云服务之信息安全责任边界

信息安全责任边界
一、总则
依据《中华人民共和国网络安全法》、《XX云应用系统上云及交付流程》（V3.0）约定，XX云云资源服务方与云资源申请方共同承担信息安全责任。

XX 云资源服务方确保底层基础设施的安全，提供中立的信息存储空间等网络服务及相关的中立技术支持服务；云资源申请方自行开发、部署、运维的应用系统及其任何产品、服务及相关内容的安全责任自行承担。

二、云资源服务方责任边界：
1、信息系统生命周期
（1）系统设计阶段：提供针对项目范围、需求分析、系统功能、安全规划、方案设计、运行维护等方面的信息安全相关建议。

（2）系统开发阶段：提供开发编码安全建议及开发功能测试与开发压力测试的辅助工作。

（3）系统部署上线阶段：提供部署上线需求与建议，并对部署基础支撑环境测试、上线前安全检查、上线前渗透测试负责主要责任，同时辅助云资源申请方进行上线部署。

（4）系统运行维护阶段：提供包括安全管理规范要求、提供安全检查标准与指南、审核云平台并管理各类运维程、提供24小时物理及网络运维、云平台主机及应用漏洞扫描、发布并督促漏洞修复、提供各类安全隐患修复建设、云平台安全准入控制、安全态势监测与研判、云平台罚则制定与修改等。

（5）系统下线阶段：提供系统下线方案，并进行相应记录更新和资源释放。

2、物理组件
承担XX云中物理设备、网络等基础设施相关的运维与安全责任，提供基础设施相关的运维配合工作。

以及提供相关监测建议和咨询工作。

3、系统组件
承担信息系统相关的硬件运营、维护、监测及管理，并协助云资源申请方运营系统软件（操作系统、数据库等）、业务系统、中间件、应用软件；
4、应急响应与安全事件
承担24小时IaaS层安全应急值守、应急响应、故障处置、系统关停及恢复、维护应急预案与体系建设、应急及审计追查、应急演练、安全抽样
检查、安全整改等。

三、云资源申请方责任边界：
1、国家法规
遵守国家有关法律、行政法规和管理规章，严格执行信息安全管理规定。

不得使用任何非法手段访问和使用XX云提供的服务，即便资源申请方知悉发生相关损害的可能性也不就收入损失或任何间接的、特殊的、偶然的、附随的、惩罚性的或惩戒性的损害承担责任。

使用正版操作系统、使用正版业务软件、进行网站与域名备案、行业经营许可等。

2、信息系统生命周期
（1）系统设计阶段：主要负责系统设计全过程。

（2）系统开发阶段：主要负责与管理开发整体规划、进度管理、编码规范、功能测试、压力测试、成果交付。

（3）系统部署上线阶段：主要负责对上线部署需求与上线部署全过程，同时配合云资源服务方完成上线前安全检查、上线前渗透测试工作。

（4）系统运行维护阶段：主要负责应用系统的各类审核与管理运维流程、应用系统运行监测、应用系统漏洞修复与反馈、应用系统修复漏洞、
应用系统安全准入与用户管理。

（5）系统下线阶段：主要负责评审下线系统，提前进行备份以及配合云资源服务方实施云资源释放与记录更新。

3、系统组件
主要负责信息系统软件、业务系统、中间件、应用软件的运营、维护、监测及管理。

4、日常运维
主要负责部署在XX云上业务系统的安全和日常运行维护及相关的安全责任，包括但不限于：业务信息系统的日常安全监测管理工作、部署的应用系统、OS系统，以及用户的口令、数据等信息安全工作。

如因申请方安全保障不当或不够导致的上述系统、口令、数据等的被盗、丢失、损坏、泄露等一切后果和损失由用户自行承担。

5、应急响应与安全事件
主要负责应用系统的安全应急与事件管理，包括但不仅限于：24小时安全应急值守、应急响应、故障处置、系统关停及恢复、维护应急预案与体系建设、应急及审计追查、应急演练、安全抽样检查、安全整改等。

在XX云运营的业务系统，如需基础设施运维与应急响应，可拨打7*24小时热线服务电话：XXXXX寻求协助。

声明并承诺：申请方已经仔细阅读并完全同意本责任书约定，如违反上述规定，愿意承担由此产生的一切责任。

申请方授权代表签字
日期：。