工信部电子科学技术情报研究所 二〇一三年三月

Presentation on theme: "工信部电子科学技术情报研究所 二〇一三年三月"— Presentation transcript:

1 工信部电子科学技术情报研究所 二〇一三年三月
洛杉矶市云服务合同 及其安全要点 工信部电子科学技术情报研究所 二〇一三年三月

2 提纲 1. 合同背景 2. 合同文本 3. 合同约束对象与主要服务内容 4. 合同中的信息安全要点
5. 合同执行情况与洛杉矶执法部门特殊需求 6. FedRAMP建议在合同中明确的安全控制 7. FedRAMP建议在合同中明确的权责

3 合同背景 标书打分标准： 解决方案的充分性（30分） 机构和个人的能力（10分） 项目时间安排和易实施性（10分） 费用（50分） 2009年1月16日，美国加利福尼亚州洛杉矶市信息技术局（简称ITA）提出招标，寻找承包商为该市提供基于SaaS的邮件及协同解决方案（SaaS & Collaboration Solution ） 共有15家企业参与投标，经过打分后共邀请了3家企业进行口头汇报，最终美国计算机科学（CSC）公司平均得分最高

4 合同背景 CAO主要为市长及市议会提供财务、预算等方面的建议 经过CAO估算，取消现有系统可以在接下来的5年内节省625.6万美元的预算成本，主要是取消原有GroupWise邮件系统的费用以及购买微软Office许可的费用，此外节省下来的人力、设备可以进行再利用（估值为752.8万美元）。 当时此合同是大型政府部门中最早将一项业务完全迁移到云平台上，备受各界关注。（根据洛杉矶市的介绍，此前华盛顿特区也采用了基于SaaS的邮件，但与原有邮件系统并存） 2009年6月17日，ITA向该市行政办公室（简称CAO）提交了草拟的云计算服务合同。CAO从财务、可行性、信息安全等方面对此合同进行了评估，建议批准。 2009年11月20日，洛杉矶市与计算机科学公司正式签署合同(合同编号C )。合同期限为三年，并且根据情况可以有两次机会续期一年，合同最高费用是725万美元。 合同明确，SaaS服务基于子承包商谷歌的“Google Apps Premier Edition”提供 4

5 提纲 合同背景 合同文本 合同约束对象与主要服务内容 合同中的信息安全要点 合同执行情况与洛杉矶执法部门特殊需求
FedRAMP建议在合同中明确的安全控制 FedRAMP建议在合同中明确的权责 5

6 合同文本 1.工作范围 14.合同规定的优先顺序 2.文档 15.附录A中未包含附加条款 3.培训要求 16.附录列表
合同文本主要包括这些章节，其中标红的部分是与信息安全关系较为密切的章节。 1.工作范围 2.文档 3.培训要求 4.服务 5.声明与保证 6.履约期 7.费用和支出 8.补偿和支付 9.合同缔约方和代表 10.保密和专有权 11.信息安全 12.定义 13.协议的修改、变更或修订 14.合同规定的优先顺序 15.附录A中未包含附加条款 16.附录列表 附录A 本市合同标准条款 附录B 工作说明 附录C 可交付成果定义 附录D 项目进度和计划 附录E 价格计划和目录 附录F 服务水平协议 附录G 关键联系人列表 附录H 承包商服务报价 附录I 信息保密协议 附录J Google Apps高级版服务协议

7 合同文本 1.工作范围——为超过40家洛杉矶市政府部门，安装启用（安装、迁移和部署）谷歌应用专业版，取代现有的邮件系统，并增加基于SaaS模式的办公自动化和协作工具 2.文档——本章介绍了合同执行过程中应提交的主要文档，包括：项目计划、进展报告、设计文档、网络图、路由图、安全文档、材料和设备清单等 7 1、工作范围里详细说明了提供的软件功能包括哪些，如 ,应实现什么样的邮箱功能等，如每个用户的收件箱容量不小于25GB； 每封邮件的附件大小容量不小于1GB；可创建用户自定义邮件组或者基于搜索条件的个人文件夹；可在收件箱内自定义邮件处理规则；可增加个人签名和注释； 2、

8 合同文本 3.培训——本章规定承包商应给洛杉矶市提供操作或维护方面的个人培训，使其能够胜任操作和维护解决方案以及承包商安装的设备/子系统。
4.服务——本章主要规定了授权的用户有权利使用的服务，如数据备份和恢复等服务，洛杉矶市中断合同的情况下承包商应提供的服务，承包商进行分包时应遵守的要求，及批准的分包商名单。

9 合同文本 5.声明与保证——明确了洛杉矶市与CSC公司的共同声明与保证，例如双方认可自合同签署交付之日起，具备有效性和约束力等。并明确了CSC公司向洛杉矶市的承诺，例如将在平台上线前进行病毒测试等，其中一条规定了，承包商承诺不在软件中加入病毒或禁用的机制，并提供源代码以证明。 6.履约期——本章规定了合同有效的时间——有效期三年。若有效期内本合同所提供的经费花费完毕，本合同提前终止。此外，洛杉矶市保留两次对上述合同在三年有效期的基础上延长一年的权利。

10 合同文本 7.费用和支出——本章规定了如何分阶段付款等内容
8.补偿和支付——本章明确合同价格是一个总体费用，且无固定价格，但最多不超过725万美元 9.合同缔约方和代表——明确了签约双方对此合同的具体负责人，规定合同任何一方的正式通知、要求和信件都应以书面形式提出。 7，分5次支付，每次付合同额的20%

11 合同文本 10.保密和专有权——明确规定了洛杉矶市数据的所有权，对承包商仅在提供服务范围内存储、记录、传输、展示洛杉矶市数据的许可，明确禁止在未获得洛杉矶市专门书面批准的情况下向任何第三份披露该市数据等。 明确所有信息和数据全部属于洛杉矶市。由于美国信息公开要求，如果有人申请信息公开，承包商必须获得书面批准才能披露相关数据和信息。

12 合同文本 11.信息安全——明确规定了承包商访问洛杉矶市“受保护数据”时应遵守的承诺，并且明确了洛杉矶市有权对承包商的信息安全项目进行审计，承包商应对谷歌的信息安全项目进行审计。 12.定义——包括以下名词的解释和说明：验收、验收测试、隶属机构、营业日、变更通知、变更管理过程、本市、专有权、保密信息、承包商工具、交付等等。

13 合同文本 13.协议的修改、变更或修订——本章明确，合同以及附录部分构成了的整个合同，未来达成的书面协议可能对合同进行修改
14.合同规定的优先顺序——如果合同存在前后矛盾，按以下优先级：合同条款、附录A、附录B到附录J 15.附录A中未包含的附加条款——规定了对赔偿责任的一些限制，但明确不限制违反保密义务、侵犯知识产权、造成人身伤亡等而应承担的责任，并重点介绍了违反信息安全责任时应进行的赔偿及其他责任。 违反合同应该赔偿的最高金额。但是如违反保密、知识产权等不限于此。重点介绍信息安全事件的赔偿及责任，如果出现一次信息安全事件则赔偿1万美元，但是洛杉矶有关任何时候放弃以上赔偿，按照实际损失要求赔偿。

14 合同文本 附录A 本市合同标准条款——此部分是洛杉矶市所签合同中通用性的内容，内容包括合同原件数量、情有可原的延迟、知识产权，与具体合同业务无关。 附录B工作说明——对承包商所需要做的工作进行了详细说明。包括项目的启动实施阶段应提供的主要服务、后续服务以及基于谷歌SaaS平台将提供的功能和技术支持。 附录B规定了8个阶段，对每一个阶段的详细工作内容进行阐述。

15 合同文本 附录C 可交付成果定义——明确了各项目可交付成果文档具体应包括哪些内容
附录D 项目进度和计划——明确了洛杉矶市迁移到谷歌SAAS平台的各个步骤的时间安排。 附录E 价格计划和目录——明确了收费标准。 附录F 服务水平协议——规定了CSC公司在发生服务中断事件、非服务中断事件时进行响应的时间要求。 附录C列表详细说明每个交付文档应包括哪些内容，如项目计划包括整体实施计划包括人物、开始日期、结束日期、交付成果和依赖关系。需要识别关键时间表和检查点。 附录D,每个阶段的详细工作和要求，以及项目完成后的总结和评估。 附录F ，对四种服务中断事件规定恢复服务的要求。

16 合同文本 附录 G 关键联系人列表——列举了项目联系人等信息。 附录 H 承包商服务报价——列出了各类专业技术人员的工资标准。
附录I 信息保密协议——规定了哪些信息属于保密信息，对承包商访问保密信息有哪些授权，承包商在信息保密方面的责任等。 附录J Google Apps高级版服务协议——规定了谷歌的服务水平、信息保密等相关责任，以及有关协议中止、控制权发生变更等情况相关条款。 附录JGoogle同意只在美国本土存储和处理客户的邮件和Google信息取证（Google Message Discovery）数据。并明确客户的责任，如自行进行用户名和密码维护等。

17 提纲 合同背景 合同文本 合同约束对象与主要服务内容 合同中的信息安全要点 合同执行情况与洛杉矶执法部门特殊需求
FedRAMP建议在合同中明确的安全控制 FedRAMP建议在合同中明确的权责

18 合同约束对象 合同对承包商及所有子承包商都进行了约束
在没有事先获得洛杉矶市书面同意的情况下，承包商不得对本服务的完成进行任何分包，也不能在本合同下进行任何权利或义务的转让或转移，任何这种行为都应及时避免确保不会造成进一步影响。 承包商所进行的经本市同意的服务转包不得解除承包商在本合同下的任何责任与义务，承包商应保障并使本市免除子承包商的任何支付要求。如果本市批准了子承包商，承包商仍应承担合同中全部责任。 对承包商和子承包商Google， SADA，Appirio进行了约束。

19 合同规定的主要服务内容 服务对象是超过40家洛杉矶市的政府部门 服务内容
从现有GroupWise邮件系统彻底转移到Gmail系统相关的咨询、培训、试点及数据/用户的迁移。 基于Google 平台所提供的基于SaaS的邮件和其他协同服务，以及相关技术支持。其中， 服务是必需的，并且是彻底迁移，不采取基于云的邮件系统+本地邮件系统并存的模式。办公软件和协作工具等是附加功能，可由市政府各部门自行选择用或不用。

20 合同规定的主要服务内容 CSC团队在迁移阶段的主要服务 （1）项目启动，讨论具体项目计划。
（2）观察调研，对现有的电子邮件系统及相关环境进行详细调查，修订项目执行报告 （3）培训 （4）开发迁移工具，为云解决方案提供必要的安装和配置工具 （5）测试。对所有工具进行单元测试，对所有迁移活动和功能区域进行系统测试

21 合同规定的主要服务内容 CSC团队在迁移阶段的主要服务 （6）试点。与洛杉矶市合作，选取少数能力较强的用户构成的试点用户小组，开展试点
（7）用户转换/迁移。通过域/电子邮件服务器把用户迁移到新的SaaS电子邮件与协作解决方案，全部的迁移过程大概需要8周时间。 （8）扫尾。过渡到后续持续的运营和支持服务。

22 合同规定的主要服务内容 CSC团队将通过谷歌平台提供邮件服务及相关技术支持 服务项目具体功能要求 电子邮件 归档和备份 联系人管理 协同
日历 解决方案管理 电子取证 灾难恢复

23 提纲 合同背景 合同文本 合同约束对象与主要服务内容 合同中的信息安全要点 合同执行情况与洛杉矶执法部门特殊需求
FedRAMP建议在合同中明确的安全控制 FedRAMP建议在合同中明确的权责

24 合同中主要信息安全要点 参考FedRAMP已有的两个合同条款相关文档，将本合同中有关信息安全的条款大致分为两类，一类是双方在信息安全方面的权利责任，另一类是对应sp800-53，CSP应遵守的安全控制要求。

25 合同中主要信息安全要点 第一类信息安全要点——信息安全相关权责 1.详细定义了应受到保护数据内容 2.对数据的所有权进行了明确说明
3.明确信息披露的相关责任和义务 4.明确了违反安全规定的惩罚规则 5.对承包商信息安全项目进行审计 6.关于合同结束后的数据处理规定 7.承包商控制权变更相关的规定

26 合同中主要信息安全要点 1.受到保护数据内容 12.9保密信息（Confidential Information）：本市的保密信息是指任何形式的本市数据（包括但不限于：电子邮件、日程、联系方式管理、附件、视频或音频记录、抄本、文件、应用程序接口、安装/配置信息、计划或设计） 12.20受保护数据（Protected Data）：是指包含任何重要安全信息的保密数据。 第12章，定义中定义了保密信息和受保护数据。

27 合同中主要信息安全要点 1. 受到保护数据内容 附录I 信息保密协议 1.在本合同执行期内，双方可能被对方透露，或因分配到的工作或其他方式被允许了解或访问对方的有关保密信息，上述的保密信息包括但不限于： a.技术信息：自身产生或者他人产生的、或由本城市、本承包商、第三方提供的——方法、流程、数据元、表值、数据库对象及数据、组成成分、文档、电子邮件及其状态（发送或未发送）、系统和系统文档、自身或供应商提供的技术、系统建立和实施策略、计算机硬件和/或软件以及相关网络硬件和软件信息，计算机程序和/或其他相关编程代码和编程代码文档；和/或其他由本城市提供的类似的保密的系统信息，或相关草稿、过程稿。

28 合同中主要信息安全要点 1. 受到保护数据内容 b.业务信息：本城市或承包商内部或外部的联系人列表，项目或项目分步的计费数据，工程和材料供应源的信息，财务和合同数据，合同意外开支数据，财务系统和/或计划以及设计策略、时间表，升级策略和时间表，财务数据，雇员数据，供应商数据，以及其他类似的保密数据、数据元或信息。 c.安全信息：登录帐号和口令，和/或系统访问权利，访问密钥，许可密钥，网络授权，内部网和互联网接入能力和权限，和/或其他类似的由本城市、本承包商提供的系统访问信息和权利，以及那些可能被用来获取对内部或外部开发、提供的程序、系统、网络访问权的信息，还有那些被本城市或本承包商认为对正当履行自身工作职责是重要、适当和必需的信息。

29 2017/3/18 合同中主要信息安全要点 2. 数据的所有权说明 10.1承包商存储的本市信息或其他衍生信息（承包商应将本市信息作为保密信息对待）应视为本市的唯一和独有财产。根据本市的请求，本市有权免费导出本市数据。仅在提供服务这一唯一和独有目的的情况下，承包商可得到受限的且不可转让的、仅在提供服务所需范围内存储、记录、传输以及展示本市数据的许可。 合同的第10章保密和专有权里专门规定了，承包商存储的洛杉矶市信息和衍生的其他信息都是洛杉矶具有所有权，并且有权导出这些数据，承包商只有为洛杉矶服务时才有权利进行存储、记录、传输和展示这些数据，否则不得导出额外存储。 29

30 2017/3/18 合同中主要信息安全要点 2. 数据的所有权说明 10.3非许可： 本合同的任何规定不得解释为授权任何一方任何本市有关数据或保密信息的所有权或其他权益，除非得到专门适用于这些保密信息的许可。 合同的第10章保密和专有权里，还强调了任何合同内容都不是授权其他人拥有洛杉矶市信息数据的所有权。 30

31 合同中主要信息安全要点 3. 信息披露的相关责任义务（一）
2017/3/18 合同中主要信息安全要点 3. 信息披露的相关责任义务（一） 10.1．…除非是经批准的子承包商，禁止承包商在未获得本市专门书面批准的情况下，向任何第三方披露本市数据… 10.2信息保密（Non Disclosure） 这些信息的使用和披露应符合附件I中“信息保密协议”的规定。 在合同的第10章强调了禁止承包商在未获得本市专门书面批准的情况下，向任何第三方披露本市数据，同时在附件I中对信息披露使用方面进行了详细解释。 31

32 合同中主要信息安全要点 3. 信息披露的相关责任义务（二） 附件I 信息保密协议
2017/3/18 合同中主要信息安全要点 3. 信息披露的相关责任义务（二） 附件I 信息保密协议 2.在本合同执行期间，或者在与本城市合同终止之后的任何时间，对于任何此类保密信息或任何其他专有数据，以及任何对本城市或本承包商的上述系统的访问权利和/或权限，任一方都不应基于任何未由本城市或本承包商专门授权的目的，在未获得另一方专门的书面批准或未获得拥有管辖权的法院命令的前提下，违反本协议自己使用或为其他人使用，或披露，或泄露给他人。 不管在合同执行还是合同结束之后，任何一方都不得在未得到书面批准的情况下，把信息披露或泄漏给他人。 32

33 合同中主要信息安全要点 3. 信息披露的相关责任义务（三）
2017/3/18 合同中主要信息安全要点 3. 信息披露的相关责任义务（三） 附件I 信息保密协议 3.各方同意，如果从任何第三方接收到一个任意类型的披露保密信息的请求，都不应该响应此类请求，并应立刻将这一请求通过公众信息官或合同管理人员通知另一方。 附件I 信息保密协议 5.各方均同意，不通过任何手段以任何方式利用、使用、管理、调用或恶意利用（exploit）任何系统特性、弱点…在任何时间或出于任何理由，未经授权或不恰当的访问系统或控制系统，或访问系统信息、数据存储区或其中的数据 如果承包商收到披露信息的请求，不能响应，必须立即将请求通知洛杉矶市。而且各方也不能通过任何手段，以任何方式利用系统的弱点进行非授权或不正当的数据访问或攻击。同时明确，承包商也不能告知其他人做这些访问。 33

34 合同中主要信息安全要点 3. 信息披露的相关责任义务（四）
2017/3/18 合同中主要信息安全要点 3. 信息披露的相关责任义务（四） 附件I 信息保密协议 6.各方进一步同意，将任何事件或相关信息立刻通知另一方及其主管人员，此处事件或相关信息是指一方发觉任何内部或外部系统、资源、行为或实体，其活动、存在、政策或实践，违反了或可能导致违反本协议的任何部分，或可能导致一方违反或导致一方有潜在机会违反本协议的任何部分、本城市的其他政策、规则、程序、流程或适用的州、联邦法律。 协议规定如果任何一方发觉有任何内部或外部人员企图违反协议的规定或者有企图违反法律的活动，必须立即通知另一方的主管人员。 34

35 合同中主要信息安全要点 4. 对违反（breach）安全规定的惩罚（一）
2017/3/18 合同中主要信息安全要点 4. 对违反（breach）安全规定的惩罚（一） …对于承包商违反有关本市数据的保密或保密义务的每一个事件，承包商应支付本市1万美元作为违约赔偿。对于这一规定的目的，“事件”是指出于相同的具体原因或多个原因，将任何的客户资料披露给未经授权的接收者。 尽管有上述规定，客户应拥有权利，在任何时候自行决定，放弃其获得上述违约金的权利，并寻求对实际的损害进行赔偿。 对于任何承包商违反有关本市数据的保密或保密义务的情况，承包商应提供书面通知，内容包括：（i）披露的原因，（ii）所披露内容，及（iii）已采取什么补救行动，以确保未来的披露将不会发生。 对违反安全规定提出了具体惩罚措施，比如只要有1次承包商将任何洛杉矶市资料披露给未授权方的事件，就进行1万美元的赔偿，另外，客户也可以任何时候以实际损害要求进行赔偿。除了赔偿以外，承包商违反规定泄漏数据还需要提供书面报告，把信息披露原因，内容，采取的补救措施和确保不会再发生的书面报告提供给客户。 35

36 合同中主要信息安全要点 4. 对违反安全规定的惩罚（二）
2017/3/18 合同中主要信息安全要点 4. 对违反安全规定的惩罚（二） 附件I 信息保密协议 8.本承包商进一步承认并同意，对本协议的违反可能导致本城市的惩罚措施，具体惩罚措施基于本城市的裁量，最高可至中断本合同，还包括申请禁止令或其他民事救济，和/或因法律要求的进一步行动而通知适当的州、联邦机构。 违反保密规定的惩罚在罚款以外，还有最高可以终止合同，或追求法律制裁。 36

37 合同中主要信息安全要点 5. 对承包商信息安全项目审计（一）
2017/3/18 合同中主要信息安全要点 5. 对承包商信息安全项目审计（一） 11.1本承包商应对建立和维护信息安全项目负责，旨在：（1）确保受保护数据的安全和保密；（2）防止任何可以预见的、对受保护数据的安全和完整性构成的威胁或危害；（3）防止非授权访问或使用受保护数据；（4）确保受保护数据的妥善报废（disposal）；（5）确保本承包商的所有子承包商（如果有）遵守上述规定。 要求承包商为保护数据，确保数据能够妥善报废等，应采取信息安全措施。 37

38 合同中主要信息安全要点 5. 对承包商信息安全项目的审计（二）
2017/3/18 合同中主要信息安全要点 5. 对承包商信息安全项目的审计（二） 11.2本市的审计权。本市应有权在服务开始前以及合同履行期间不定期地评估本承包商的信息安全项目。在获得服务过程中，本市有权不时且持续，在合理进行通知的情况下，自己承担费用，有权现场审计本承包商信息安全项目。代替现场审计，基于本承包商的选择，本承包商应在45天内完成本市交付的本承包商信息安全项目审计问卷。 11.4审查结果。本承包商应完成本市或信息安全项目审查确定的任何保障措施。 洛杉矶市有权对承包商的信息安全项目进行审计，并要求承包商完成审计确定的安全措施。以外，也要求承包商对分包商进行信息安全措施进行审计。 38

39 合同中主要信息安全要点 6. 合同结束后的信息处理（一）
2017/3/18 合同中主要信息安全要点 6. 合同结束后的信息处理（一） 4.3 若本市希望停止使用此解决方案并取回所有用户的数据、管理接口及可访问所有用户数据的开放API，在具备足够技术服务资源和带宽的情况下，所有的用户数据应可在5天内全部取回，并且承包商将授权删除解决方案内的所有用户数据。 如果洛杉矶市希望终止项目，可以在5天内取回所有的用户数据，并且承包商也要在5天内删除这些数据。 39

40 合同中主要信息安全要点 6. 合同结束后的信息处理（二） 附录I 信息保密协议 7.本承包商进一步同意，在与本城市的合同结束后：
a.本承包商应向本市返还所有本市的文档，记录和财产，包括但不限于：图纸、蓝图、报告、手册、业务信函、联系人列表、计算机硬件和/或软件，或本城市拥有的或供货商提供的任何材料、文档、记录、和业务信函，不管是纸质的、电子的还是包含在其他格式或媒质中的，以及所有的以任何形式与本城市业务相关、与本承包商在本业务中参与相关的副本，或本承包商在本合同执行过程中以任何形式（直接或间接）、通过任何一方获得的副本。本承包商进一步同意，本承包商不应保留副本、笔记、工作备忘录、草稿、前期方案，或任何上述内容的摘要。

41 合同中主要信息安全要点 7. 对承包商控制权变更的规定
15.3 控制权的变更。在控制权发生变更时（例如，通过购买或出售股票、并购或其他的公司交易形式）：（a）经历控制权变更的一方应在控制权发生变更之日起的三十天内书面通知另一方；（b）另一方可以在从控制权变更之日到收到（a）部分提及的控制权变更书面通知后的三十天内随时终止本协议。

42 合同中主要信息安全要点 第二类信息安全要点——SP800-53框架下提出的CSP应满足的安全控制要求，涉及以下方面： 1. 审计和问责
2. 安全评估和授权 3. 业务连续性 4. 标识与鉴别 5. 媒介保护 6. 系统与服务采购 7. 系统和通信保护

43 合同中主要信息安全要点 1. 审计和问责——合同要求，谷歌的邮件系统应该对访问日志进行记录： 1.1.10 安全需求包括：
第二类 1. 审计和问责——合同要求，谷歌的邮件系统应该对访问日志进行记录： 安全需求包括： 记录本市员工对本市数据的所有访问日志； 记录其他人员对本市数据的所有访问日志；

44 合同中主要信息安全要点 2. 安全评估和授权——合同要求，承包商在正式实施项目前应该向洛杉矶市提交安全文档：
2 文档 项目可交付成果文档应包括以下列出各项（定义见附录C）：……2.3设计文档、网络图、路由图、安全文档（Security document）…… 44

45 合同中主要信息安全要点 3. 业务连续性——合同明确对数据备份和恢复以及服务中断后的响应提出要求(一)
4.2 本市数据的备份和恢复。作为解决方案的一部分，承包商负责本市数据的备份，当服务中断时，进行及时且有序的数据恢复，本市数据的备份和恢复可参照附录F—服务水平协议（SLA）。 F.1 CSC服务水平协议 服务中断后应在四个小时内重启服务（灾难恢复事件）。服务中断事件发生后的服务响应时间将参照附件F.2中描述的有关维护Google Apps SLA（service-level agreement，服务水平协议） 要求。对于非服务中断的事件，CSC需要在2个工作日内响应洛杉矶市要求。

46 合同中主要信息安全要点 3. 业务连续性——合同明确对数据备份和恢复以及服务中断后的响应提出要求（二） 综合12.21 和附录F.1
事件严重性 定义 解决时间 特别严重 没有可立刻使用的变通方案，工作无法继续进行。 15分钟 严重 有可用的变通方案，但是所需时间很长 2小时 一般 影响了一些功能，但存在实用的变通方案 4小时 较小 不影响解决方案的任何功能和增强服务请求 确认或事先安排时间 46

47 合同中主要信息安全要点 4. 标识与鉴别——合同提出，应该由洛杉矶市来负责用户名和密码的变更管理：
4.1 授权的用户。除非在附录B中以其他形式限定，本市及其任何员工，代理人，承包商，服务提供商或其它指定用户，若以本市的利益为出发点，则有权操作并使用该方案。作为解决方案的一部分，本市应负责所有用户名和密码的变更管理。 47

48 合同中主要信息安全要点 5. 媒介保护——合同中明确提出，应在谷歌的云服务平台中，将本市数据与其他数据隔离，并且保证邮件以及信息取证数据只保留在美国本土。 安全需求包括： 可隔离（segregation）本市数据与其他数据； …… 保证本市电子邮件和谷歌信息取证（GMD）的数据只保留在美国本土。

49 合同中主要信息安全要点 6. 系统与服务采购——合同要求承包商对子承包商提出信息安全要求：
11.1本承包商的承诺。在不限制本承包商对保密责任的进一步说明时，本承包商应对建立和维护信息安全项目负责，旨在：…（5）确保本承包商的所有子承包商（如果有）遵守上述规定。 11.3本承包商的审查。每年或更短时间内，本承包商应自付费用对谷歌信息安全项目进行SAS-70（注：Statement on Auditing Standard 70，由美国注册会计师协会创建的针对金融服务机构向客户提供服务的内部控制、安全保障、稽核监督措施的审计标准）或等效审查，以书面请求方式向本市提供审查结果。

50 合同中主要信息安全要点 7. 系统和通信保护——合同对平台的反病毒功能、源代码级的“禁用”机制或病毒的检测进行了规定(一)
1.1.7方案管理应具备以下功能：… 控制垃圾邮件或提供反垃圾邮件功能; 控制病毒或提供防病毒功能（包括间谍软件）;

51 合同中主要信息安全要点 7. 系统和通信保护——合同对平台的反病毒功能、源代码级的“禁用”机制或病毒的检测进行了规定（二）
5.2.5 承包方承诺在将已授权软件交付给本市之前，将使用商业上合理的病毒检测软件程序来进行测试，并且承包方将继续使用该步骤对已交付给本市的任意代码进行测试以纠正确知错误。本市在此承诺在安装已授权软件之前将使用业界合理的病毒检测软件程序来测试软件的防病毒能力，并且本市将对已交付的任意代码继续使用该步骤以纠正确知错误。

52 合同中主要信息安全要点 7. 系统和通信保护——合同对平台的反病毒功能、源代码级的“禁用”机制或病毒的检测进行了规定（三）
5.2.5（续）承包方进一步向本市承诺，承包方政策上不会故意在向用户提供的软件中加入禁用的机制或计算机病毒，如果该政策变化，承包方将提前通知本市；并且根据本市要求，承包方将向本市提供源代码，以此证明承包方和其职工不会故意向软件中加入禁用的机制或计算机病毒。

53 提纲 合同背景 合同文本 合同约束对象与主要服务内容 合同中的信息安全要点 合同执行情况与洛杉矶执法部门特殊需求
FedRAMP建议在合同中明确的安全控制 FedRAMP建议在合同中明确的权责

54 合同执行情况与洛杉矶执法部门特殊需求 原因：加州司法部对LAPD、检察长办公室、等部门如何存储和管理执法部门相关数据有特殊规定，并要求执法部门所使用的邮件服务应能够支持从CJIS（犯罪司法信息系统）、NLETS（国家执法部门电讯系统）等州或联邦系统传输司法相关信息，而上述系统都对任何执法部门成员访问信息有自己的信息安全要求。

55 合同执行情况与洛杉矶执法部门特殊需求 2010年7月9日，城市管理办公室向市信息技术和管理事务委员会提交了一份项目执行情况报告，由于FBI犯罪司法信息系统（Criminal Justice Information Systems）的信息安全要求，洛杉矶警察局（LAPD）等执法部门用户暂时无法转移到Google 系统。

56 经过与加州司法部门讨论，洛杉矶执法部门对谷歌云服务平台的附加信息安全要求如下：
合同执行情况与洛杉矶执法部门特殊需求 经过与加州司法部门讨论，洛杉矶执法部门对谷歌云服务平台的附加信息安全要求如下： 数据加密 对可访问LAPD数据的所有谷歌雇员进行背景审查 本市审计人员、司法部或FBI对Goole的数据中心应有直接访问权

57 合同执行情况与洛杉矶执法部门特殊需求 为了满足执法部门的要求，谷歌提出将从原有的“Google Apps Premier Edition”升级为“Google Apps for Government（GAFG）”服务，两名谷歌雇员接受了背景审查 加州司法部认为，在GAFG服务器上并没有物理安全措施可以防止服务器管理团队的任何其他Google员工来进行数据访问，而仅仅是通过Google的政策来限制

58 合同执行情况与洛杉矶执法部门特殊需求 加州司法部要求LAPD的系统管理人员应有能力对系统进行审计，以确定：（1）谷歌哪些员工访问了LAPD的数据。（2）该员工访问了哪些数据。（3）为什么该员工访问这些数据。 谷歌方面提出这一功能暂时无法提供，作为临时方案，Google提出可每季度提交日志以向LAPD证明哪些雇员访问了LAPD数据，并将开发符合司法部要求的审计工具。 同时司法部也要求LAPD的管理人员可以进行系统审计

59 合同执行情况与洛杉矶执法部门特殊需求 最终谷歌未能实现加州司法部的要求 2012年4月20日，洛杉矶市与CSC公司签订合同修正案，决定执法部门用户将不迁移到Gmail，谷歌负责赔偿继续使用原有邮件系统的许可费用。 至此，17000名洛杉矶市政府工作人员迁移到Gmail，而13000名继续使用原有邮件系统。

60 提纲 合同背景 合同文本 合同约束对象与主要服务内容 合同中的信息安全要点 合同执行情况与洛杉矶执法部门特殊需求
FedRAMP建议在合同中明确的安全控制 FedRAMP建议在合同中明确的权责

61 FedRAMP建议在合同中明确的安全控制
参考《FedRAMP 具体控制条款》（ FedRAMP Control Specific Clauses ） FedRAMP建议，在合同中可能需要明确提出一些安全控制要求，以满足联邦政府机构的专门需求。同时，并非所有安全控制基线中的要求都需要通过合同来明确，只需要明确那些从云客户角度出发所需的安全控制。

62 FedRAMP建议在合同中明确的安全控制
数据管辖（Data Jurisdiction）——服务提供者要描述其边界，例如是否采用国外数据中心。有专门的数据位置要求的联邦政府机构应该在合同中明确关于静态数据（data-at-rest，包括主数据及冗余数据）应保存在什么位置。 示例性合同文本模版： 供应商应识别所有的将保存（联邦政府机构）静态数据或备份数据的数据中心。所有的数据中心应保证均位于[边界/国家/管辖范围]。

63 FedRAMP建议在合同中明确的安全控制
经验证的用于安全通信的密码算法——FedRAMP 安全控制基线中IA-7(基于密码模块的鉴别), SC-8(1)（传输的完整性）, SC-9(1)（传输的保密性）, SC-13（密码使用）, and SC-13(1)都要求使用密码机制来防止在传输过程中未授权的信息披露（除非有其他物理措施），如果联邦政府机构要求使用FIPS 140-2验证的密码算法，那么应该在合同中明确。

64 FedRAMP建议在合同中明确的安全控制
不可抵赖性——如果联邦政府机构对采用专门的算法有要求，应在合同中进行明确。 示例性合同文本模版 供应商提供的系统，应采用用于数据源鉴别、数据完整性和签名者不可抵赖的 [密码算法]。

65 FedRAMP建议在合同中明确的安全控制
审计记录保留（Retention）——联邦政府机构应在合同中考虑要求CSP在多长时间内保留其审计记录。FedRAMP的要求是服务提供商至少保留在线审计记录90天，并且进一步根据NARA（National Archives and Records Administration，国家档案与文件署）的要求保留离线的审计记录。

66 FedRAMP建议在合同中明确的安全控制
标识与鉴别（组织内人员） 多因素鉴别——申请FedRAMP授权的CSP都将为其服务的联邦政府用户提供双因素鉴别。要求使用特定鉴别方法的联邦政府应在合同中明确其要求。 承包商应为政府部门的管理人员（identified Government Administrators）提供安全的、基于双因素的远程鉴别和授权，以允许联邦政府部门指定人员可有能力对系统进行管理。 承包商应支持包括[特定鉴别方法]在内的双因素鉴别方式。

67 FedRAMP建议在合同中明确的安全控制
标识与鉴别（非组织内人员）——承包商应为承包商自己的管理人员（identified Vendor Administrators）提供包括多因素鉴别方式。

68 FedRAMP建议在合同中明确的安全控制
事件报告时间表——FedRAMP要求CSP遵守NIST SP800-61的事件报告规定，JAB还将要求CSP提供时间报告计划来满足这一要求。联邦政府机构的合同应该明确任何专门的事件报告要求，包括由谁以及如何通知该机构。

69 FedRAMP建议在合同中明确的安全控制
媒介传输（Media Transport） 包含联邦政府部门信息的数字媒介（digital media），在受控区域之外进行传输时必须用[加密模式]进行加密，非数字媒介包括但不限于CD-ROM、软盘等，应该采用与纸质文件相同的策略和流程进行安全防护。 包含联邦政府部门信息的媒介在受控区域之外进行传输时，应确保可问责。这可通过采用[恰当的活动，例如日志]来实现 保存在移动设备（例如U盘，外置硬盘，SD卡等）中的联邦政府机构数据必须用[加密模式]来进行加密。所有保存在笔记本电脑中的联邦政府数据必须使用获批准的加密软件来进行保护。

70 FedRAMP建议在合同中明确的安全控制
人员审查——联邦政府机构应根据OPM和OMB的要求，明确应执行的背景调查级别。采用FedRAMP初始授权的联邦政府机构应自己负责执行背景审查或者采用其他联邦政府机构已有的审查结果 供应商应提供所有支持此系统的雇员的、可用于背景审查裁定的文档。供应商应遵守[该联邦政府机构在人员审查方面的指令]，[该联邦政府机构]将为联邦计算机系统工作的人员的风险等级分为[]级：[对不同级别进行描述]，被划定为[]级的供应商人员将被进行[]级的调查。

71 FedRAMP建议在合同中明确的安全控制
边界防护——如果联邦政府机构要求使用可信互联网连接，应在合同中明确数据路由（data routing）要求。 供应商应确保联邦信息（除非受限信息外），在基于云服务从联邦政府实体传输到外部实体时，应被TIC（Tursted Internet connection）审查。

72 FedRAMP建议在合同中明确的安全控制

73 FedRAMP建议在合同中明确的安全控制
安全警告，通告和指令——FedRAMP要求CSP在其可接收警告、通告和指令的人员列表中加入FedRAMP的人员，如果联邦政府机构希望将其SOC或者安全管理人员列入列表中，则在合同中进行明确。

74 提纲 合同背景 合同文本 合同约束对象与主要服务内容 合同中的信息安全要点 合同执行情况与洛杉矶执法部门特殊需求
FedRAMP建议在合同中明确的安全控制 FedRAMP建议在合同中明确的权责

75 FedRAMP建议在合同中明确的权责 参考《FedRAMP 标准合同语言》（FedRAMP Standard Contract Language，但并未提供体系化的合同模版） 联邦政府部门的审计权（一） 承包商应遵守FedRAMP的要求，并提供任何需要的文档、物理访问和逻辑访问来支持这一要求。联邦政府部门保留进行渗透测试的权利。如果行使这一权利，承包商应允许联邦政府部门工作人员或指定第三方依据FedRAMP要求的安全控制执行安全评估，包括但不限于：扫描操作系统和Web应用、网络设备（包括路由器、交换机）、防火墙和IDS/IPS、数据库的漏洞。

76 FedRAMP建议在合同中明确的权责 联邦政府部门的审计权（二）
承包商应为联邦政府部门或其指定代理机构提供访问权限，以验证其对安全要求的合规性。联邦政府部门保留现场（on site）调查的权利，承包商应提供适当的人员来接受访谈并提供所有必需的文档。

77 FedRAMP建议在合同中明确的权责 敏感数据保护（一）
承包商应将政府部门的所有的数据当作敏感数据来保护。承包商应为在所有与此合同相关的工作中使用、收集或产生的信息提供恰当的保护。所有基于此合同建立的系统的有关信息应被视为非涉密敏感信息（SBU）。

78 FedRAMP建议在合同中明确的权责 敏感数据保护（二）——敏感非涉密信息（SBU）只可向授权的用户披露。承包商应确保采取了恰当的管理、技术和物理防护措施来保护此类数据的安全性和保密性。对此类数据的销毁应遵守NIST SP800-88（Guidelines for Media Sanitization）。

79 FedRAMP建议在合同中明确的权责 敏感数据保护（三）
在执行合同过程中，承包商应承担保护政府记录保密性的责任并且应确保其所有子承包商所负责的工作应在承包商的监管之下。 对每一个可能接触到政府记录的承包商以及子承包商的管理人员或普通雇员，承包商应该书面提醒他们这些信息只能被用于被授权的目的。 根据政府部门的要求，任何负责上述任务的承包商雇员，可能被要求签署正式的信息保密协议。

80 FedRAMP建议在合同中明确的权责 数据所有权
联邦政府部门对其数据保留无限制的权利，仍保留其在承包商设施中的任何由其产生或上传的数据的所有权，并保留在任何时候要求获得完整的数据拷贝的权利。 由承包商收集的，联邦政府机构认为与执行本合同相关的最终交付文档及其初稿，以及所有相关的工作文件和其他材料，都是美国政府的财产，并应在合同中止时归还。

81 谢谢各位！ FedRAMP建议在合同中明确的权责 惩罚性措施
如果承包商的临时授权被撤销或者其缺陷超过了政府部门阈值的情况下，政府部门可选择取消合同。 谢谢各位！