外包业务信息安全规范要求 .pdfVIP

文档编号

外包业务信息安全规范要求

序号信息安全要求规范风险级别

1信息安全政策

1.1通过ISO27001信息安全管理体系认证高

根据ISO27001的规定制定信息安全方面的相关标准，政策和流程（包

括但不限于人员安全、物理和环境安全、网络和通信安全、访问控制、

1.2低

系统开发和维护安全、业务连续性管理等），并定期进行更新、维护，

对执行情况进行评估改进。

对员工进行信息安全培训，提高员工信息安全意识，明确各员工的职责

1.3低

。所有培训均需保留记录备查。

1.4对于外包现场及专用数据间的相关管理规范中

根据数据安全管理标准所要求的数据安全管理体系,建立安全管理制度、

1.5低

流程等文件。

完善的计算机设备（包括存储介质）报废、维护或销毁制度或程序，并

1.6中

确保程序得以落实

1.7建立相关程序版本管理制度或程序，以确保程序的安全发布及管理中

2公司人员管理

2.1人力资源招聘流程中

2.2签订员工保密协议，并且处理批量客户数据的员工必须是正式员工中

3用户权限控制

制定用户权限管理规定，对各系统的新增、变更和删除等需求需指定有

3.1中

权人进行审核，由指定人员配置权限，并对所有需求进行登记存档。

3.2按岗位职能、安全级别以及权限最小化进行权限安全管理中

每季度至少对用户权限进行一次审查，包括远程登录用户、门禁系统用

3.3中

户等。

相关人员的职责或工作状态改变后（如调岗、离职或工程结束），相关

3.4用户权限必须在提出申请后半个工作日内进行相应的变更或删除，并对高

所有变更或删除进行登记存档。

员工须得到本公司管理层的授权，才能接触业主的存储和处理其信息的

3.5高

信息系统

3.6员工都必须使用自己的用户ID和密码接触业主存储的信息系统高

3.7限制无线网络的使用，禁止使用无线网络接入办公及生产网络高