a) 建立能夠評估外包服務機構服務安全實現和資源安全使用的組織，支持對服務外包各階段潛在信息安全風險的識別和控制。
b) 授權該組織相應的審計權限，審計范圍可延伸至服務分包機構。

A.2　通信和操作管理

A.2.1　服務交付管理

負責機構應當識別服務外包活動中的階段交付目標，特別是對該目標作為服務合同中信息安全條款的描述。

A.2.2　備份策略

負責機構應當儲備服務外包備份，以應對自然災害、戰爭等不可抗力帶來的服務意外終止，具體包括以下方面：
a) 建立信息技術服務操作備份，存儲相關的信息技術服務信息。
b) 使用可靠的介質存儲備份。

A.2.3　網絡安全

負責機構應：
a) 查看信息技術服務引入的網絡配置。
b) 評估控制外部遠程接入政府部門網絡的安全措施有效性。
c) 評估是否需要增加額外的控制措施，以確保內部的網絡不被攻擊。

A.2.4　介質管理

負責機構應：
a) 控制服務外包相關的介質存儲在安全的物理地點，以防止未授權的復制、使用、移動和破壞。
b) 確保正常的介質操作不被干擾，具體包括以下兩個方面：
1) 建立適當的操作規程，防止對數據、文檔、電子介質等的未授權復制、使用、移動和破壞；

A.2.5　審計

負責機構應：
a) 激活審計機制，并定期審計服務人員活動。
b) 確保審計記錄包含以下參數：
1) 事件發生的日期和時間；
2) 事件的類型；
3) 活動的用戶賬戶；
4) 事件的成功和失敗。
c) 限定授予特權賬戶的服務人員范圍，審計記錄應該包含其操作過程。

A.3　人力資源安全

負責機構應：
a) 要求外包服務機構安排合同中承諾的、具備相應技能和經驗的人員參與信息技術服務工作。
b) 識別外包服務機構分配的人員技能和經驗。
c) 定期培訓服務人員，確保服務人員正確認識政府部門服務外包信息安全管理策略和管理制度。
d) 在合同執行開始階段，向服務人員重申信息安全保密要求。
e) 要求服務人員預先申報由于特殊原因無法繼續執行信息技術服務的行為。
f) 要求外包服務機構對服務人員進行信息安全教育。
g) 識別服務人員未授權操作、惡意操作等可能威脅政府部門信息安全的活動。

A.4　訪問控制

負責機構應：

a) 通過有效的信息系統授權或服務訪問授權機制，防止未授權的服務人員接入政府信息系統。
b) 按照最小化原則，正式授權服務人員訪問信息技術資源權限，并在不使用后立即注銷。
c) 不允許私自遠程接入信息技術資源。
d) 確保足夠的信息安全控制措施被設計并應用于防止遠程接入。
e) 監控授權的訪問過程并定期審查訪問日志。

A.5　物理和環境安全

負責機構應：
a) 建立物理和環境安全策略，及防護操作流程。
b) 將關鍵和重要敏感信息及信息處理設備控制在安全的區域里，且該區域具有清晰的安全邊界標識。
c) 將服務外包引入的開發、測試等操作設備，與政府部門原有的設備安全隔離。

A.6　服務獲取、管理和保持

信息技術服務活動和信息處理設備等帶來的影響應當被安全的控制，負責機構應：
a) 設計、建立并維護服務過程管理策略。
b) 及時保存服務過程管理文檔、培訓材料等。
c) 恰當地管理信息技術服務變更。
d) 及時發現由于信息技術服務涉及系統開發、測試和操作等引起的信息安全問題，并報告主管領導。
e) 授權外包服務機構代表政府部門開展以下活動：
1) 確保服務得到了正確的、必要的變更，例如打補丁、系統升級；

A.7　信息安全事件管理

負責機構應：
a) 準備正式的信息安全事件管理流程預案，以便外包服務機構和服務人員遵循。
b) 提供必要的信息安全事件處置培訓文檔。
c) 限定信息安全事件報告和處置時間。

A.8　業務連續性管理

負責機構應：
a) 調查并確定信息技術服務人員和數據的冗余級別，保證政府部門業務的持續性。
b) 要求外包服務機構在服務過程中應用冗余的技術，特別是信息技術服務涉及的技術資源。