園區(qū)信息安全管理體系文檔

園區(qū)信息安全管理體系文檔

—第三方人員安全管理規(guī)定本文檔版權(quán)由（單位名稱）所有。未經(jīng)版權(quán)人書(shū)面許可，任何單位和個(gè)人不得以任何形式摘抄、復(fù)制本文檔的部分或全部?jī)?nèi)容，并以任何形式傳播。文件編碼：（單位名稱）-GFXY_3_3版本：發(fā)布日期：2019年7月

文檔信息基本信息文檔名稱第三方人員安全管理規(guī)定保密級(jí)別內(nèi)部文檔編號(hào)（單位名稱）-GFXY_3_3牽頭部門信息中心分發(fā)范圍所有部門版本修訂生效日期版本號(hào)版本說(shuō)明制作復(fù)審批準(zhǔn)V0.1報(bào)批稿注：文檔基本信息記錄本文檔提交時(shí)的當(dāng)前有效的基本控制信息，當(dāng)前版本文檔有效期將在新版本文檔生效時(shí)自動(dòng)結(jié)束。文檔版本小于1.0時(shí)，表示該版本文檔為草案，僅可作為參照資料之目的。TOC\o"1-5"\h\z\o"CurrentDocument"1目的 4\o"CurrentDocument"2適用范圍 4\o"CurrentDocument"3職責(zé) 4\o"CurrentDocument"4管理規(guī)定 4\o"CurrentDocument"4.1定義 4\o"CurrentDocument"4.2第三方組織管理 5\o"CurrentDocument"4.2.1合同和保密協(xié)議 5考評(píng) 5保密 5\o"CurrentDocument"4.2.4知識(shí)產(chǎn)權(quán) 5\o"CurrentDocument"4.3第三方人員管理 5\o"CurrentDocument"4.3.1入職審核 5\o"CurrentDocument"4.3.2日常安全管理 6\o"CurrentDocument"4.3.3工作場(chǎng)地管理 7\o"CurrentDocument"4.3.4轉(zhuǎn)崗或離崗 7\o"CurrentDocument"5附錄 8\o"CurrentDocument"附錄1第三方人員信息安全保證書(shū) 8\o"CurrentDocument"附錄2第三方人員變更申請(qǐng)書(shū) 9附錄3第三方工作備案表 11\o"CurrentDocument"附錄4第三方工作匯報(bào) 12\o"CurrentDocument"附錄5系統(tǒng)第三方工作考核表 131目的為加強(qiáng)對(duì)第三方組織（軟件開(kāi)發(fā)商、設(shè)備供應(yīng)商、系統(tǒng)集成商等）及第三方人員（廠商技術(shù)人員、第三方人員、咨詢服務(wù)人員）的管理，保障（單位名稱）技術(shù)系統(tǒng)信息安全、穩(wěn)定開(kāi)發(fā)、運(yùn)行與維護(hù)過(guò)程安全，加強(qiáng)（單位名稱）保密工作，特制定本規(guī)定。2適用范圍適用于與（單位名稱）有契約合作關(guān)系的所有第三方組織和人員。3職責(zé)由（單位名稱）人事處負(fù)責(zé)監(jiān)督此文件的執(zhí)行，其他各個(gè)部門主管負(fù)責(zé)本部門的具體執(zhí)行。4管理規(guī)定4.1定義本規(guī)定所稱的第三方組織包括軟件開(kāi)發(fā)商、設(shè)備供應(yīng)商、咨詢服務(wù)商、系統(tǒng)集成商與運(yùn)維服務(wù)商。在第三方人員訪問(wèn)受控區(qū)域前必須經(jīng)過(guò)授權(quán)或?qū)徟?，在批?zhǔn)后由專人全程陪同或監(jiān)督，并登記在《第三方工作備案表》。本規(guī)定所稱第三方人員是指第三方組織長(zhǎng)期派駐（單位名稱）的員工或臨時(shí)到（單位名稱）現(xiàn)場(chǎng)工作的人員。本辦法所稱的秘密主要包括：（單位名稱）規(guī)定的秘密；（單位名稱）或上級(jí)主管、關(guān)聯(lián)單位的內(nèi)部規(guī)章制度和有關(guān)政策與程序，內(nèi)部辦公信息與非市場(chǎng)公開(kāi)信息；（單位名稱）或上級(jí)主管、關(guān)聯(lián)單位的技術(shù)系統(tǒng)信息。包含但不限于相關(guān)硬件、軟件、方案、設(shè)計(jì)、算法、數(shù)據(jù)、源碼、記錄、報(bào)告、設(shè)置、設(shè)施等;（單位名稱）與第三方組織合作項(xiàng)目中的商業(yè)秘密；其他經(jīng)（單位名稱）確定應(yīng)予保密的事項(xiàng)。4.2第三方組織管理4.2.1合同和保密協(xié)議第三方組織與（單位名稱）簽訂合同和同時(shí)簽訂指定的保密協(xié)議。第三方組織應(yīng)嚴(yán)格按照合同及附屬保密協(xié)議的條款履行承擔(dān)的責(zé)任。4.2.2考評(píng)（單位名稱）每季度對(duì)第三方組織進(jìn)行考評(píng)并召開(kāi)第三方組織例會(huì)；如特殊情況需要，（單位名稱）可召集臨時(shí)第三方組織會(huì)議。第三方組織應(yīng)指派專人參加廠商會(huì)議，不得缺席。4.2.3保密未經(jīng)（單位名稱）書(shū)面授權(quán)，第三方組織及其人員不得將在與單位合作過(guò)程中涉及或新產(chǎn)生的一切秘密信息在任何時(shí)間以任何方式泄露給任何第三方。4.2.4知識(shí)產(chǎn)權(quán)軟件開(kāi)發(fā)合同必須明確開(kāi)發(fā)軟件的知識(shí)產(chǎn)權(quán)歸屬。4.3第三方人員管理4.3.1入職審核第三方組織若要指派人員為（單位名稱）服務(wù)，則需要按照本管理辦法與員工簽訂《第三方人員崗位信息安全保證書(shū)》，加蓋單位公章，提交給人事處審核。由人事處審核之后，簽署審核意見(jiàn)，檔案保存保證書(shū)，方可允許第三方人員為（單位名稱）服務(wù)。第三方組織派遣至（單位名稱）現(xiàn)場(chǎng)工作的人員必須具有所工作領(lǐng)域的相關(guān)資格或豐富經(jīng)驗(yàn)，其工作能力能勝任在（單位名稱）現(xiàn)場(chǎng)工作的要求。第三方組織應(yīng)對(duì)來(lái)（單位名稱）現(xiàn)場(chǎng)工作的人員進(jìn)行崗前信息安全教育培訓(xùn)。未經(jīng)過(guò)崗前信息安全教育的新增人員，不得在（單位名稱）現(xiàn)場(chǎng)工作。第三方組織應(yīng)為長(zhǎng)期派駐（單位名稱）工作的人員制定考勤制度，并且嚴(yán)格執(zhí)行。第三方人員在（單位名稱）工作時(shí)，應(yīng)遵守（單位名稱）相關(guān)規(guī)章制度。軟件開(kāi)發(fā)商人員在軟件開(kāi)發(fā)過(guò)程中還應(yīng)遵循（單位名稱）技術(shù)開(kāi)發(fā)規(guī)范并接受（單位名稱）審計(jì)。因工作需要為第三方人員在系統(tǒng)中創(chuàng)建帳戶時(shí)，應(yīng)參照（單位名稱）開(kāi)發(fā)人員標(biāo)準(zhǔn)執(zhí)行。軟件開(kāi)發(fā)商帳戶由（單位名稱）的項(xiàng)目負(fù)責(zé)人發(fā)起申請(qǐng)，并按照單位現(xiàn)有帳號(hào)申請(qǐng)審批流程執(zhí)行。第三方人員用戶的密碼應(yīng)按（單位名稱）相關(guān)規(guī)定進(jìn)行設(shè)置。用戶必須保管好自己的密碼，禁止借給其他人員使用。第三方人員用戶使用完畢，應(yīng)及時(shí)告知（單位名稱）項(xiàng)目負(fù)責(zé)人。由項(xiàng)目負(fù)責(zé)人按照單位現(xiàn)有的帳號(hào)管理辦法進(jìn)行帳號(hào)的刪除申請(qǐng)流程，由相關(guān)系統(tǒng)管理員負(fù)責(zé)及時(shí)刪除用戶。第三方人員要嚴(yán)格遵守（單位名稱）已經(jīng)頒布的各種規(guī)章、制度及流程。4.3.2日常安全管理第三方人員應(yīng)嚴(yán)格保守（單位名稱）的秘密。不得利用工作之便竊?。▎挝幻Q）的秘密信息；未經(jīng)許可，不得將秘密信息帶出（單位名稱）。第三方組織長(zhǎng)期派駐（單位名稱）工作的人員所使用的個(gè)人電腦必須安裝（單位名稱）規(guī)定的防病毒軟件及相關(guān)安全軟件、并接受統(tǒng)一管理。第三方組織來(lái)（單位名稱）臨時(shí)工作的人員未經(jīng)許可不得將個(gè)人電腦及各類移動(dòng)存儲(chǔ)設(shè)備接入（單位名稱）網(wǎng)絡(luò)及各類系統(tǒng)。需要臨時(shí)接入網(wǎng)絡(luò)時(shí)，需要向我方接口人提出申請(qǐng)，并且由我方接口人按照單位規(guī)定的流程進(jìn)行。第三方人員因工作需要將設(shè)備帶入或帶出（單位名稱）指定的工作場(chǎng)所工作，應(yīng)征得（單位名稱）同意，并嚴(yán)格遵守（單位名稱）相關(guān)制度。第三方人員在開(kāi)發(fā)、維護(hù)過(guò)程中，不得對(duì)系統(tǒng)設(shè)置“后門”，“木馬”等隱藏通道繞開(kāi)系統(tǒng)安全路徑的程序或設(shè)備。第三方人員只能接觸或接入與其工作相關(guān)的網(wǎng)絡(luò)與主機(jī)，不得接觸或接入與工作無(wú)關(guān)的網(wǎng)絡(luò)與主機(jī)。軟件開(kāi)發(fā)商長(zhǎng)期派駐（單位名稱）人員只能將電腦連接到指定網(wǎng)段內(nèi)進(jìn)行軟件開(kāi)發(fā)，不得私自撥號(hào)連接Interneto當(dāng)發(fā)生信息安全事件時(shí)，第三方人員必須服從（單位名稱）信息安全工作小組的統(tǒng)一指揮。第三方系統(tǒng)相關(guān)部門的負(fù)責(zé)人制定專人作為第三方公司和第三方人員的接口人，負(fù)責(zé)整理和更新《第三方工作備案表》，并且定期對(duì)第三方工作進(jìn)行考核；考核結(jié)果填寫在《第三方工作考核記錄表》中。第三方人員需要每周填寫《第三方工作匯報(bào)》對(duì)所第三方的系統(tǒng)進(jìn)行工作匯報(bào)，每周末下班前直接以電子文檔或文本形式遞交給相應(yīng)第三方系統(tǒng)的接口人。4.3.3工作場(chǎng)地管理第三方人員應(yīng)在（單位名稱）指定的工作場(chǎng)所工作，并保持工作場(chǎng)所的清潔、安全。第三方人員未經(jīng)（單位名稱）相關(guān)負(fù)責(zé)人的同意，不得進(jìn)入有特別權(quán)限規(guī)定的區(qū)域。4.3.4轉(zhuǎn)崗或離崗若第三方人員要轉(zhuǎn)崗或離崗，提交第三方人員轉(zhuǎn)崗或離崗申請(qǐng)書(shū)并由第三方公司主管簽署審核意見(jiàn)，（單位名稱）主管部門根據(jù)《（單位名稱）帳號(hào)、口令及權(quán)限管理規(guī)定》，完成轉(zhuǎn)崗或離崗第三方人員的帳號(hào)回收和安全審計(jì)等工作，并簽署轉(zhuǎn)崗或離崗申請(qǐng)意見(jiàn)。5附錄附錄1第三方人員信息安全保證書(shū)現(xiàn)有（下稱甲方）派遣員工 （下稱乙方），作為（單位名稱）的業(yè)務(wù)系統(tǒng)第三方人員，乙方鄭重向甲方和（單位名稱）作出如下承諾：恪守良好的職業(yè)道德，嚴(yán)格遵照（單位名稱）的相關(guān)規(guī)定進(jìn)行業(yè)務(wù)支撐系統(tǒng)的相關(guān)工作，做到誠(chéng)信和守法；嚴(yán)格遵守（單位名稱）關(guān)于信息管理、信息安全、信息持有等方面的規(guī)定；不得利用知悉工作過(guò)程中的設(shè)備口令、帳戶信息、任何加解密程序和軟件、加解密數(shù)據(jù)文件以及測(cè)試工作和軟件等在職期間或離職后為本人或第三方謀取利益。不利用職務(wù)上的便利或技能從事任何損害（單位名稱）及（單位名稱）客戶利益的行為。乙方除履行職務(wù)的需要外，未經(jīng)甲方事先書(shū)面同意，不得泄漏、傳播、公布、發(fā)布、傳授、轉(zhuǎn)讓或其他任何方式讓第三方（包括按照甲方保密規(guī)定無(wú)權(quán)知悉該秘密的甲方職員）知悉屬于甲方或雖屬他人但甲方承諾有保密義務(wù)的技術(shù)秘密和商業(yè)秘密，也不得在履行職務(wù)之外使用這些秘密信息。乙方在甲方任職期間因職務(wù)上的需要，乙方所持有或保管的一切記錄有甲方規(guī)定為秘密信息的文件、資料、圖表、筆記、報(bào)告、信件、傳真、磁帶、磁盤、儀器以及其他任何形式的載體，均歸甲方所有，無(wú)論這些秘密信息有無(wú)商業(yè)上的價(jià)值，乙方在離職離崗時(shí)，必須返還屬于甲方，不得將這些載體及其復(fù)制件擅自保留或嫁給其他任何人。甲方保密規(guī)章制度中未作規(guī)定或規(guī)定不明確之處，乙方亦應(yīng)本著謹(jǐn)慎和負(fù)責(zé)的態(tài)度，嚴(yán)格保守本人知悉的技術(shù)秘密和商業(yè)秘密。乙方確認(rèn)已充分知曉和理解本承諾，并正式做出以上承諾，保證嚴(yán)格遵守上述內(nèi)容。如果違背以上承諾，乙方愿意承擔(dān)全部法律責(zé)任。甲方單位代表簽名： 乙方簽名：甲方單位蓋章:乙方身份證號(hào)碼:甲方單位蓋章:時(shí)間： 年月日時(shí)間： 年月日附錄2第三方人員變更申請(qǐng)書(shū)基本信息姓名身份證號(hào)聯(lián)系電話單位職務(wù)申請(qǐng)類別到崗口 /離崗口 /其他口申請(qǐng)內(nèi)容申請(qǐng)人日期第三方公司審批

第三方公司主管審批意見(jiàn)：第三方公司主管：日期：（單位名稱）審批系統(tǒng)相關(guān)部門審批意見(jiàn)：主管：日期：信息中心審批意見(jiàn)：主管：日期：備注：附錄3第三方工作備案表11附錄4第三方工作匯報(bào)基本信息第三方人員第三方公司第三方系統(tǒng)名稱系統(tǒng)