信息安全协议(ISA)
信息安全协议(ISA)
1. 范围和目标
本协议的目的是为双方和供应商托管或处理的客户数据保护责任,确保信息安全要求和角色。
2. 角色和定义
- 数据控制者(客户):确定处理数据的目的和方式的实体。
- 数据处理者(供应商):代表客户处理数据的实体。
- 客户数据:客户为执行服务提供的任何数据,包括个人信息(PII)等。
3. 安全责任矩阵 RACI
| 安全要求 |
客户责任 |
供应商责任 |
| 访问控制 |
管理用户账户和内部访问权限。 |
实施MFA、SSO、授权和密码管理。 |
| 数据安全 |
数据分类和标注。 |
静态加密:AES-256;传输中加密:TLS 1.3等。 |
| 基础设施安全 |
客户负责配置。 |
网络安全态势、WAF、DDoS防护等。 |
| 模型鲁棒性 |
使用和展示流程。 |
确保可解释性、可审计和防篡改。 |
| 事件响应 |
内部威胁评估。 |
在[24]小时内检测并通知。 |
4. 技术安全要求
供应商应实施以下控制措施:
- 漏洞管理:每周进行自动扫描,并每半年开展一次渗透测试和更新。
- AI安全框架:使用谷歌提供的安全AI框架(SAIF),确保模型的健壮性,防止未经授权访问或用于模型训练。
- 审计日志:维护所有操作日志,保留期最少,保留期为180天。
5. 人员和实体安全
- 背景调查:供应商应确保所有授权访问客户数据的人员都通过安全审查。
- 数据驻留:供应商应遵守固定的地理位置要求,墨西哥/新加坡处理中国数据,遵守当地法规。
6. 数据泄露通知
发生安全漏洞时,供应商必须在24小时内通知客户的安全团队。详细的根本原因分析(RCA)和客户计划应在5个工作日内提交。
7. 终止和数据删除
合同终止后,供应商应使用符合NIST SP 800-88的方法归还或删除所有客户数据,并提供删除证明。
