ISO27001：2013外包服务管理规定.pdfVIP

XXXXXXX软件有限公司 人性化科技提升业绩 外包服务管理规定 目 录 1 、 目的 2 2 、 适用范围 2 3 、 管理规定 2 3.1 机房安全 2 3.2 网络安全 2 3.3 系统管理 2 3.4 用户管理 3 3.5 数据安全 3 3.6 合同管理 4 3.7 运行时管理 4 1)变更管理 4 2) 应急响应 5 3) 运维管理 5 4) 系统管理 5 5) 数据安全 5 第 1 页 共 7 页 内部公开 【外包服务管理规定】 F4-C- 研发服务体系 -004-V1.0 1 、目的 为了提高外包业务的服务质量， 规范外包业务的管理活动， 保障系统安全运 行，提升外包服务业务人员安全意识水平， 北京讯鸟软件有限公司 （以下简称“公 司”）依据信息安全管理标准《 GB/T 22080-2016/ISO/IEC 27001:2013 信息 技术 安全技术 信息安全管理体系 要求》的相关要求，结合自身业务系统实际 运行安全需求，制定了本外包服务业务的管理规定。 2 、适用范围 本规定适用于云计算及互联网服务平台的所有应用系统。 3 、管理规定 3.1 机房安全 机房应安装门禁系统和视频监控系统。 机房环境应符合相关机房管理规定的 要求。 3.2 网络安全 1) 外包服务的信息系统所在网络区域应与其他网络区域使用访问控制列表 或防火墙进行网络安全隔离。 2) 外包服务的网络区域应部署入侵检测系统， 及时分析入侵事件。 （增强性 要求） 3) 外包服务的网络区域应安装网络监控系统， 及时监控网络访问情况。 （增 强性要求） 3.3 系统管理 1) 运行应用系统的服务器和工作站必须安装防病毒系统， 病毒库及时更新。 第 2 页 共 7 页 内部公开 【外包服务管理规定】 F4-C- 研发服务体系 -004-V1.0 2) 应用系统首次投产前，应实施操作系统、数据库、应用漏洞扫描和渗透 测试，修复高危漏洞后投产，并向甲方提交书面报告（包括漏洞扫描结果、分析 报告、漏洞修复情况等内容） 。 3) 应用系统客户端不允许直接连接数据库。 4) 信息系统应有日志审计功能，不提供删除、修改、覆盖日志功能。 3.4 用户管理 1) 应检查用户密码复杂度，密码不得与用户账号相同，密码组成至少包含 大写字母、小写字母、数字和特殊字符四类要素中的三种，且长度至少为 8 位。 2) 应提供用户密码连续输入错误锁定功能，用户连续输入错误次数超过规 定次数（最大为 5 次）锁定用户，须解锁后才能正常使用。 3) 应严格限制默认帐