邓白氏数据安全要求 - | 邓白氏-全球商业信息服务机构

邓白氏数据安全要求

公司应被要求根据下述邓白氏数据安全要求（“本要求”）保护其处理、传输、存储或以其他方式接触的邓白氏数据。“邓白氏数据”指邓白氏的产品、许可内容、机密信息和个人数据。

1. 安全计划与合规性

1.1维护并遵守书面和全面的安全策略和支持管理框架，并根据该策略制定标准和指南，以保护数据的机密性、完整性和可用性（CIA），包括邓白氏数据。安全政策应解决：（a）通过风险评估针对信息安全的每个领域（即访问管理、系统开发和变更管理等）确定的信息安全风险和控制措施，并应酌情制定和实施补充政策;（b）反映适用法律的要求;（c）适用于所有员工;以及（d）接受年度审查并更新以解决：（i）相关组织变化，（ii）邓白氏合同要求，（iii）已确定的信息资产威胁或风险，以及（iv）适用法律的相关变化。

1.2公司理解并承认，与邓白氏数据的机密性、完整性和可用性（CIA）相关的风险环境可能会不时变化，并且可能需要修改有效的安全实践以应对和减轻此类风险，包括执行比当时实施和/或描述的更严格的安全实践。公司同意采取合理步骤，根据邓白氏诚信原则所确定并提出的要求，修改此类安全措施。

1.3除非适用法律禁止，否则公司应对在雇用或开始聘用时有权访问邓白氏数据的员工进行背景验证调查。公司应对所有个人进行全面的背景调查，包括员工和承包商，他们对存储邓白氏数据的系统或物理环境有物理或逻辑访问权限，并确保那些背景调查与所述记录和雇佣不一致的个人无权访问邓白氏数据。

1.4确保在员工入职时和之后每年向公司员工提供安全意识培训。安全意识培训课程应包括但不限于与可接受使用、数据分类和社会工程（包括网络钓鱼）相关的信息和最佳实践。

1.5定期评估组织信息系统的运行以及邓白氏数据的相关处理、存储或传输对公司组织运营（包括使命、职能、形象或声誉）、组织资产和个人造成的风险。

1.6如果公司得知或有理由相信已确认的与邓白氏数据相关的安全事件已发生，公司应在 48 小时内通知邓白氏。此类通知应总结合理细节以及尽公司在通知时所知悉的下列情况：（i）事件本身;（ii）对邓白氏以及受此类隐私或安全事件影响的个人的影响;以及（iii）公司已采取或建议采取的纠正措施。如果发生安全事件，公司应与邓白氏合作，以纠正或减轻任何安全事件引起的任何信息安全威胁、风险或其他问题。

1.7公司应确保作为其漏洞管理计划的一部分，定期审查历史审计日志，以确定在邓白氏数据所在的系统中发现的漏洞是否曾被利用过。如果发现此类利用行为，公司同意在确认利用时立即通知邓白氏，并告知其利用的日期、时间和方法。公司进一步同意，如果在此类利用过程中泄露了邓白氏数据，公司将在确认后向邓白氏报告。

1.8公司应防止未经邓白氏书面同意向第三方披露邓白氏数据或与邓白氏数据或其结构相关的信息（例如：记录和字段信息）。

1.9公司应实施正式记录的事件管理政策，其中包括：（a）明确定义的管理和用户角色和职责;（b）就影响邓白氏数据安全的事件和事件设立报告机制，包括报告涉嫌未经授权或非法访问、披露、丢失、更改和销毁邓白氏数据的行为;（c）在合理的时间范围内实施风险评估和风险管理程序，并与安全事件的性质和造成的伤害或潜在伤害相匹配;（d）根据适用法律向相关部门通知的程序。

1.10在信息系统的外部边界和关键内部边界监控、控制和保护组织通信（即公司信息系统传输或接收的信息）。

1.11公司将实施并维护技术措施，以防止屏幕抓取或机器人收集邓白氏数据（例如：CAPTCHA、蜜罐、速率限制）

1.12如果公司要利用分包商来支持提供给邓白氏的服务，则必须提前通知邓白氏。通知中将包括公司对这些分包商进行的最新尽职调查评估。

1.13公司同意全力配合邓白氏对公司提供的服务、安全控制和/或软件信息的任何合理要求，并尽商业上合理的努力在邓白氏设定的任何要求的时间参数内迅速进行合作。公司理解并同意，在监管或法律信息请求的情况下，此类时间参数可以是紧急/即时的。

1.14公司同意寻求所有关键人员和其他人员的协助，以回应邓白氏关于邓白氏和公司之间协议范围内的服务和/或软件的任何信息请求。公司应邓白氏的要求提供相关文件、报告和证据以供审查。

1.15经合理通知并在正常工作时间内，邓白氏有权每年一次（除非有重大安全事件，在这种情况下允许进行第二次审计）检查和察看公司的安全政策、流程、控制和其他相关证据，以确定是否符合本要求中规定的要求。此类审计的范围包括但不限于验证是否遵守所有适用法律，包括与反腐败、欺诈、贿赂、出口管制和贸易制裁相关的法律。如果不适合在公司所在地进行实地检查，则可以通过远程验证共享政策、书面证据、控制证据、报告、屏幕截图来证明控制措施的有效性。为避免疑问，此处包含的任何内容均不允许邓白氏审查与公司的其他合作伙伴有关的机密数据。邓白氏应自行承担与本要求中描述的审计相关的成本和费用。公司应根据已确定结果的严重性确定补救工作的优先级，并迅速采取行动解决邓白氏发现的所有已确定的“关键”或“高风险”发现。公司将根据我们共同商定的审计结果补救时间表（不超过 120 天）对发现的结果进行补救。

2. 安全合规性框架

在适用的情况下，公司应遵守以下独立审核的安全合规性框架、认证和证明的控制要求。

2.1ISO 27001:2022：公司将使用程序、技术和行政保障措施来实施和维护全面的信息安全管理系统（ISMS），旨在保护根据公司当时的国际标准化组织（ISO/IEC）证书中规定的措施处理或存储的任何邓白氏数据的机密性、完整性、可用性（CIA）和隐私。在邓白氏和公司之间协议期限内，公司应始终遵守 ISO 27001：2022 控制要求，并在收到书面请求后 10 个工作日内提供风险评估和处理报告。公司将应邓白氏的要求向邓白氏提供公司的适用性声明（SOA）的副本。

2.2Soc 2 Type 2：公司将对其服务使用程序、技术和行政保护措施，旨在保护根据公司当时的服务组织控制（SOC） 2 Type II 报告中规定的措施存储的任何邓白氏数据的机密性、安全性、完整性、可用性和隐私性，该报告的副本应根据邓白氏的合理书面要求提供给邓白氏。在邓白氏和公司之间协议期限内，公司不会大幅降低其 SOC 2 报告（自生效日期起）中规定的整体安全级别，包括但不限于与灾难恢复、业务连续性和软件开发相关的保障措施。此外，公司应实施商业上合理的漏洞管理实践，以识别、评估和补救潜在的网络安全漏洞。这应包括评估第三方系统中的漏洞、对应用程序和基础设施进行扫描和测试，以及整合任何自行或第三方发现的漏洞或控制弱点的结果。从概述的途径中发现的问题应立即修复。

3. 访问管理

公司应实施并维护以下访问管理要求：

3.1公司将监控特权访问的使用情况，并维护安全和事件管理措施，旨在：（1）识别未经授权的访问和活动，（2）促进及时和适当的响应，以及（3）启用内部和独立的第三方合规性审计。公司将采取旨在防止未经授权访问、修改以及意外或故意销毁此类日志的措施。此类日志的保存期限不得少于 12 个月。

3.2仅允许需要访问邓白氏数据以履行邓白氏与公司之间协议条款和条件的员工（“需知”原则）访问（包括远程访问）邓白氏数据。访问权限的授予应严格遵循最小权限原则。

3.3对系统的访问必须基于有效、唯一的用户身份，以确保可追溯性和问责制。共享账户不得用于系统维护或相关活动以外的任何目的。

3.4以不少于每 180 天一次的频率审查所有有权访问邓白氏数据的个人名单，包括管理员/特权访问权限，以及包括系统和数据库管理员，以确保每个人的访问权限以及此类访问权限的级别和功能仍然是执行履行邓白氏和公司之间协议条款和条件的行动的要求。

3.5确保存储、处理或以其他方式包含邓白氏数据的IT资产在员工终止劳动关系或岗位调动等行为期间及之后受到保护。

3.6制定并维护职责分离原则，以降低恶意活动的风险。

3.7公司应实施控制措施来检测和防止恶意软件、恶意代码和未经授权的代码执行。公司应定期使用可用的最新技术更新控制措施（例如：部署最新的签名和定义）。

3.8配置在非活动时间超过 15 分钟后自动会话超时。

3.9禁止任何处于非活动状态的公司用户账户访问邓白氏数据，期限不超过30天。

3.10确保任何个人的身份识别或认证信息不被用于从多个物理或逻辑位置同时发起连接或会话。

3.11在任何网络中仅传输加密的帐户身份验证和授权信息，并采用技术来确保远程访问通过双因素进行身份验证，例如，使用一次性密码生成器令牌或生物识别设备。

3.12收集并保留所有涉及访问邓白氏数据的事件的访问日志不少于1年。

3.13确保个人信息系统用户的行为可以唯一地追溯到这些用户，以便他们对自己的行为负责。

3.14实时检测并提醒相关公司员工未经授权的访问邓白氏数据的尝试，并及时调查、记录和解决问题。

3.15保留所有可能的未授权访问尝试的调查和询问的文件，并应要求及时向邓白氏提供。为避免疑义，不能与客户共享有关公司共享系统的报告，因为这会（i）违反公司对其他客户的保密义务，以及（ii）对其他客户构成安全风险。

3.16公司应根据美国国家标准研究院（NIST）特别出版物 800-63B：数字身份指南，为所有用户、服务和分包商实施和维护密码要求。公司必须使用复杂的密码。在 5 次失败或不成功的登录尝试后，必须锁定用户帐户，且时间不少于半小时。如果密码可能泄露，则必须立即更改密码。公司将通过对用户帐户进行审计或审查，采用流程将系统中未经授权或不再需要的用户帐户的风险降至最低，并在确定用户不需要后立即撤销身份验证权限。

3.17公司应聘请独立第三方以不低于每年一次的频率，对其控制的任何环境进行网络渗透测试，分析所有可能的漏洞。

3.18邓白氏希望公司执行端到端渗透测试或漏洞测试，并提供一份报告表明其提供的服务中不存在任何安全问题。公司应根据要求向邓白氏提供一份测试结果的执行报告。测试报告应至少包括： (a) 执行摘要，概述测试情况； (b) 测试范围和使用的测试方法；(c) 报告严重、高和中等等级的漏洞发现数量；(d) 第三方测试人员的姓名；以及 (e) 第三方测试的日期。公司应根据邓白氏和公司之间协议中商定的漏洞整改时间表，对邓白氏定义为“严重”风险或“高”风险的已识别漏洞进行修复整改。

3.19公司应采用行业标准的强加密方法存储和传输密码。

4. 数据保护

4.1对于邓白氏数据所在的系统，建立并维护符合 CIS、NIST、DISA STIG、COBIT 或 PCI 等行业标准的系统强化程序。

4.2在相应的系统开发生命周期中建立和维护公司 IT 资产的基准配置和清单。

4.3公司应维护和使用工具，至少每月扫描一次服务器、网络设备等，以确认公司的计算资产符合行业标准的系统强化要求。

4.4公司应对其控制下包含邓白氏数据的任何存储介质进行标记，标记名称应为通用名称，不得向读取者暗示该介质包含邓白氏数据。

4.5公司应在下列情况下加密邓白氏数据：（a）静态；（b）使用强加密算法 AES 256 和 TLS 1.2 或更高版本跨网络传输，包括通过不受信任的网络（如公共网络）传输；以及（c）写入可移动媒体设备时。公司应从授权的证书颁发机构获取证书，证明传输中加密。公司应维护和实施补丁和漏洞管理流程，以识别、报告和修复应用程序或系统漏洞，该流程由应用程序或系统所有者批准，并与风险级别相称，方法是：（a）每月以及在任何重大系统或应用程序更新期间执行漏洞扫描;（b）实施供应商补丁或修复程序；以及（c）制定风险处理机制以解决已识别的漏洞。

4.6对于邓白氏数据所在的所有系统，公司应使用信誉良好的解决方案（如Qualys、Nessus等）扫描此类系统，以识别和纠正可能影响邓白氏数据CIA的安全漏洞。此类扫描的频率不得低于每月一次。在公司系统上发现的 CVSS 评分为“严重”的漏洞应在发现后 7 天内进行修复。CVSS 评分为“高”风险的发现应在发现后 30 天内修复。CVSS 评分为“中等”风险结果应在发现后 120 天内修复。

4.7应在网络和边界级别实施和维护适当的安全解决方案（包括但不限于防火墙、IPS / IDS、防病毒软件等），以确保实时阻止/检测恶意流量（入站/出站）或恶意用户访问应用程序、数据库和基础设施，以确保个人数据的信息安全不受破坏。

4.8公司应在会话结束时或规定的非活动期后终止与通信会话相关的网络连接。

4.9公司应根据行业最佳实践（如 OWASP WAF 配置指南）实施和维护 Web 应用程序防火墙（WAF）。

4.10公司应确保Web应用防火墙（WAF）保持最新的安全补丁和特征库。

4.11公司应监控 WAF 是否存在任何可能导致安全事件的恶意活动。

4.12公司应主动监控、限制、禁用和防止使用非必要的程序、功能、端口、协议和服务。

4.13公司应创建、保护和保留信息系统审计记录，以监控、分析、调查和报告非法、未经授权或不适当的信息系统活动，并保护审计信息和审计工具免受未经授权的访问、修改和删除，并限制、监控对特权用户子集的审计功能管理。

4.14数据不得存储在移动计算设备上。如果必须使用移动计算设备，则必须制定移动设备管理（MDM）策略，并为公司提供远程擦除设备的能力。

4.15公司应实施程序，确保在不再需要用于邓白氏授权的用途时，或在邓白氏和公司之间协议到期或终止时，邓白氏数据被安全销毁。公司应（a）在资产销毁和处置之前，保护并确认从其系统和服务器（包括任何物理或电子副本）中删除邓白氏数据;（b）提供销毁该邓白氏数据的证明（如适用）;及（c）要求任何参与处理邓白氏数据的第三方在服务不再需要时安全地处理信息。

4.16应邓白氏的要求，公司应将数据返还给邓白氏，或根据NIST SP 800-88 r.1或DoD 5220.22-M标准规定的程序，证明数据的销毁。此要求适用于数据使用结束后、邓白氏合理请求时，或协议其他规定的情况。

4.17公司应采用控制和程序，通过定期扫描信息系统以及在下载、打开或执行文件时对来自外部来源的文件进行实时扫描和监控来保持文件完整性。

5 业务连续性和灾难恢复

公司应实施并维护适当的技术措施、业务连续性和灾难恢复（BC/DR）控制，以保护邓白氏数据，并在发生灾难或其他中断时最大限度地减少对邓白氏运营的干扰。公司同意：

5.1执行业务连续性风险评估，以确定相关风险、威胁、服务中断或安全事件的可能性、服务中断或安全事件的影响，以及保护邓白氏数据所需的控制和程序。根据风险评估结果，公司应记录、实施、年度测试和审查业务连续性和灾难恢复计划，以验证在发生服务中断或安全事件时及时恢复可用性和对邓白氏数据访问的能力。

5.2在服务完全恢复后，公司应在每次灾难之后进行根本原因分析，并向邓白氏提供一份综合报告，其中至少描述：（i）灾难的原因，（ii）为减轻后果和解决灾难而采取的努力，以及（iii）公司为避免未来灾难而采取的补救措施。

5.3遵循行业最佳实践，在邓白氏和公司共同商定的时间范围内，定期、加密地将邓白氏数据的数据库和存储库文件备份到与主数据中心分开的安全地点。信息备份程序和媒体应包括：（a）强大的加密技术；（b）完整性验证；（c）与灾难恢复要求进行协调；以及（d）支持可用性要求的安全场外存储。公司应使用最新的可用备份来恢复任何损坏的文件。邓白氏可能会访问备份记录以查看与邓白氏数据相关的任何系统活动记录，而无需事先通知公司。

5.4公司应每年向邓白氏提供审查业务连续性管理计划（包括业务连续性计划）的机会，并应纠正任何发现。此类审查和评估可能包括参与邓白氏的：（a）公司测试和评估过程，包括完成在线和/或现场评估（视情况而定），以及（b）共同商定的范围和频率的恢复测试。

5.5根据邓白氏的书面要求提供公司的业务连续性和灾难恢复计划（BC/DR）的副本，证明符合本要求中的业务连续性和灾难恢复要求。

5.6如果公司未能在规定的时间内重新开始提供服务，邓白氏除了邓白氏和公司之间协议项下的任何其他权利外，还有权退还受影响服务的任何预付金额，并在此类服务不可用时按比例分配。

6 物理安全

以下控制要求适用于公司的物理环境。公司仍有责任确保代表公司提供服务的 SaaS 和云服务提供商符合本要求中的行业标准物理安全要求。

6.1除非适用法律禁止，否则公司应通过实施行业标准的物理访问控制，如刷卡技术、监控闭路电视、远程监控警报系统、现场保安、照片访问凭证、访客护送、物理访问日志和授权访问列表，将其授权员工对存储或处理邓白氏数据的设施的物理访问进行限制。

6.2为了限制对邓白氏数据的未经授权的访问，公司应：（a）实施控制以保护位于场外的设备、信息和资产，包括在远程访问会话期间，例如远程工作或远程管理;（b）发布、实施和执行管理远程办公、移动设备和可移动媒体设备的政策;（c）对包含邓白氏数据的系统或应用程序的远程访问通信进行加密;（d）要求最低限度的多重身份验证、虚拟专用网络（VPN）设备访问或同等功能;以及（e）需要限制端口和协议。

6.3公司的政策应禁止员工在任何个人拥有和管理的设备上访问或存储邓白氏数据。公司应禁止使用个人 USB 或其他可移动存储设备，并禁止控制和加密可移动媒体设备（如 USB 驱动器、记忆棒和蓝牙存储设备）上的数据。

6.4实施并执行政策和程序，以保护所有访问、处理、存储或以其他方式处理此类数据的设施（包括远程办公站点）。

6.5存储、处理或以其他方式处理邓白氏数据的系统必须在上锁的房间和设施内进行保护，并且只有那些需要此类物理访问以执行其工作职能的个人才能访问。

6.6在未经授权的人员和系统之间创建适当数量的物理安全层，邓白氏数据在这些系统上存储、处理或以其他方式处理。在大多数情况下，适当数量的物理安全层为三个（例如，保安或旋转门、上锁的服务器机房和上锁的服务器机柜）。

6.7应维护物理访问日志，以捕获访问特定区域的日期、时间和个人。

6.8至少保留上述一个，以便进行监控、跟踪和审查（例如，对实时闭路电视监控录像进行 24x7x365 监控）。

6.9将监控录像和安全监控日志保留至少一年。

6.10制定在访问期间管理公司访客的程序（即在公司场所周围提供员工护送）。

6.11公司应实施和监控适当的环境安全控制措施（即火灾探测和灭火系统）。

6.12未经邓白氏事先通知，不得将包含邓白氏数据的媒体或设备移出公司场所。此类媒体和/或设备应得到适当保护，并应维护监管链以确保问责制。

7 公司员工或第三方

7.1公司应在与处理邓白氏数据的第三方的协议中包括与邓白氏和公司之间协议中的规定类似的信息安全、保密和数据保护要求。公司和这些第三方应定期接受审查，以确保（a）验证这些要求，以及（b）第三方的信息安全和数据保护要求，以验证这些要求对第三方处理邓白氏数据所代表的风险的适当性。

7.2适用于公司的所有安全要求也适用于公司的分包商。公司必须对其供应链或第三方执行强制性的安全控制、标准和规定。公司应持续对供应链进行尽职调查。发现的任何风险或合规问题应在发现后72小时内通知邓白氏。

7.3必须进行审计（至少每年一次或根据公司的审计时间表，以较早者为准），以验证并确保在合作伙伴/子公司/分包商端实施与信息安全相关的适用控制措施，以确保降低风险。

7.4公司应仅在执行其与邓白氏协议项下义务必要时向第三方提供邓白氏数据的访问权限。在这些情况下，公司应（a）向邓白氏提供具有邓白氏数据特权访问权限的第三方名单;（b）限制第三方仅根据第三方与公司之间签订的合同协议履行服务所必需的访问邓白氏数据;及（c）在系统日志中记录第三方对邓白氏数据的访问，但须遵守公司对日志记录和监控的控制。除非适用的协议或 SOW 另有规定，否则公司应限制第三方访问邓白氏数据。

7.5如果适用，在邓白氏设施中工作的公司员工应遵守（i）提供给公司的所有邓白氏物理安全要求，以及（ii）适用的工作说明书中规定的邓白氏逻辑安全要求。

7.6对公司签订合同以开发、管理、维护有权访问邓白氏数据的系统的个人执行并记录背景调查结果。

7.7确保组织员工接受充分培训，以履行其分配的信息安全相关职责和责任。

7.8确保公司信息系统的开发人员、经理、系统管理员和用户了解与其活动相关的安全风险，以及与组织信息系统安全相关的适用策略、标准和程序。

7.9如果公司为邓白氏提供应用程序或软件开发、软件增强或定制、数据库管理、系统管理或编码服务，公司的员工应被要求：（i）遵守邓白氏要求的安全编码实践，以及（ii）拥有适当的特定主题、特定合作伙伴或特定服务的行业认证。适用的 SOW 中应列出所需的特定安全编码实践和行业认证。

7.10公司应定义、记录、实施和维护安全原则和要求，以减轻与第三方供应商及其获取处理或托管资产或提供邓白氏数据所在的网络和IT基础设施相关的风险。

7.11公司应在与分包商的协议中纳入不低于本要求中的安全要求。

7.12公司应在与有权访问邓白氏数据的分包商签订的协议中包括立即通知安全事件的义务。

7.13对于所有处理、访问或以其他方式接触邓白氏数据的分包商，公司应定期且至少每年监控和审查其分包商的安全义务是否符合这些要求。

7.14确保公司开发并提供给邓白氏的代码没有已知的缺陷。这意味着由公司开发人员开发并由公司提供给邓白氏的代码不应直接或间接引入任何已知的漏洞，并且这些代码不应对应用程序/项目的整体安全性产生负面影响。

8 赔偿

除邓白氏和公司之间协议中的任何其他赔偿条款外（并受该协议正文规定的赔偿程序的约束），公司应自费赔偿、捍卫并使邓白氏及其关联公司及其各自的高级职员、董事、雇员、代理人、代表、继承人和受让人免受任何和所有的损失、威胁损失或基于第三方指控的损害，如果该等损失和损害是由以下行为所引发的安全事件所引起或与该等安全事件有关：（i）公司违反邓白氏和公司之间协议或适用的 SOW 项下的义务，（ii）违反适用于公司或所提供服务的法律，或（iii）公司或公司的任何员工或分包商的故意不当行为。

9 人工智能安全

在适用的情况下，公司应遵守以下人工智能和生成式 AI 安全控制要求。

9.1公司应确保输入到 AI 系统的数据的完整性，并检测数据中毒或对抗性攻击。

9.2公司应为与 AI 系统交互的所有人员实施基于角色的访问控制（RBAC）。

9.3公司应使用强大的行业标准加密算法和模型完整性检查来保护 AI 模型免遭篡改、模型反转或盗窃。

9.4公司应进行对抗性测试，以评估模型抵抗恶意操纵尝试时的抗风险能力。

9.5公司应确保其必须遵守适当的程序、流程和政策，以确保其 AI 模型决策过程的可解释性和文档性，以用于审计目的。

9.6公司必须持续监控 AI 系统和环境是否存在异常行为、偏见或安全事件。

9.7公司必须维护针对于 AI 的安全事件响应计划，并在发生AI安全事件时立即通知相关方。

9.8公司必须进行正式的偏差审计，尤其是在高风险的应用中，并有明确的报告和补救步骤。

9.9公司必须将特定于 AI 的威胁情报源集成到其安全监控流程中，以检测新出现的风险。

9.10公司必须在涉及邓白氏数据或个人数据的高风险AI决策中，实施人工干预机制。