外包供應商信息安全安全管理要求

1、PAGE8PAGE8信息安全管理要求概念定義1、駐場/近岸：指業(yè)務(wù)場地由甲方擁有和管理。2、離岸：指業(yè)務(wù)場地由乙方擁有和管理。3、項目敏感信息：包括但不限于甲方的客戶信息（例如：會員信息、簽約商戶信息等，以及本合同中約定的“保密信息”）以及甲方的業(yè)務(wù)數(shù)據(jù)。4、甲方審批和報備: 指乙方根據(jù)甲方項目主管的要求提供相關(guān)資料用于甲方業(yè)務(wù)、技術(shù)及信息安全團隊的審批和報備。總體要求1、乙方在合作期內(nèi)應按照符合業(yè)界標準的信息管控要求執(zhí)行信息安全管理，確保敏感信息在采集、處理、存貯、傳輸、分發(fā)、備份、恢復、清理和銷毀等各環(huán)節(jié)的完整性（保護信息不被惡意篡改）、保密性（保護信息不被有意或無意地向未授權(quán)人員泄露）和

2、可用性。2、本要求提出了乙方需要遵循的強制性安全基本要求。乙方如不能達到本規(guī)定的要求，甲方可限制、甚至拒絕相關(guān)項目的執(zhí)行。信息安全管理規(guī)范（一）管理職責1、乙方必須指定安全接口人來負責本項目的信息安全管理。2、乙方管理層應落實信息安全管理職能，包括建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，并定期（至少每年一次）向甲方提交信息安全評估報告。3、乙方的信息安全管理機制應包括信息安全標準、流程與規(guī)范體系，并至少每年更新以反映最新的安全需求。4、乙方應建立管理用戶認證和訪問控制的流程。乙方人員對業(yè)務(wù)數(shù)據(jù)和系統(tǒng)的訪問只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。乙方人員調(diào)動到新的工作崗

3、位或離開時，應在系統(tǒng)中及時檢查、更新或注銷用戶身份。5、乙方應制定相關(guān)制度和流程，嚴格管理甲方敏感信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復、清理和銷毀。6、乙方應對所有員工進行必要的培訓，使其充分掌握信息安全管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容忍政策。7、乙方人員必須參加并通過所有甲方安排的安全相關(guān)考試，包括但不限于數(shù)據(jù)安全考試，廉政考試等。（二）離岸場地環(huán)境要求1、乙方應保證本項目工作場地與其它區(qū)域在物理上明顯隔離：場地出入口有身份識別系統(tǒng)，對進出人員身份進行識別和控制防止非本項目人員進入。所有時段門禁保持關(guān)閉，人員進出必須刷卡，禁止尾隨。門禁刷卡記錄保存

4、三個月以上。2、工作場地出入口應有CCTV監(jiān)控攝像系統(tǒng)，對進出人員進行監(jiān)控，記錄至少保存三個月。3、項目的服務(wù)器和網(wǎng)絡(luò)設(shè)備必須與辦公區(qū)域隔離，并且上鎖，非授權(quán)人員不得進入。4、乙方對打印和復印必須嚴格管理，不允許隨意打印或帶出紙件文檔。乙方必須在場地配置碎紙機，所有紙質(zhì)項目文檔使用過后必須用碎紙機銷毀。5、不允許與甲方項目無關(guān)人員進入工作場地，如有特殊要求，需要登記備案。訪客記錄（包括但不限于姓名、單位、攜帶設(shè)備，被訪人員、訪問目的、進入時間、離開時間、訪客簽字）保存六個月以上。6、不允許第三方人員或機構(gòu)參觀項目場地。（三）人員管理1、乙方人員在入職或為甲方服務(wù)之前，乙方必須對其進行背景調(diào)查，

5、避免利益沖突、競業(yè)限制、信息泄露等可能危害甲方利益的情形。在此基礎(chǔ)上，甲方可開展單獨的入職風險評估，并有權(quán)根據(jù)入職風險評估結(jié)果拒絕該員工的入職。2、入職培訓需包括信息安全相關(guān)內(nèi)容。乙方需要定期（一年至少一次）組織員工進行信息安全培訓，并提供定期培訓記錄。3、乙方必須與為甲方服務(wù)的員工簽訂保密協(xié)議，并且保密協(xié)議應明確規(guī)定在甲方項目中的工作參考資料和產(chǎn)出物（包括但不限于代碼、文檔、圖片等項目敏感信息）均屬于甲方資產(chǎn)，未經(jīng)甲方允許，乙方不得以任何形式將上述甲方資產(chǎn)帶出項目辦公環(huán)境（包括但不限于打印件帶出、拷貝到U盤或移動硬盤、上傳到云盤、郵件外發(fā)、FTP上傳等方式）。4、乙方必須保證在與甲方的項目合

6、同有效期間內(nèi)，其在項目中的員工只能為甲方及其關(guān)聯(lián)公司提供服務(wù)，不得同時服務(wù)于其他公司。5、員工崗位調(diào)動或離職時，乙方應立即配合終止或刪除該員工對甲方業(yè)務(wù)系統(tǒng)及信息的訪問權(quán)限。乙方需指定員工負責管理、維護乙方人員信息，及時登記并定期（至少每個月）向甲方反饋人員崗位異動情況，以便雙方及時回收賬戶、權(quán)限、數(shù)據(jù)及相關(guān)資產(chǎn)。6、乙方應至少提前2周提供人員離場的信息預告，并保證人員在離場當天辦完所有的手續(xù)（包括并不限于資產(chǎn)、權(quán)限、數(shù)據(jù)的回收），若乙方離場人員未在離場當天辦完離場手續(xù)，甲方有權(quán)向乙方收取逾期違約金，從離場次日起算，第一天按500元計算，以后每逾期一天增加100元。（四）IT風險管理1、賬號/

7、口令安全（1）乙方人員電腦的登陸密碼長度至少8位，并且是字母，數(shù)字和特殊字符的組合。密碼至少每90天變更一次，并不得通過任何渠道向任何人透露。（2）默認情況下用戶登陸賬號不應具有本機管理員權(quán)限。禁止用戶將各類登錄用戶名、密碼保存于操作系統(tǒng)或者瀏覽器中。2、主機安全（1）近岸和離岸場地的所有設(shè)備接入甲方網(wǎng)絡(luò)環(huán)境，必須安裝甲方提供的阿里郎軟件。（2）乙方人員電腦無論是甲方資產(chǎn)還是乙方資產(chǎn)必須是臺式機。如有特殊場景，經(jīng)過甲方審批和報備后可以使用筆記本或其他移動設(shè)備辦公。未經(jīng)甲方書面許可，乙方人員不得將項目相關(guān)移動設(shè)備帶出辦公環(huán)境。（3）乙方人員電腦必須在BIOS里設(shè)置管理員密碼，防止用戶私自修改BI

8、OS設(shè)置。并禁止第三方設(shè)備啟動電腦。（4）乙方人員電腦必須開啟自動鎖屏，解鎖需要輸入登陸密碼，鎖屏等待時間不得大于10分鐘。（5）離岸情況下的乙方人員電腦必須從物理上或以技術(shù)手段限制數(shù)據(jù)端口（包括但不限于USB口、串/并口、藍牙、紅外等）的使用。如果有特殊需求，必須經(jīng)過甲方審批和報備。3、互聯(lián)網(wǎng)訪問安全（1）乙方須對Internet的訪問應該做白名單控制，僅開放受限的Internet訪問權(quán)限（例如：默認僅允許訪問工作所需的web工作平臺，旺旺，和特定的網(wǎng)站等）。禁止訪問具有數(shù)據(jù)上傳功能的網(wǎng)站（例如Webmail，網(wǎng)盤等），并限制用戶從Internet下載數(shù)據(jù)/軟件等。4、內(nèi)部網(wǎng)絡(luò)應用安全（1）

9、乙方人員必須使用甲方指定的及時通訊工具或郵箱與甲方交換信息。如有特殊情況，必須經(jīng)過甲方審批和報備。（2）禁止用戶自行更改計算機名和網(wǎng)絡(luò)配置或?qū)⑺饺擞嬎銠C接入工作網(wǎng)絡(luò)。（3）默認情況下不開通用戶的網(wǎng)絡(luò)打印機連接權(quán)限，如需使用網(wǎng)絡(luò)打印機，需向IT管理員申請獲的相關(guān)業(yè)務(wù)部門主管審批后開啟，并最終在信息安全部門備案。5、網(wǎng)絡(luò)邊界安全(1) 離岸工作網(wǎng)絡(luò)應與乙方其他網(wǎng)絡(luò)進行有效的安全隔離，限制網(wǎng)絡(luò)對其他網(wǎng)絡(luò)資源以及其他網(wǎng)絡(luò)對網(wǎng)絡(luò)資源的非授權(quán)訪問（包括有線和無線）。(2)乙方人員不得以任何形式（包括但不限于WI-FI共享、自建AP等）將甲方網(wǎng)絡(luò)暴露和共享到無線環(huán)境中。(3)禁止用戶在非工作網(wǎng)絡(luò)通過遠程訪問

10、（如VPN，RDP等）的方式，訪問工作環(huán)境。6、日常使用/物理安全（1）乙方對甲方配發(fā)的終端和設(shè)備有保管義務(wù)，如果損毀或丟失，乙方必須按市價賠償；如果由于終端或設(shè)備丟失導致甲方信息泄露，甲方將根據(jù)雙方約定、受損程度追究乙方法律責任。（2）對于因項目結(jié)束或離職等原因離開項目的乙方人員，乙方必須確保甲方配發(fā)的所有固定資產(chǎn)（包括但不限于電腦、工牌、令牌等）退場當天或提前歸還給甲方。（3）工作時間應該禁止進行非工作相關(guān)的網(wǎng)上聊天、娛樂、炒股、或者收發(fā)非工作郵件。7、軟件的安裝和使用（1）乙方人員電腦必須安裝正版操作系統(tǒng)和文檔處理軟件，并確保安全補丁及時更新。不得安裝盜版軟件、破解軟件、反編譯、遠程控制

11、類軟件、翻墻類軟件、云存儲類客戶端軟件（包括但不限于云筆記、云盤、網(wǎng)盤等）以及其他未經(jīng)甲方備案的軟件。（2）乙方人員電腦不得安裝除甲方指定之外的即時通訊軟件，如有例外，必須經(jīng)過甲方審批和報備。（3）乙方人員電腦不得開啟文件共享功能。8、病毒、安全防護（1）電腦終端必須安裝正版殺毒軟件，并設(shè)置特征庫至少每周更新一次。不允許安裝百度、騰訊、360的桌面和安全產(chǎn)品。（2）乙方在離岸場地必須同時有技術(shù)和管理手段來發(fā)現(xiàn)和防止內(nèi)部員工進行破壞信息安全的行為，包括但不限于入侵他人工計算機、盜用他人賬號、散播病毒和木馬、攻擊服務(wù)器和網(wǎng)絡(luò)設(shè)施等。（五）權(quán)限與操作風險管理1、乙方人員所具備的權(quán)限與自身業(yè)務(wù)相關(guān)，賦

12、權(quán)必須“必需知道”和“最小授權(quán)”原則，且只能在工作場地進行使用。2、乙方應實現(xiàn)甲方敏感信息與乙方其他客戶資料的有效隔離。3、乙方人員安裝軟件的版權(quán)由乙方負責，不得侵犯甲方及第三方知識產(chǎn)權(quán)。4、系統(tǒng)、應用賬號需“一人一號”，賬號不得相互借用，并對賬號和密碼負有保密義務(wù)，不得共享給其他任何人。如業(yè)務(wù)上存在共享賬號的需求，須提前獲得甲方信息安全部的審批與備案。5、服務(wù)結(jié)束后，員工辦公電腦上的數(shù)據(jù)須進行格式化或多次寫入等操作進行銷毀。（六）項目敏感信息的使用1、乙方不得以任何理由和目的擅自使用敏感信息，只在為甲方提供相關(guān)合同約定的服務(wù)時使用相應敏感信息。 2、乙方應建立內(nèi)部信息安全措施及保密管理制度，

13、按照甲方的要求保管敏感信息，確保不被泄漏。 3、乙方不得出售、利用、復制、傳播或擅自修改敏感信息，不得在任何場合以任何方式公開和轉(zhuǎn)移甲方項目的相關(guān)信息。4、自合同終止生效日時起，乙方應立即停止使用所有保密信息，乙方不得私自保留與項目相關(guān)的文件、代碼、圖片等的拷貝，并全部交還甲方，或在甲方監(jiān)督下進行銷毀。對于私自保留敏感信息產(chǎn)生的一切后果，乙方承擔所有責任。 5、乙方應要求所有相關(guān)員工遵守保密規(guī)定。（七）安全事件報告機制1、發(fā)生信息安全事件時，乙方有義務(wù)立即通知甲方項目經(jīng)理或信息安全部，相關(guān)情況包含但不限于：甲方的會員、商戶與業(yè)務(wù)等敏感信息與交易數(shù)據(jù)發(fā)生篡改、泄漏、丟失和破壞；網(wǎng)絡(luò)與系統(tǒng)被攻擊；

14、 病毒與蠕蟲等惡意代碼感染；計算機、令牌或其他資產(chǎn)的丟失；物理環(huán)境或設(shè)施遭受破壞；其它可疑隱患或預警等。2、對須采取應急方案的，乙方應根據(jù)甲方的意見及時報告處理情況和整改措施。自評估1、乙方應定期（至少每年一次）對本項目的信息安全管理的情況進行自查，范圍包括但不限于信息系統(tǒng)安全狀況、本安全規(guī)定及措施的落實情況等。安全狀況未達到本規(guī)定要求的，乙方應當制定方案進行整改。2、乙方應及時將自評估報告及相應的整改方案提交甲方信息安全部及項目經(jīng)理。3、自評估可委托甲方或國家認可的第三方評估機構(gòu)執(zhí)行并出具評估報告。相關(guān)費用由乙方自行承擔。監(jiān)督與檢查1、甲方有權(quán)對乙方的信息安全管理及管控效果進行檢查。甲方將定

15、期和不定期對駐場、近岸、離岸項目進行信息安全評估與審計。2、評估與審計過程中，乙方應提供配合并確保甲方能夠?qū)Ρ卷椖肯嚓P(guān)的環(huán)境、人員、硬件、軟件、文檔和數(shù)據(jù)等對象進行檢查；乙方不應故意隱瞞事實或阻撓審計檢查。3、乙方應根據(jù)甲方出具的評估意見或?qū)徲媹蟾嫣岢稣挠媱潱⒃谝?guī)定的時間內(nèi)實施整改。4、甲方有權(quán)禁止風險較高的乙方繼續(xù)提供相關(guān)服務(wù)，相關(guān)情況包含但不限于：竊取、泄露甲方敏感信息，情節(jié)嚴重或存在違法違規(guī)行為的；因管理過失，發(fā)生敏感數(shù)據(jù)損毀、丟失、泄露等重大信息安全事件的；對于評估和檢查發(fā)現(xiàn)的問題，逾期仍未整改的。違約責任（一）乙方信息安全事件違約責任1、如果因為信息安全管控不力導致信息安全事件的

16、，將導致違約。按照給甲方、甲方關(guān)聯(lián)公司或甲方的合作伙伴造成損失或影響的程度，將違約和責任分成A、B和C三個類別，定義和要求詳見下表：事件級別事件性質(zhì)安全違約責任A類（重大）給甲方、甲方關(guān)聯(lián)公司或甲方的其它合作伙伴造成如下重大損失或重大影響的，情況包含但不限于：系統(tǒng)關(guān)鍵數(shù)據(jù)、安全防護手段的保密性、完整性、可用性遭到人為嚴重破壞,并引發(fā)訴訟的；給甲方網(wǎng)絡(luò)恢復系統(tǒng)正常運行和消除安全負面影響所需付出的代價十分巨大（時間超過2個星期或投入超過50萬）的情況；一年內(nèi)2次B類違規(guī)。立刻終止與乙方的項目合作。B類（普通）給甲方、甲方關(guān)聯(lián)公司或甲方的其它合作伙伴造成重大損失或重大影響的，情況包含但不限于：使業(yè)務(wù)

17、安全造成潛在危害，造成系統(tǒng)安全防護級別降低的情況；其他恢復系統(tǒng)正常運行和消除安全負面影響所需付出的代價較大的（時間超過5個工作日或投入超過10萬）情況；一年內(nèi)2次C類違規(guī)。乙方不得為甲方其它項目提供服務(wù)。C類（輕微）其他影響和干擾甲方、甲方關(guān)聯(lián)公司或甲方的合作伙伴系統(tǒng)效率，使信息系統(tǒng)業(yè)務(wù)處理能力受到影響的情況；或造成其他潛在影響的情況。立即按照甲方要求在約定時間內(nèi)完成整改。（二）乙方人員違規(guī)行及處理1、若乙方人員未能遵守本規(guī)范定義的行為規(guī)范，將導致違規(guī)。違規(guī)行為級別定義及處理要求詳見下表：違規(guī)級別違規(guī)行為定義安全違約責任一級包含但不限于如下違規(guī)行為：違反國家法律法規(guī)，且被追究刑事責任或被采取刑

18、事強制措施的行為；非業(yè)務(wù)需求的情況下，查詢或獲取項目敏感信息；計算機系統(tǒng)賬號或業(yè)務(wù)系統(tǒng)賬號未經(jīng)甲方許可而互相借用；竊取、盜賣項目敏感信息；向第三方或不相關(guān)人員透露甲方會員、商戶及甲方合作伙伴敏感信息、公司經(jīng)營信息、業(yè)務(wù)規(guī)劃信息、對外項目合作信息等敏感信息，造成嚴重影響。未經(jīng)許可，在微博、微信等第三方媒介以及各種媒體、公眾場合公開發(fā)表發(fā)布甲方內(nèi)部信息或言論，造成嚴重影響；未經(jīng)正常流程，私自授予本人或他人系統(tǒng)權(quán)限；不得通過各種途徑且不得因為任何原因操作用戶賬戶；例如：向客戶索要賬號密碼或通過各種方式（如遠程操作賬戶或電腦）操作客戶賬號；自己擁有的權(quán)限,用于非工作目的；其他引發(fā)違約，且影響特別嚴重，經(jīng)過協(xié)商后認定屬于一級違規(guī)行為的