1 / 81

洛杉矶市云服务合同 及其安全要点

洛杉矶市云服务合同 及其安全要点. 工信部电子科学技术情报研究所 二〇一三年三月. 提纲. 1. 合同背景 2. 合同文本 3. 合同约束对象与主要服务内容 4. 合同中的信息安全要点 5. 合同执行情况与洛杉矶执法部门特殊需求 6. FedRAMP 建议在合同中明确的安全控制 7. FedRAMP 建议在合同中明确的权责. 合同背景.

yannis
Download Presentation

洛杉矶市云服务合同 及其安全要点

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 洛杉矶市云服务合同及其安全要点 工信部电子科学技术情报研究所 二〇一三年三月

  2. 提纲 1. 合同背景 2. 合同文本 3. 合同约束对象与主要服务内容 4. 合同中的信息安全要点 5. 合同执行情况与洛杉矶执法部门特殊需求 6. FedRAMP建议在合同中明确的安全控制 7. FedRAMP建议在合同中明确的权责

  3. 合同背景 • 2009年1月16日,美国加利福尼亚州洛杉矶市信息技术局(简称ITA)提出招标,寻找承包商为该市提供基于SaaS的邮件及协同解决方案(SaaS E-Mail & Collaboration Solution ) • 共有15家企业参与投标,经过打分后共邀请了3家企业进行口头汇报,最终美国计算机科学(CSC)公司平均得分最高

  4. 合同背景 • 2009年6月17日,ITA向该市行政办公室(简称CAO)提交了草拟的云计算服务合同。CAO从财务、可行性、信息安全等方面对此合同进行了评估,建议批准。 • 2009年11月20日,洛杉矶市与计算机科学公司正式签署合同(合同编号C-116359)。合同期限为三年,并且根据情况可以有两次机会续期一年,合同最高费用是725万美元。 • 合同明确,SaaS服务基于子承包商谷歌的“Google Apps Premier Edition”提供 4

  5. 提纲 • 合同背景 • 合同文本 • 合同约束对象与主要服务内容 • 合同中的信息安全要点 • 合同执行情况与洛杉矶执法部门特殊需求 • FedRAMP建议在合同中明确的安全控制 • FedRAMP建议在合同中明确的权责 5

  6. 合同文本 • 1.工作范围 • 2.文档 • 3.培训要求 • 4.服务 • 5.声明与保证 • 6.履约期 • 7.费用和支出 • 8.补偿和支付 • 9.合同缔约方和代表 • 10.保密和专有权 • 11.信息安全 • 12.定义 • 13.协议的修改、变更或修订 14.合同规定的优先顺序 15.附录A中未包含附加条款 16.附录列表 附录A 本市合同标准条款 附录B 工作说明 附录C 可交付成果定义 附录D 项目进度和计划 附录E 价格计划和目录 附录F 服务水平协议 附录G 关键联系人列表 附录H 承包商服务报价 附录I 信息保密协议 附录J Google Apps高级版服务协议

  7. 合同文本 • 1.工作范围——为超过40家洛杉矶市政府部门,安装启用(安装、迁移和部署)谷歌应用专业版,取代现有的邮件系统,并增加基于SaaS模式的办公自动化和协作工具 • 2.文档——本章介绍了合同执行过程中应提交的主要文档,包括:项目计划、进展报告、设计文档、网络图、路由图、安全文档、材料和设备清单等 7

  8. 合同文本 • 3.培训——本章规定承包商应给洛杉矶市提供操作或维护方面的个人培训,使其能够胜任操作和维护解决方案以及承包商安装的设备/子系统。 • 4.服务——本章主要规定了授权的用户有权利使用的服务,如数据备份和恢复等服务,洛杉矶市中断合同的情况下承包商应提供的服务,承包商进行分包时应遵守的要求,及批准的分包商名单。

  9. 合同文本 • 5.声明与保证——明确了洛杉矶市与CSC公司的共同声明与保证,例如双方认可自合同签署交付之日起,具备有效性和约束力等。并明确了CSC公司向洛杉矶市的承诺,例如将在平台上线前进行病毒测试等,其中一条规定了,承包商承诺不在软件中加入病毒或禁用的机制,并提供源代码以证明。 • 6.履约期——本章规定了合同有效的时间——有效期三年。若有效期内本合同所提供的经费花费完毕,本合同提前终止。此外,洛杉矶市保留两次对上述合同在三年有效期的基础上延长一年的权利。

  10. 合同文本 • 7.费用和支出——本章规定了如何分阶段付款等内容 • 8.补偿和支付——本章明确合同价格是一个总体费用,且无固定价格,但最多不超过725万美元 • 9.合同缔约方和代表——明确了签约双方对此合同的具体负责人,规定合同任何一方的正式通知、要求和信件都应以书面形式提出。

  11. 合同文本 • 10.保密和专有权——明确规定了洛杉矶市数据的所有权,对承包商仅在提供服务范围内存储、记录、传输、展示洛杉矶市数据的许可,明确禁止在未获得洛杉矶市专门书面批准的情况下向任何第三份披露该市数据等。

  12. 合同文本 • 11.信息安全——明确规定了承包商访问洛杉矶市“受保护数据”时应遵守的承诺,并且明确了洛杉矶市有权对承包商的信息安全项目进行审计,承包商应对谷歌的信息安全项目进行审计。 • 12.定义——包括以下名词的解释和说明:验收、验收测试、隶属机构、营业日、变更通知、变更管理过程、本市、专有权、保密信息、承包商工具、交付等等。

  13. 合同文本 • 13.协议的修改、变更或修订——本章明确,合同以及附录部分构成了的整个合同,未来达成的书面协议可能对合同进行修改 • 14.合同规定的优先顺序——如果合同存在前后矛盾,按以下优先级:合同条款、附录A、附录B到附录J • 15.附录A中未包含的附加条款——规定了对赔偿责任的一些限制,但明确不限制违反保密义务、侵犯知识产权、造成人身伤亡等而应承担的责任,并重点介绍了违反信息安全责任时应进行的赔偿及其他责任。

  14. 合同文本 • 附录A 本市合同标准条款——此部分是洛杉矶市所签合同中通用性的内容,内容包括合同原件数量、情有可原的延迟、知识产权,与具体合同业务无关。 • 附录B工作说明——对承包商所需要做的工作进行了详细说明。包括项目的启动实施阶段应提供的主要服务、后续服务以及基于谷歌SaaS平台将提供的功能和技术支持。

  15. 合同文本 • 附录C 可交付成果定义——明确了各项目可交付成果文档具体应包括哪些内容 • 附录D 项目进度和计划——明确了洛杉矶市迁移到谷歌SAAS平台的各个步骤的时间安排。 • 附录E 价格计划和目录——明确了收费标准。 • 附录F 服务水平协议——规定了CSC公司在发生服务中断事件、非服务中断事件时进行响应的时间要求。

  16. 合同文本 • 附录 G 关键联系人列表——列举了项目联系人等信息。 • 附录 H 承包商服务报价——列出了各类专业技术人员的工资标准。 • 附录I 信息保密协议——规定了哪些信息属于保密信息,对承包商访问保密信息有哪些授权,承包商在信息保密方面的责任等。 • 附录J Google Apps高级版服务协议——规定了谷歌的服务水平、信息保密等相关责任,以及有关协议中止、控制权发生变更等情况相关条款。

  17. 提纲 • 合同背景 • 合同文本 • 合同约束对象与主要服务内容 • 合同中的信息安全要点 • 合同执行情况与洛杉矶执法部门特殊需求 • FedRAMP建议在合同中明确的安全控制 • FedRAMP建议在合同中明确的权责

  18. 合同约束对象 • 合同对承包商及所有子承包商都进行了约束 • 在没有事先获得洛杉矶市书面同意的情况下,承包商不得对本服务的完成进行任何分包,也不能在本合同下进行任何权利或义务的转让或转移,任何这种行为都应及时避免确保不会造成进一步影响。 • 承包商所进行的经本市同意的服务转包不得解除承包商在本合同下的任何责任与义务,承包商应保障并使本市免除子承包商的任何支付要求。如果本市批准了子承包商,承包商仍应承担合同中全部责任。

  19. 合同规定的主要服务内容 • 服务对象是超过40家洛杉矶市的政府部门 • 服务内容 • 从现有GroupWise邮件系统彻底转移到Gmail系统相关的咨询、培训、试点及数据/用户的迁移。 • 基于Google 平台所提供的基于SaaS的邮件和其他协同服务,以及相关技术支持。其中,Email服务是必需的,并且是彻底迁移,不采取基于云的邮件系统+本地邮件系统并存的模式。办公软件和协作工具等是附加功能,可由市政府各部门自行选择用或不用。

  20. 合同规定的主要服务内容 • CSC团队在迁移阶段的主要服务 • (1)项目启动,讨论具体项目计划。 • (2)观察调研,对现有的电子邮件系统及相关环境进行详细调查,修订项目执行报告 • (3)培训 • (4)开发迁移工具,为云解决方案提供必要的安装和配置工具 • (5)测试。对所有工具进行单元测试,对所有迁移活动和功能区域进行系统测试

  21. 合同规定的主要服务内容 • CSC团队在迁移阶段的主要服务 • (6)试点。与洛杉矶市合作,选取少数能力较强的用户构成的试点用户小组,开展试点 • (7)用户转换/迁移。通过域/电子邮件服务器把用户迁移到新的SaaS电子邮件与协作解决方案,全部的迁移过程大概需要8周时间。 • (8)扫尾。过渡到后续持续的运营和支持服务。

  22. 合同规定的主要服务内容 • CSC团队将通过谷歌平台提供邮件服务及相关技术支持

  23. 提纲 • 合同背景 • 合同文本 • 合同约束对象与主要服务内容 • 合同中的信息安全要点 • 合同执行情况与洛杉矶执法部门特殊需求 • FedRAMP建议在合同中明确的安全控制 • FedRAMP建议在合同中明确的权责

  24. 合同中主要信息安全要点 • 参考FedRAMP已有的两个合同条款相关文档,将本合同中有关信息安全的条款大致分为两类,一类是双方在信息安全方面的权利责任,另一类是对应sp800-53,CSP应遵守的安全控制要求。

  25. 合同中主要信息安全要点 • 第一类信息安全要点——信息安全相关权责 1.详细定义了应受到保护数据内容 2.对数据的所有权进行了明确说明 3.明确信息披露的相关责任和义务 4.明确了违反安全规定的惩罚规则 5.对承包商信息安全项目进行审计 6.关于合同结束后的数据处理规定 7.承包商控制权变更相关的规定

  26. 合同中主要信息安全要点 1.受到保护数据内容 • 12.9保密信息(Confidential Information):本市的保密信息是指任何形式的本市数据(包括但不限于:电子邮件、日程、联系方式管理、附件、视频或音频记录、抄本、文件、应用程序接口、安装/配置信息、计划或设计) • 12.20受保护数据(Protected Data):是指包含任何重要安全信息的保密数据。

  27. 合同中主要信息安全要点 1. 受到保护数据内容 • 附录I 信息保密协议 1.在本合同执行期内,双方可能被对方透露,或因分配到的工作或其他方式被允许了解或访问对方的有关保密信息,上述的保密信息包括但不限于: • a.技术信息:自身产生或者他人产生的、或由本城市、本承包商、第三方提供的——方法、流程、数据元、表值、数据库对象及数据、组成成分、文档、电子邮件及其状态(发送或未发送)、系统和系统文档、自身或供应商提供的技术、系统建立和实施策略、计算机硬件和/或软件以及相关网络硬件和软件信息,计算机程序和/或其他相关编程代码和编程代码文档;和/或其他由本城市提供的类似的保密的系统信息,或相关草稿、过程稿。

  28. 合同中主要信息安全要点 1. 受到保护数据内容 • b.业务信息:本城市或承包商内部或外部的联系人列表,项目或项目分步的计费数据,工程和材料供应源的信息,财务和合同数据,合同意外开支数据,财务系统和/或计划以及设计策略、时间表,升级策略和时间表,财务数据,雇员数据,供应商数据,以及其他类似的保密数据、数据元或信息。 • c.安全信息:登录帐号和口令,和/或系统访问权利,访问密钥,许可密钥,网络授权,内部网和互联网接入能力和权限,和/或其他类似的由本城市、本承包商提供的系统访问信息和权利,以及那些可能被用来获取对内部或外部开发、提供的程序、系统、网络访问权的信息,还有那些被本城市或本承包商认为对正当履行自身工作职责是重要、适当和必需的信息。

  29. 合同中主要信息安全要点 2. 数据的所有权说明 • 10.1承包商存储的本市信息或其他衍生信息(承包商应将本市信息作为保密信息对待)应视为本市的唯一和独有财产。根据本市的请求,本市有权免费导出本市数据。仅在提供服务这一唯一和独有目的的情况下,承包商可得到受限的且不可转让的、仅在提供服务所需范围内存储、记录、传输以及展示本市数据的许可。

  30. 合同中主要信息安全要点 2. 数据的所有权说明 • 10.3非许可: 本合同的任何规定不得解释为授权任何一方任何本市有关数据或保密信息的所有权或其他权益,除非得到专门适用于这些保密信息的许可。

  31. 合同中主要信息安全要点 3. 信息披露的相关责任义务(一) • 10.1.…除非是经批准的子承包商,禁止承包商在未获得本市专门书面批准的情况下,向任何第三方披露本市数据… • 10.2信息保密(Non Disclosure) 这些信息的使用和披露应符合附件I中“信息保密协议”的规定。

  32. 合同中主要信息安全要点 3. 信息披露的相关责任义务(二) • 附件I 信息保密协议 2.在本合同执行期间,或者在与本城市合同终止之后的任何时间,对于任何此类保密信息或任何其他专有数据,以及任何对本城市或本承包商的上述系统的访问权利和/或权限,任一方都不应基于任何未由本城市或本承包商专门授权的目的,在未获得另一方专门的书面批准或未获得拥有管辖权的法院命令的前提下,违反本协议自己使用或为其他人使用,或披露,或泄露给他人。

  33. 合同中主要信息安全要点 3. 信息披露的相关责任义务(三) • 附件I 信息保密协议 3.各方同意,如果从任何第三方接收到一个任意类型的披露保密信息的请求,都不应该响应此类请求,并应立刻将这一请求通过公众信息官或合同管理人员通知另一方。 • 附件I 信息保密协议 5.各方均同意,不通过任何手段以任何方式利用、使用、管理、调用或恶意利用(exploit)任何系统特性、弱点…在任何时间或出于任何理由,未经授权或不恰当的访问系统或控制系统,或访问系统信息、数据存储区或其中的数据

  34. 合同中主要信息安全要点 3. 信息披露的相关责任义务(四) • 附件I 信息保密协议 6.各方进一步同意,将任何事件或相关信息立刻通知另一方及其主管人员,此处事件或相关信息是指一方发觉任何内部或外部系统、资源、行为或实体,其活动、存在、政策或实践,违反了或可能导致违反本协议的任何部分,或可能导致一方违反或导致一方有潜在机会违反本协议的任何部分、本城市的其他政策、规则、程序、流程或适用的州、联邦法律。

  35. 合同中主要信息安全要点 4. 对违反(breach)安全规定的惩罚(一) • 15.1.3.1 …对于承包商违反有关本市数据的保密或保密义务的每一个事件,承包商应支付本市1万美元作为违约赔偿。对于这一规定的目的,“事件”是指出于相同的具体原因或多个原因,将任何的客户资料披露给未经授权的接收者。 • 尽管有上述规定,客户应拥有权利,在任何时候自行决定,放弃其获得上述违约金的权利,并寻求对实际的损害进行赔偿。 • 对于任何承包商违反有关本市数据的保密或保密义务的情况,承包商应提供书面通知,内容包括:(i)披露的原因,(ii)所披露内容,及(iii)已采取什么补救行动,以确保未来的披露将不会发生。

  36. 合同中主要信息安全要点 4. 对违反安全规定的惩罚(二) • 附件I 信息保密协议 8.本承包商进一步承认并同意,对本协议的违反可能导致本城市的惩罚措施,具体惩罚措施基于本城市的裁量,最高可至中断本合同,还包括申请禁止令或其他民事救济,和/或因法律要求的进一步行动而通知适当的州、联邦机构。

  37. 合同中主要信息安全要点 5. 对承包商信息安全项目审计(一) • 11.1本承包商应对建立和维护信息安全项目负责,旨在:(1)确保受保护数据的安全和保密;(2)防止任何可以预见的、对受保护数据的安全和完整性构成的威胁或危害;(3)防止非授权访问或使用受保护数据;(4)确保受保护数据的妥善报废(disposal);(5)确保本承包商的所有子承包商(如果有)遵守上述规定。

  38. 合同中主要信息安全要点 5. 对承包商信息安全项目的审计(二) • 11.2本市的审计权。本市应有权在服务开始前以及合同履行期间不定期地评估本承包商的信息安全项目。在获得服务过程中,本市有权不时且持续,在合理进行通知的情况下,自己承担费用,有权现场审计本承包商信息安全项目。代替现场审计,基于本承包商的选择,本承包商应在45天内完成本市交付的本承包商信息安全项目审计问卷。 • 11.4审查结果。本承包商应完成本市或信息安全项目审查确定的任何保障措施。

  39. 合同中主要信息安全要点 6. 合同结束后的信息处理(一) • 4.3 若本市希望停止使用此解决方案并取回所有用户的数据、管理接口及可访问所有用户数据的开放API,在具备足够技术服务资源和带宽的情况下,所有的用户数据应可在5天内全部取回,并且承包商将授权删除解决方案内的所有用户数据。

  40. 合同中主要信息安全要点 6. 合同结束后的信息处理(二) • 附录I 信息保密协议 7.本承包商进一步同意,在与本城市的合同结束后: • a.本承包商应向本市返还所有本市的文档,记录和财产,包括但不限于:图纸、蓝图、报告、手册、业务信函、联系人列表、计算机硬件和/或软件,或本城市拥有的或供货商提供的任何材料、文档、记录、和业务信函,不管是纸质的、电子的还是包含在其他格式或媒质中的,以及所有的以任何形式与本城市业务相关、与本承包商在本业务中参与相关的副本,或本承包商在本合同执行过程中以任何形式(直接或间接)、通过任何一方获得的副本。本承包商进一步同意,本承包商不应保留副本、笔记、工作备忘录、草稿、前期方案,或任何上述内容的摘要。

  41. 合同中主要信息安全要点 7. 对承包商控制权变更的规定 • 15.3 控制权的变更。在控制权发生变更时(例如,通过购买或出售股票、并购或其他的公司交易形式):(a)经历控制权变更的一方应在控制权发生变更之日起的三十天内书面通知另一方;(b)另一方可以在从控制权变更之日到收到(a)部分提及的控制权变更书面通知后的三十天内随时终止本协议。

  42. 合同中主要信息安全要点 • 第二类信息安全要点——SP800-53框架下提出的CSP应满足的安全控制要求,涉及以下方面: 1. 审计和问责 2. 安全评估和授权 3. 业务连续性 4. 标识与鉴别 5. 媒介保护 6. 系统与服务采购 7. 系统和通信保护

  43. 合同中主要信息安全要点 1. 审计和问责——合同要求,谷歌的邮件系统应该对访问日志进行记录: • 1.1.10 安全需求包括: • 1.1.10.2 记录本市员工对本市数据的所有访问日志; • 1.1.10.3 记录其他人员对本市数据的所有访问日志;

  44. 合同中主要信息安全要点 2. 安全评估和授权——合同要求,承包商在正式实施项目前应该向洛杉矶市提交安全文档: • 2 文档 项目可交付成果文档应包括以下列出各项(定义见附录C):……2.3设计文档、网络图、路由图、安全文档(Security document)…… 44

  45. 合同中主要信息安全要点 3. 业务连续性——合同明确对数据备份和恢复以及服务中断后的响应提出要求(一) • 4.2 本市数据的备份和恢复。作为解决方案的一部分,承包商负责本市数据的备份,当服务中断时,进行及时且有序的数据恢复,本市数据的备份和恢复可参照附录F—服务水平协议(SLA)。 • F.1 CSC服务水平协议 服务中断后应在四个小时内重启服务(灾难恢复事件)。服务中断事件发生后的服务响应时间将参照附件F.2中描述的有关维护Google Apps SLA(service-level agreement,服务水平协议) 要求。对于非服务中断的事件,CSC需要在2个工作日内响应洛杉矶市要求。

  46. 合同中主要信息安全要点 3. 业务连续性——合同明确对数据备份和恢复以及服务中断后的响应提出要求(二) • 综合12.21 和附录F.1 46

  47. 合同中主要信息安全要点 4. 标识与鉴别——合同提出,应该由洛杉矶市来负责用户名和密码的变更管理: • 4.1 授权的用户。除非在附录B中以其他形式限定,本市及其任何员工,代理人,承包商,服务提供商或其它指定用户,若以本市的利益为出发点,则有权操作并使用该方案。作为解决方案的一部分,本市应负责所有用户名和密码的变更管理。 47

  48. 合同中主要信息安全要点 5. 媒介保护——合同中明确提出,应在谷歌的云服务平台中,将本市数据与其他数据隔离,并且保证邮件以及信息取证数据只保留在美国本土。 • 1.1.10 安全需求包括: • 1.1.10.1 可隔离(segregation)本市数据与其他数据; • …… • 1.1.10.4 保证本市电子邮件和谷歌信息取证(GMD)的数据只保留在美国本土。

  49. 合同中主要信息安全要点 6. 系统与服务采购——合同要求承包商对子承包商提出信息安全要求: • 11.1本承包商的承诺。在不限制本承包商对保密责任的进一步说明时,本承包商应对建立和维护信息安全项目负责,旨在:…(5)确保本承包商的所有子承包商(如果有)遵守上述规定。 • 11.3本承包商的审查。每年或更短时间内,本承包商应自付费用对谷歌信息安全项目进行SAS-70(注:Statement on Auditing Standard 70,由美国注册会计师协会创建的针对金融服务机构向客户提供服务的内部控制、安全保障、稽核监督措施的审计标准)或等效审查,以书面请求方式向本市提供审查结果。

  50. 合同中主要信息安全要点 7. 系统和通信保护——合同对平台的反病毒功能、源代码级的“禁用”机制或病毒的检测进行了规定(一) • 1.1.7方案管理应具备以下功能:… • 1.1.7.4 控制垃圾邮件或提供反垃圾邮件功能; • 1.1.7.5 控制病毒或提供防病毒功能(包括间谍软件);

More Related