合同安全要求
必备条款
与具有BAUER GROUP系统或数据访问权限的服务提供商签订的合同须包含以下最低要求:
信息安全
| 条款 | 描述 |
|---|---|
| 安全标准 | 遵守适当的技术和组织措施(最新技术水平) |
| 加密 | 对敏感数据进行静态和传输加密 |
| 访问控制 | 个人化账号、最小权限原则、管理访问需MFA |
| 补丁管理 | 及时修复已知漏洞 |
事件管理
| 条款 | 描述 |
|---|---|
| 报告义务 | 立即报告安全事件(最长24小时) |
| 配合义务 | 协助分析和修复 |
| 信息义务 | 完整告知事件范围和影响 |
检查与审计权
| 条款 | 描述 |
|---|---|
| 审计权 | 有权检查安全措施(自行或通过第三方) |
| 证书提交 | 有义务提交当前安全认证 |
| 合规证明 | 每年提供合同安全要求的遵守证明 |
数据处理
| 条款 | 描述 |
|---|---|
| 数据存储 | 记录存储位置和法律管辖区 |
| 数据删除 | 合同结束后安全删除并提供证明 |
| 数据返还 | 以机器可读格式返还所有数据 |
| 分包商 | 分包商需审批,适用相同安全要求 |
退出策略
| 条款 | 描述 |
|---|---|
| 过渡期 | 迁移期间至少90天的支持 |
| 数据导出 | 以开放格式完整导出数据 |
| 知识转移 | 记录所有相关配置和流程 |
| 删除确认 | 书面确认数据已完全删除 |
合同管理
| 活动 | 频率 | 责任人 |
|---|---|---|
| 合同审查 | 签订/续签时 | ISB + 采购 |
| SLA监控 | 持续 | IT运维 |
| 安全条款审查 | 每年(关键供应商) | ISB |