T_HBPFS 004-2023 信息安全服务信息科技外包管理规范.pdf

ICS 03.060CCS A 11团体标准T/HBPFS 004-2023信息安全服务 信息科技外包管理规范Information Security Services Information Technology OutsourcingManagement Specification2023-12-26 发布2023-12-31 实施河北省金融学会 发布学兔兔 标准下载T/HBPFS 004-20231目次前言.2引言.31 范围.42 规范性引用文件.43 术语与定义.44 总体要求.55 外包活动管理.66 外包风险管理.87 外包监督管理.9学兔兔 标准下载T/HBPFS 004-20232前言本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则和GB/T20004.12016团体标准化 第1部分：良好行为指南给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由中国人民银行邯郸市分行和邯郸银行股份有限公司提出。本文件由河北省金融学会归口。本文件起草单位：中国人民银行邯郸市分行、邯郸银行股份有限公司。本文件主要起草人：韩延敏、韩文科、李利杰、张聪聪、张帅帅、王辉、武蕾、王树怡。学兔兔 标准下载T/HBPFS 004-20233引言伴随着金融科技的快速发展，金融机构依赖科技外包开展信息系统建设越来越频繁，信息科技外包的服务定位也在持续变化，从为银行提供一揽子”技术解决方案，逐步向提供人力辅助转变。为充分发挥信息科技的支撑保障作用，规范信息科技外包活动，推动外包服务提供商提供持续、稳定、优质的服务，有效控制信息科技外包风险，特制订本标准学兔兔 标准下载T/HBPFS 004-20234信息安全服务 信息科技外包管理规范1范围本文件规定了信息科技外包管理要求，对信息科技外包活动管理，包括准入前评估、尽职调查、合同约定等外包活动，以及非驻场集中式外包、同业和关联外包提出管理标准。本文件适用于开展信息科技外包活动，执行外包服务提供商准入、尽职调查、服务评价和退出管理，以及对外包过程中的关键管理活动进行监控及分析。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 24405.1-2009 信息技术 服务管理第1部分:规范GB/T 22080-2016 信息科技 安全技术信息安全管理体系 要求GB/T22080-2016/ISO/IEC 27001:2013 信息技术 安全技术 信息安全管理体系JRT 0071.1-2020 金融行业网络安全等级保护实施指引 第1部分：基础和术语银保监办发2021141号 中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知3术语与定义下列术语和定义适用于本文件。3.1信息安全服务information security service面向组织或个人的各类信息安全需求和信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全过程或任务。注:信息安全服务通常以信息安全服务提供方和信息安全服务需求方之间的服务项目形式进行。来源：GB/T22080-2016/ISO/IEC 27001:20133.2服务协议service agreement服务需求方和服务提供方在服务开始前共同签署的约定，并在服务过程中共同遵守。来源：GB/T 24405.1一2009，2.133.3信息安全风险评估information security risk assessment学兔兔 标准下载T/HBPFS 004-20235从风险管理角度，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行识别、分析和评价的过程。注:信息安全风险评估贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段。来源：GBT 22080-2016 ISO 27001-2013 信息技术 安全技术 信息安全管理体系 6.1.2 有修改3.4信息科技外包information technology outsourcing将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。来源：银保监办发2021141号 中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知 附则3.5关联外包related outsourcing母公司或其所属集团子公司、关联公司或附属机构作为服务提供商，为其提供信息科技外包服务的行为。来源：银保监办发2021141号 中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知 附则3.6驻场外包on site outsourcing服务提供商在客户现场以驻场的方式提供服务的外包形式。来源：银保监办发2021141号 中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知 附则3.7非驻场外包non resident outsourcing服务提供商不在客户场所提供服务的外包形式。来源：银保监办发2021141号 中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知 附则4总体要求4.1外包管理原则在实施信息科技外包时应当遵循以下管理原则：a)不得将信息科技管理责任、网络安全主体责任外包；b)以不妨碍核心能力建设、积极掌握关键技术为导向；c)保持外包风险、成本和效益的平衡；d)保障网络和信息安全，加强重要数据和个人信息保护；e)强调事前控制和事中监督；f)持续改进外包策略和风险管理措施。4.2外包活动分类学兔兔 标准下载T/HBPFS 004-20236信息科技外包服务类型划分如下：a)咨询规划类包括但不限于：信息科技战略规划（含中长期规划）咨询，数据中心（机房）整体建设咨询和规划，信息科技治理（含数据治理）、信息科技风险管理体系、信息安全管理体系、业务连续性管理体系等管理类咨询和规划，重要信息系统架构和建设相关的咨询和规划，新兴技术应用咨询和规划；b)开发测试类包括但不限于：软硬件开发和测试外包（含人力外包），软件即服务形式的外包；c)运行维护类包括但不限于：数据中心（机房）物理环境的托管或运行维护，软硬件基础设施托管或运行维护，应用系统运行维护，电子机具运行维护，终端等办公设备的运行维护，以及涉及以上运行维护的人力外包；d)安全服务类包括但不限于：安全运营服务，安全加固服务，安全设备运行维护，安全日志处理与分析，安全测试服务，密钥管理及运行维护，数据安全服务，以及涉及以上服务的人力外包；e)业务支持类包括但不限于：市场拓展，业务运营（集中作业、呼叫中心等），企业管理，资产处置，数据处理，数据利用等业务外包或第三方合作当中涉及银行机构的重要数据或客户个人信息处理的信息科技活动，法律法规另有要求的除外。4.3外包风险管理应将外包风险管理纳入全面风险管理体系，建立与信息科技战略目标相适应的外包管理机制，控制或降低由于外包而引起的风险。在信息科技外包活动中，应防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。5外包活动管理5.1外包准入管理外包项目立项前，应当充分评估拟开展的信息科技外包活动与信息科技外包战略的一致性，充分评估拟开展的信息科技外包活动相关风险。对外包准入条件要求包括但不限于：a)明确服务提供商的准入标准，制定准入评价，对备选服务提供商进行初步筛选；b)选择跨境外包时，应当充分评估服务提供商所在国家或地区的政治、经济、社会、法律、文化等经营环境；c)涉及信息跨境存储、处理和分析的，应遵守我国有关法律法规的规定；d)对于关联外包和同业外包，不得降低对服务提供商的要求，严格防范利益冲突和利益输送。5.2尽职调查管理对重要外包的备选服务提供商，应在签订合同前，开展尽职调查，必要时可聘请第三方机构协助调查。尽职调查内容应包括但不限于：a)服务提供商的技术和行业经验，人员及能力；b)服务提供商的内部控制和管理能力；c)服务提供商的网络和信息安全保障能力；d)服务提供商的持续经营状况；e)服务提供商及其母公司或实际控制人遵守国家和相关法律法规要求的情况；f)服务提供商配合审计、评估、检查及监管机构监督检查情况。学兔兔 标准下载T/HBPFS 004-20237符合重要外包条件的非驻场外包，还应进一步调查：a)服务提供商对本机构与其他机构的设施、系统和数据是否有明确、清晰的边界；b)服务提供商是否有管理制度和技术措施以保障机构数据的完整性和保密性；c)服务提供商对涉及本机构的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最高访问权限；d)服务提供商是否拥有或可能拥有业务系统的最高管理权限或访问权限，是否能够浏览、获取重要数据或客户个人敏感信息；e)服务提供商是否有完善的灾难恢复设施和应急管理体系，是否有业务连续性安排；f)服务提供商是否存在不正当竞争或规避监管的情形。5.3外包合同管理外包服务发生前，应与服务商签订书面合同或协议。合同或协议应当根据外包服务需求、风险评估及尽职调查结果确定详细程度。在合同或协议中应当明确包括但不限于以下内容：a)服务范围、服务内容、服务要求、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件和服务质量考核评价约定；b)合规、内控及风险管理要求，对法律法规及监管政策的通报贯彻机制；c)服务持续性管理目标应当满足业务连续性目标要求；d)对服务提供商进行风险评估、监测、检查和审计的权利，及服务提供商承诺接受监管机构对其所承担的外包服务的监督检查；e)合同变更或终止的触发条件，合同变更或终止的过渡安排；f)外包活动中相关信息和知识产权的归属权以及允许服务提供商使用的内容及范围，对服务提供商使用合法软、硬件产品的要求；g)资源保障条款；h)安全保密和消费者权益保护约定，禁止服务提供商在合同允许范围外使用或者披露信息，服务提供商不得将数据以任何形式转移、挪用或谋取外包合同约定以外的利益；i)争端解决机制、违约及赔偿条款；j)报告条款，至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。5.4外包监控管理在外包服务过程中，应对外包服务过程进行持续监控，要求服务提供商制定项目实施计划，建立阶段性服务目标，并跟踪任务的执行情况。在外包服务监控发现异常情况时，应督促外包商采取纠正措施。要求包括但不限于：a)信息系统、硬件设备、基础设施的可用率；b)故障次数、故障解决率、故障响应时间、故障解决时间；c)服务的次数、客户满意度；d)业务需求的及时完成率、程序的缺陷数、需求变更率；e)外包人员工作饱和率、外包人员考核合格率；f)网络和信息安全指标、业务连续性指标。5.5服务安全管理应关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击，及时完善信息安全管控体系，避免因新技术或应用的引入而增加额外的信息安全风险。学兔兔 标准下载T/HBPFS 004-20238对于外包服务提供商的安全，不得以服务提供商的自评估完全替代，不得因关联关系而影响检查的独立性、客观性及公正性。应当在合同或协议中明确要求服务提供商不得将外包服务转包或变相转包。5.6业务连续性管理应考虑科技外包引入对业务连续性管理的影响，有针对性地完善业务连续性管理计划：a)识别出重要业务（指面向客户、涉及账务处理、时效性要求较高的业务，其运营服务中断会对机构产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务）所涉及的服务提供商；b)对服务提供商业务连续性管理水平进行监控、评价，要求服务提供商制订服务中断相关的应急处理预案；c)明确措施和方法，在服务提供商服务质量不能满足合同要求的情况下，保障获取其外包服务资源的优先权；d)组织服务提供商参与应急计划编制和应急演练，至少每年在综合性演练或专项演练中纳入一个或多个服务提供商开展一次相关演练