外包管理检查列表Checklist

删除 改 4) 应对其访问权进行适当处理。应 或 变的访问权包括物理和逻辑访问、密
钥 ID 卡 、 、信息处理设施
I I I
，且通过了安全
；
指南 备. 正 2) 是否按操作规程或 进行安全访问和操作信息数据或设 包括 确的保管
PC机 器 备 、使用 或服务 等设 。
人员 人员 3) 是否对违规外包 进行了违规处理，确保外包 意识到信息安全职责和问
题。
II I
III
3.3. 任用终止和变化
人员 告 人员 1) 终止外包 的职责， 知外包 其终止和变化后所要遵守的责任，包括保
4) 合同或协议中应包含知识产权、代码所有权和版权转让等相关的保护；
I
5) 在合同或协议中明确外包方应遵循的法律、法规方面的要求；
I
6) 合同中应包含接受我行或第三方信息安全审计的条款。
II
7) 外包服务商遵守商业银行有关信息科技风险制度和流程的意愿及相关措施。
III
3. 外包人员
真实 无犯罪记录 无 记录 3.1. 任用前
II
密协议中的内容等
归还 人员 移动 算 备 卡 卡 2) 是否 外包 所使用的组织资产。包括 计 设 、信用 、访问 、
手册 于电子介质 也 归还 软件、 和存储
中的信息 需要 。
人员 自己 备时 序 已 移给 3) 对外包 使用他们 的设 ，应遵循程 确保所有相关的信息 转
已从 备 删除 组织，并且 设 中安全的
类别\发现的弱点
外包过程管理和风险控制 外包合同或协议 外包人员 总计
I级风险 1 1 1 3
II级风险 1 1 1 3
III级风险 1 1 1 3
I级风险 II级风险 III级风险
检查项

风险等级
1. 外包过程管理和风险控制
1) 是否对外包方进行分类安全管理（如对ISP服务商、软件开发、运维、保洁
8) 是否通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和
I
其他信息。
9) 应对外包方的变更进行控制，保障变更前后的平稳过渡（包括终止合同可能发
II
生的情况）。
10) 采取措施监控外包方的各种风险，包括财务、经营等风险，减少外包方的异常
II
变化对本组织的带来的风险。
11) 外包方将外包服务再次对外转包，其是否对转包或分包进行风险控制和管理，
说明 风高险风级险别 中风险 低风险
风险标记
I级风险
II级风险
III级风险
风险5 值 3 1
1.检查报告
针对本组织的外包管理总共进行了28项安全检查，具体的分布包括：
类别\弱点
外包过程管理和风险控制 外包合同或协议 外包人员
评估结果如下：（需要统计）
I级风险 4 3 5
II级风险 6 3 4
III级风险 1 1 1
III
等），并对不同类型的外包方进行安全控制。
2) 是否按单位的“必需知道”和“最小授权”原则对外包方进行授权，其访问权
I
限进行了审批。
3) 是否对外包方的违规进行了适当的管理和控制，将组织的风险减低至最小，如
II
在合同中包含外包方承担误操作导致损失的条款。
4) 是否采取安全的访问形式限制外包方对信息数据和处理设施访问，访问形式包
II
括：物理访问、逻辑访问、远程访问、现场访问、非现场访问等。
5) 是否采取了控制措施防止外包方非法访问其它信息数据和处理设施。
I
6) 是否对外包方在存储、处理、传送、共享和交换信息过程进行了安全控制和管
I
理。
7) 是否采取措施确保外包方意识到他们的责任，包括访问、处理、通讯或管理组
II
织的信息和信息处理设施所涉及的职责和责任。
II
且符合相关的规定。
2. 外包合同或协议
1) 合同或协议中应包含对拷贝和公开信息，以及保密性协议的使用限制。
II
2) 在合同或协议中明确包含服务的内容、范围、目标级别和服务的不可接受级
I
别；
3) 在合同或协议中应包含提供服务的连续性要求，以及提供相关资源的承诺，保
II
障在异常情况下能提供持续服务；
1) 是否进行了背景审查，包括学历是否
，有
，有 安全违规
II
等。
人员 清楚 解 角色 2) 外包 是否对其职责有 的理 ，包括其 和职责。 于秘 德 3) 是否签署了相应的协议，协议包含其关 密性、数据保护、道 备设 和设施的适当使用等职责。
规范、组织
II I
3.2. 任用中
人员 参与 教育培训 培训考核 1) 外包 是否 了单位组织的安全