供应商数据安全政策和标准
日期:2020年8月8日
介绍
华大智造第三方信息安全要求文件概述了适用于华大第三方(包括供应商和合资企业)的安全要求。本协议所述的安全要求,适用于处理华大机密信息、访问信息系统或提供特定服务/产品的第三方。安全要求根据第三方对华大信息的不同风险程度而有所不同,具体根据由第三方处理的华大信息的类型、网络连接、第三方提供的服务和数据可用性要求而定。华大的信息安全项目符合GDPR, ISO 27001的合规要求。
适用性
本第三方信息安全要求(以下简称“要求”或“标准”)列出了华大供应商在(a)访问华大设备、网络和/或机密信息,或(b)保管华大的资产时必须采取的安全控制。供应商对供应商全体人员遵守这些标准负责,包括确保所有供应商人员受与标准要求一致的合同条款约束。
第一部分:关键定义
第二部分:供应商人事/人力资源安全
第三部分:审核和合规性检查
第四部分:供应商数据收集
第五部分:信息安全标准
第六部分:基本的物质安全
第七部分:事件报告
第一部分:关键定义
本要求中使用的下列术语具有以下含义:
3.“保密信息”系指因协议项下服务的履行而可能向供应商提供的所有保密信息,包括但不限于所有环境;数据;个人身份信息(个人资料);系统配置细节;华大客户、供应商、合作伙伴、人员的信息;制造业数据;工程或其他技术设计;知识产权(IP);密码;以及协议中定义的任何其他华大的机密信息。本文件中提及的“机密信息”应被视为包括因提供服务而向供应商提供的华大客户的机密信息。
4. “环境”指任何按照合同可供供应商访问的,包括但不限于开发、测试、阶段、生产和/或备份应用程序和计算环境的华大计算环境。
5. “设施”系指(1)可访问华大机密信息、环境或网络的任何办公室、数据中心和所有其他场所(无论是否由华大、客户、供应商或第三方拥有或管理),或(2)处理或存储华大资产的任何永久性或非永久性场所。本文件中所提及的(1)“华大设施”应视为包括华大客户的设施;(2)“供应商设施”应视为包括供应商使用的第三方设施。
6. “华大资产”指由供应商负责的任何有形的华大拥有或客户拥有的物品,包括但不限于为华大制造或供应的任何硬件或软件部件或组装好的物品。
7. “个人数据”指与一个已识别的或可识别的自然人(“数据主体”)有关的任何信息,以及在法律下构成“个人数据”或“个人信息”的任何其他信息;可识别的自然的人是可以直接或间接,特别是通过引用一个标识符,比如名字,身份证号码,位置数据,在线标识符或一个或多个的物理、生理、遗传、心理、经济、文化和社会身份等特定因素确定的自然人。
8. “服务”系指服务供应商有义务根据协议为华大履行的服务。
9. “供应商”系指(1)根据协议履行服务的实体;和/或(2)获准进入华大的设施、网络、环境和/或机密信息的实体。
10.
“供应商人员”指被允许访问华大设施、网络、环境和/或保密信息的所有供应商的雇员、承包商、分包商、供应商和代理商。
第二部分:供应商人事/人力资源安全
|
要求 |
回应 |
描述 |
1 |
所有供应商的人员都必须以书面形式同意遵守供应商的物质和信息安全要求。 |
<符合> <不符合> <不适用> <法律冲突> |
|
2 |
将遵守本要求的责任和义务指派给公司里的指定人员或团体。 |
<符合> <不符合> <不适用> <法律冲突> |
描述该个人或团体的权限和责任的文件,展示隐私和/或安全角色。 |
3 |
对将会访问华大设施的员工建立、维持并执行年度隐私和安全培训。
|
<符合> <不符合> <不适用> <法律冲突> |
|
第三部分:审核和合规性检查
|
要求 |
回应 |
描述 |
4 |
供应商必须保存一份有权访问华大设施的所有供应商人员的完整名单。 |
<符合> <不符合> <不适用> <法律冲突> |
|
5 |
华大可以就任何此类审核完成审核报告。审核报告将被视为华大及供应商的保密信息。供应商必须立即解决安全审计报告中发现的所有安全问题。 |
<符合> <不符合> <不适用> <法律冲突> |
|
6 |
如有要求,供应商应书面向华达证明其遵守本标准的要求,并对华达向供应商提出的有关其安全实践的任何问题作出书面答复。 |
<符合> <不符合> <不适用> <法律冲突> |
|
7 |
供应商必须指派代表与华大就信息安全相关事宜进行联络。 |
|
|
第四部分:供应商数据收集
|
要求 |
回应 |
描述 |
8 |
若供应商将同意作为其处理数据的法律依据,则供应商应当就其所有处理活动取得并记录数据主体的同意。 |
<符合> <不符合> <不适用> <法律冲突> |
|
8 |
当需要从第三方收集数据进行处理时,供应商应当监控并确保他们只收集足以执行和处理的数据。 |
<符合> <不符合> <不适用> <法律冲突> |
|
9 |
如果供应商代表华大从第三方收集个人数据,供应商必须验证第三方的数据保护政策和做法符合供应商与华大间的合同对数据保护的要求。 |
<符合> <不符合> <不适用> <法律冲突> |
|
9.1 |
供应商不得在任何时候访问基因组数据(测序运行数据)、个人身份信息(PII)、儿童数据或受保护的(患者)健康信息(PHI)。如果需要处理,必须获得华大团队的特别许可,并根据数据安全政策对敏感数据消除识别。 |
<符合> <不符合> <不适用> <法律冲突> |
|
第五部分:信息安全标准
|
要求 |
回应 |
描述 |
10 |
供应商应当保有一份符合数据安全标准正式的书面信息安全政策或整个组织内信息安全管理的政策和程序。 |
<符合> <不符合> <不适用> <法律冲突> |
|
11 |
存储、备份、保留和删除。 供应商不得保有或存储任何保密信息,除非为履行协议项下的服务而必需。 |
<符合> <不符合> <不适用> <法律冲突> |
|
12 |
所有环境和机密信息必须存储在供应商设施的安全地点以及任何安全的场外地点。使用第三方供应商来运输或存储备份媒体的供应商必须评估所有使用的供应商,以验证备份媒体的保密性、完整性和可用性,同时应当使详细说明这些信息的文件符合华大政策。所有离开设施的备份媒体必须使用256位或更高的加密技术加密。 |
<符合> <不符合> <不适用> <法律冲突> |
|
13 |
在任何情况下,如果任何个人数据存储在供应商的笔记本电脑上,笔记本电脑必须使用AES256位或更高的加密技术加密。 |
|
|
14 |
在任何情况下,除非因履行服务需要,否则华大机密信息不得存储在任何移动设备或可移动媒体(如外接磁盘、USB存储器、智能手机和备份媒体)上。所有存储在移动设备或可移动媒体上的机密信息必须使用AES256位或更高的加密技术加密。 |
|
|
15 |
供应商在遵守本协议中与销毁机密信息有关的任何条款时,应遵循NIST SP-800-88中所含标准。 |
|
|
16 |
补丁 定义并实施补丁程序管理过程,以优先处理用于处理个人或机密数据的系统的安全补丁程序。这些程序包括: 定义风险方法以对安全补丁进行优先级排序 处理和实施紧急补丁的能力, 对操作系统和服务器软件(例如应用服务器和数据库软件)的适应性 记录补丁减少的风险并跟踪任何异常,以及 不再受编程公司支持的软件的报废要求。 |
|
|
17 |
供应商必须通过使用传输层安全(“TLS”)或互联网协议安全(“IPsec”)进行加密的方式,以保护所有在网络传输过程中与其性能相关的数据。 这些方法在NIST 800-52和NIST 800-57中有描述;也可以使用同等的行业标准。 |
|
|
18 |
运行和变更管理 供应商必须维持变更管理程序,以一致的方式控制和识别可能用于提供服务和/或可能访问或存储机密信息的所有系统和网络基础设施的变更。 |
|
|
19 |
供应商必须具有角色和责任原则,以定义适当的职责分工,以防止欺诈行为以及潜在的恶意或意外滥用供应商向华大提供服务的系统,应用程序和网络。 |
|
|
20 |
所有将访问或处理华大个人数据的供应商设备(笔记本电脑,工作站等)都必须使用基于磁盘的加密。 |
|
|
21 |
建立并测试业务连续性和灾难恢复计划。 (如果适用于服务) |
|
|
22 |
访问控制网络和环境。 供应商应对供应商人员的行为负责,并确保供应商人员在访问华大网络和环境时将遵守此处规定的标准。 |
|
|
23 |
只有获得授权的供应商人员才能访问华大网络和环境,以执行协议中规定的服务。接入华大网络的所有供应商必须签署一份华大网络接入协议,指定供应商人员和接入该网络的系统。 |
|
|
24 |
供应商人员不再需要履行服务时,将终止其访问。供应商在该人员被终止访问时,将及时通知华大。 |
|
|
25 |
建立并维护访问权限管理程序,防止未经授权访问供应商控制下的任何华大个人数据。 供应商必须确保访问包含机密信息的环境的用户帐户归属于单一个人。不能使用通用用户帐户,也不能共享帐户。必须指示供应商人员不要共享用户帐户凭证。 |
|
供应商证明其已实施访问权限管理计划,其中包括:尝试失败后进行锁定程序,必要的频率重置密码(但不超过90天),用于选择身份验证凭证的可靠参数以及在终止雇用时停用用户帐户。 在应用程序和系统的传输和验证期间,必须对所有密码进行加密,并且应用程序和系统不得允许未加密通道或服务的连接。 |
26 |
在连接到用于处理华达个人数据的网络的设备上安装防病毒和防恶意软件,包括服务器,生产和培训台式机,以防止潜在的有害病毒和恶意软件应用程序的侵害。 |
|
|
27 |
及时将调查结果从事件响应传达给高级管理层和个人。 |
|
|
28 |
供应商人事系统管理员,运营人员,管理层和第三方必须接受年度安全培训。 |
|
|
29 |
供应商必须练习备份和还原计划流程,以保护个人数据免遭未经授权的使用,访问,系统劫持和破坏。 |
|
演示响应和恢复过程的文件。 |
第六部分: 信息安全合规
30 |
供应商不得将华大环境或机密信息用于开发或测试除协议中指定的华大系统以外的任何系统,除非协议中另有规定。 |
|
|
31 |
供应商只能代表华大并仅在符合供应商与华大的协议中规定的目的下访问、使用和处理机密信息,并遵守本标准以及华大可能提供的有关处理此类信息的进一步说明。 |
|
|
32 |
供应商必须将华大有形资产存储在访问控制的环境中。 |
|
|
33 |
将开发或测试环境中使用的所有个人数据匿名化。 |
|
|
34 |
供应商人员必须遵守华大的设施安全要求和指示。 |
|
|
35 |
除非得到华大的明确授权和监督,否则供应商人员不得访问华大的计算机或网络。 |
|
|
36 |
必须仅允许授权的供应商人员访问存储或访问机密信息的区域。 此类区域必须远离公共区域,并且必须使用合理的访问控制和认证机制来限制访问。 |
|
|
第七部分:事件报告
37 |
供应商必须立即向华大报告任何适用于华大资产的安全或其他引起合理怀疑的事件 a)未经授权访问个人数据、机密信息或环境; b)滥用或更改任何个人数据或机密信息,或 c)华大资产被盗、丢失或损坏。 关于信息安全或物质安全事件,请发送电子邮件至miaojiye@genomics.cn |
|
|
38 |
供应商将采取适当措施立即处理任何该等事件,并将合理配合华大对该等事件的调查。 |
|
|
39 |
未经华大公司法律部门的明确书面授权,供应商不得就识别华大的任何此类事件作出或允许做出任何公开声明。 |
|
|