服务第三方提供的产品和服务应满足以下要求： 提供的产品和服务应满足国家法律法规和地方规章的信息安全要求； 所使用服务工具应接受数据管理方或数据管理方授权机构的安全检查； 应制定网络和数据安全事件应急预案，定期组织开展应急演练； 应及时处置网络和数据安全事件，按规定将事件处置情况报告被服务方

9. 1. 4 安全监管

9.2数据服务安全职责

DB3301/T0322.22020

服务第三方在提供数据服务时，应满足以下要求： 应根据被服务方制定的安全策略和规则提供数据服务： 提供数据API开发服务的，应提供服务API的用户鉴别、鉴权和访问控制的能力，并具备防重 放、代码注入、DoS/DDoS等攻击防护能力： 提供数据治理服务的应根据数据质量规则进行标准化处理，并通过技术手段保障数据的一致 性； 一提供数据同步服务的应通过技术手段保障数据同步过程的一致性，记录数据同步过程的所有日 志； 应配合数据管理方或数据使用方对新生成的数据进行识别和打标。

9.3应用开发安全职责

服务第三方在提供应用开发服务时，应满足以下要求： 应在测试环境进行应用功能开发和测试，测试环境应与生产环境安全隔离； 应按照授权审批流程申请测试数据，并在完成测试后删除测试数据； 开发过程中涉及到使用敏感数据的，应脱敏后使用

9.4监管服务安全职责

服务第三方在提供监管服务时，应满足以下要求： 应在数据管理方的监督和授权下开展安全运行监管工作，需要其它数据安全责任方提供交付件 时应有数据管理方授权； 应配合数据管理方制定监管规范，规定数据操作日志记录要求； 应汇聚并审计被监管方的数据操作日志，及时发现数据违规操作行为； 应对其它服务第三方实施的安全控制措施、变更管理、应急响应等进行持续监管，通过技术措 施或文件审核等方式对服务第三方承诺的安全控制项进行评估验证

外墙标准规范范本1]GB/T37988信息安全技术 数据安全能力成熟度模型 21GB/T37973信息安全技术 大数据安全管理指南

DB3301/T0322.22020