企業(yè)信息安全建設(shè) 第三方服務(wù)商外包管理制度

第三方服務(wù)商管理制度第一條為了加強(qiáng)對(duì)第三方的安全管理，明確定義第三方必須遵守的安全管理規(guī)定以及服務(wù)交付的安全要求等，特制定本規(guī)定。第二條本規(guī)定適用于XXXXXXX局對(duì)第三方以及外包服務(wù)的安全管理。第三條本規(guī)定中的第三方是指所有進(jìn)入XXXXXXX局內(nèi)部提供相關(guān)技術(shù)服務(wù)的非XXXXXXX局人員(包括但不限于供應(yīng)商、合作廠商、服務(wù)商)。第四條第三方管理部門或人員一般為XXXXXXX局信息系統(tǒng)相關(guān)外包服務(wù)項(xiàng)目管理部門或人員，其職責(zé)：按照相關(guān)需求、政府采購規(guī)定以及XXXXXXX局的相關(guān)規(guī)定選擇聲譽(yù)良好、值得信賴的第三方服務(wù)商。按照權(quán)限最小的原則，負(fù)責(zé)第三方權(quán)限的申請(qǐng)工作。負(fù)責(zé)對(duì)第三方的信息安全培訓(xùn)以及第三方人員現(xiàn)場(chǎng)工作的管理。負(fù)責(zé)在協(xié)議或合同談判階段，與第三方簽訂保密協(xié)議以及確定服務(wù)安全的要求。根據(jù)合同或服務(wù)協(xié)議對(duì)第三方服務(wù)交付進(jìn)行管理，保證服務(wù)交付質(zhì)量。第五條第三方選擇基本要求：準(zhǔn)確理解需求原則：第三方必須對(duì)XXXXXXX局信息系統(tǒng)外包服務(wù)的需求有深刻的理解，凡不能準(zhǔn)確理解需求或與需求相背者不予選擇。技術(shù)能力：要求第三方具備所需的技術(shù)能力、工作經(jīng)驗(yàn)和專業(yè)知識(shí)，或者能夠合理地預(yù)期第三方最終會(huì)得到這些技術(shù)能力、工作經(jīng)驗(yàn)和專業(yè)知識(shí)。管理水平：第三方是否已經(jīng)具備，或者能夠合理地預(yù)期第三方最終能夠開發(fā)出項(xiàng)目所需資源的管理能力。財(cái)務(wù)能力：第三方是否已經(jīng)具備，或能否合理地預(yù)期第三方能夠具備項(xiàng)目所需的財(cái)力資源和財(cái)務(wù)能力。服務(wù)能力：第三方是否具備或能否合理地預(yù)期第三方能夠具備項(xiàng)目所需的兌現(xiàn)服務(wù)承諾的能力。第六條資質(zhì)要求：按國(guó)家、行業(yè)和我局明確規(guī)定的服務(wù)資質(zhì)要求考查第三方，如規(guī)定缺失，則根據(jù)項(xiàng)目實(shí)際要求確定第三方資質(zhì)要求。按服務(wù)項(xiàng)目專業(yè)要求設(shè)定關(guān)鍵技術(shù)人員和管理人員的資質(zhì)要求和具備相應(yīng)資質(zhì)的人員數(shù)量要求。第七條第三方需要對(duì)敏感的信息資產(chǎn)進(jìn)行訪問時(shí)，要簽訂保密協(xié)議或正式的合同，合同中有關(guān)的安全要求符合XXXXXXX局信息系統(tǒng)總體安全策略。第八條與第三方簽署的合同中要至少考慮如下因素：合同雙方各自的相關(guān)責(zé)任；明確對(duì)第三方的保密要求；明確保護(hù)信息資產(chǎn)的內(nèi)容和條款；明確描述服務(wù)內(nèi)容和服務(wù)標(biāo)準(zhǔn)；人員的安全要求；符合相關(guān)國(guó)家和地區(qū)的法律、法規(guī)要求；明確對(duì)知識(shí)產(chǎn)權(quán)的歸屬及保護(hù)；必須聲明XXXXXXX局所擁有的權(quán)力，包括：監(jiān)督、限制第三方活動(dòng)的權(quán)力；對(duì)合同權(quán)責(zé)進(jìn)行監(jiān)理或指定第三方監(jiān)理的權(quán)力；軟、硬件安裝和維護(hù)方面的責(zé)任；清晰具體的變更控制流程；用于安全事故和安全違規(guī)事件的報(bào)告、通知和調(diào)查程序。第九條服務(wù)質(zhì)量要求：第三方必須依據(jù)合同或獨(dú)立的服務(wù)協(xié)議中的關(guān)鍵指標(biāo)提供服務(wù)；在服務(wù)提供期間，XXXXXXX局信息系統(tǒng)項(xiàng)目管理部門或人員應(yīng)該經(jīng)常對(duì)第三方的人員資質(zhì)進(jìn)行確認(rèn)，保證服務(wù)期間服務(wù)人員的穩(wěn)定性；根據(jù)項(xiàng)目要求事先制定對(duì)第三方服務(wù)的評(píng)價(jià)指標(biāo)和測(cè)量體系，以確保第三方服務(wù)提供的質(zhì)量。第十條服務(wù)的改進(jìn)：第三方在服務(wù)提供過程中，發(fā)現(xiàn)與服務(wù)的需求有較大差距時(shí)，雙方必須對(duì)服務(wù)進(jìn)行評(píng)估，如果是未達(dá)到服務(wù)合同或服務(wù)協(xié)議的要求，則責(zé)成第三方對(duì)服務(wù)進(jìn)行改進(jìn)；如果第三方服務(wù)達(dá)到合同或服務(wù)協(xié)議的要求，但是還是不能滿足服務(wù)的要求，則雙方可以協(xié)商對(duì)合同或服務(wù)協(xié)議進(jìn)行變更，提高關(guān)鍵指標(biāo)以適應(yīng)服務(wù)的要求。第十一條第三方必須按合同中規(guī)定的保密條款對(duì)服務(wù)過程中接觸到的任何信息和數(shù)據(jù)進(jìn)行保密。第十二條第三方在服務(wù)過程中必須保證數(shù)據(jù)的完整性和可用性，如果對(duì)數(shù)據(jù)的完整性和可用性會(huì)造成影響，必須事先申明，并取得相關(guān)部門的批準(zhǔn)，才可以實(shí)施相關(guān)的操作。第十三條如因業(yè)務(wù)需要向第三方提供含有XXXXXXX局保密信息的文件、資料或?qū)嵨飼r(shí)，應(yīng)當(dāng)獲得相應(yīng)的批準(zhǔn)或授權(quán)，并與第三方簽訂特別保密協(xié)議后提供，提供時(shí)應(yīng)開具清單請(qǐng)第三方簽收。第十四條對(duì)第三方的工作人員因業(yè)務(wù)需要須在XXXXXXX局進(jìn)行工作時(shí)，應(yīng)與其簽訂個(gè)人保密協(xié)議，明確保密制度,如需接觸或查閱內(nèi)部文件的，必須經(jīng)過相關(guān)部門負(fù)責(zé)人簽字批準(zhǔn)，并由其本人填寫查閱記錄。第十五條服務(wù)項(xiàng)目范圍變更：如果合同執(zhí)行中，發(fā)現(xiàn)第三方的服務(wù)能力不能滿足服務(wù)外包的需求，經(jīng)雙方協(xié)商，一般要求更換服務(wù)提供商。如果合同執(zhí)行中，發(fā)現(xiàn)服務(wù)需求的范圍超過了合同里所約定的服務(wù)范圍，而這些需求與合同所規(guī)定的服務(wù)范圍是相同的系統(tǒng)或設(shè)備，并且正好是第三方的服務(wù)能力范圍之內(nèi)，可以通過協(xié)商變更服務(wù)合同，增加服務(wù)范圍。服務(wù)項(xiàng)目變更必須經(jīng)過所屬項(xiàng)目管理及采購部門的審批。第十六條服務(wù)提供商變更：在對(duì)第三方考評(píng)不合格時(shí)，給以書面的形式要求第三方提高服務(wù)質(zhì)量，并明確指出服務(wù)質(zhì)量存在的具體問題和改進(jìn)辦法；如果第三方服務(wù)能力不能滿足服務(wù)要求，并造成系統(tǒng)運(yùn)行不良影響時(shí)，可以考慮對(duì)服務(wù)提供商進(jìn)行變更，以保證信息系統(tǒng)的正常穩(wěn)定運(yùn)行。第十七條人員出入：第三方人員進(jìn)入XXXXXXX局各種場(chǎng)合禁止攜帶易燃、易爆物品，并在門衛(wèi)處接受檢查；第三方人員進(jìn)入XXXXXXX局時(shí)，必須在門衛(wèi)處出示有效證件，按門衛(wèi)或接待處的要求登記相關(guān)信息；臨時(shí)來訪第三方出入關(guān)鍵信息場(chǎng)所必須由接待人全程陪同，告知有關(guān)安全管理規(guī)定，不得任其自行走動(dòng)和未經(jīng)允許使用XXXXXXX局信息設(shè)備；出入關(guān)鍵場(chǎng)所的臨時(shí)第三方人員離開XXXXXXX局時(shí)應(yīng)由接待人陪送，接待人應(yīng)在登記表上簽名，并簽署離開時(shí)間；接待人在無法陪送的情況下應(yīng)委托本部門其他人陪送；第三方人員進(jìn)出機(jī)房等重要區(qū)域時(shí)，必須遵守該區(qū)域的進(jìn)出管理規(guī)定；非臨時(shí)第三方人員工作完成后，由所屬項(xiàng)目管理部門或人員對(duì)第三方人員的工作進(jìn)行安全檢查和安全評(píng)估后方可離場(chǎng)。第十八條設(shè)備攜入攜出：1)第三方人員攜帶設(shè)備(如筆記本電腦、計(jì)算機(jī)及配件、網(wǎng)絡(luò)設(shè)備等)進(jìn)入，必須進(jìn)行登記；攜帶設(shè)備離開，必須經(jīng)過按照事先登記的內(nèi)容進(jìn)行檢查；2)第三方人員攜帶的維修配件必須在進(jìn)入維修區(qū)域前向接待人員出示，并登記；第三方人員將維修設(shè)備的損壞配件攜出XXXXXXX局信息系統(tǒng)的運(yùn)行場(chǎng)所時(shí)，必須與我局的相關(guān)管理人員說明情況并在維護(hù)記錄中登記；第三方人員將好的配件換入維修設(shè)備時(shí)，必須向我局的相關(guān)管理人員說明情況，并在維修記錄中記錄。第十九條辦公場(chǎng)所：1)業(yè)務(wù)洽談和技術(shù)交流應(yīng)當(dāng)在接待室、會(huì)議室或培訓(xùn)教室內(nèi)進(jìn)行，招標(biāo)、談判等正式洽談和重大項(xiàng)目的會(huì)談應(yīng)當(dāng)在專門的會(huì)議室進(jìn)行，不得在辦公室內(nèi)進(jìn)行；2)必須指定非臨時(shí)第三方人員的辦公區(qū)域，只允許第三方人員在指定區(qū)域范圍內(nèi)進(jìn)行業(yè)務(wù)活動(dòng)。第二十條一般規(guī)定：1)第三方人員不得越權(quán)使用信息系統(tǒng)的任何功能；2)第三方人員不得私自拷貝信息系統(tǒng)中的任何數(shù)據(jù)和程序；第三方人員將信息系統(tǒng)的軟硬件攜入與攜出信息系統(tǒng)的運(yùn)行場(chǎng)所必須遵守相關(guān)的管理規(guī)定；第三方人員不得私自將含有密鑰的設(shè)備(或配件)攜出信息系統(tǒng)的運(yùn)行場(chǎng)所；第三方人員使用信息系統(tǒng)的操作記錄應(yīng)進(jìn)行登記(附件一、第三方人員操作記錄表)；未經(jīng)允許，第三方不得使用信息系統(tǒng)。第二十一條賬號(hào)控制：1)第三方人員使用信息系統(tǒng)必須遵守信息系統(tǒng)使用的賬號(hào)管理規(guī)定；2)第三方人員必須保證信息系統(tǒng)賬號(hào)的安全，不能泄露給無關(guān)的第三方；第三方人員在工作人員變動(dòng)時(shí)，必須向項(xiàng)目管理部門或人員報(bào)告，由安全管理員對(duì)賬號(hào)進(jìn)行安全處理。第二十二條密碼控制：1)第三方人員必須保證密碼不泄露，當(dāng)不慎泄露密碼時(shí)，應(yīng)立即通知我局相關(guān)管理人員；2)服務(wù)提供的密碼由信息系統(tǒng)相關(guān)管理員定期更換，更換后信息系統(tǒng)相關(guān)管理人員向第三方人員通知密碼。第二十三條為了保證本文件的時(shí)效性、可用性，必須根據(jù)相關(guān)審核規(guī)定進(jìn)行評(píng)審和修訂，修訂后重新發(fā)布。第二十四條本規(guī)定由局信息中心負(fù)責(zé)制定、解釋和修改。自發(fā)布之日起執(zhí)行。

附件1：外聯(lián)單位聯(lián)系列表單位類型單位名稱合作內(nèi)容聯(lián)系人聯(lián)系方式公安機(jī)關(guān)電信單位兄弟單位供應(yīng)商業(yè)界專豕安全單位/安全組織

附件2：第三方人員操作記錄操作人員所屬我局操作事由操作設(shè)備名操作內(nèi)容陪同人員附件3：第三方服務(wù)商保密協(xié)議甲方： 地址：郵編：電話：乙方： 地址：郵編：電話：為了保護(hù)甲乙雙方在商業(yè)和技術(shù)合作中涉及的專有信息（如本協(xié)議第一款所定義的內(nèi)容），經(jīng)友好協(xié)商，甲乙雙方簽訂如下協(xié)議：1.定義：專有信息的定義：本協(xié)議所稱的“專有信息”是指所有涉密信息、商業(yè)秘密、技術(shù)秘密、通信或與該產(chǎn)品相關(guān)的其他信息，無論是書面的、口頭的、圖形的、電磁的或其它任何形式的信息，包括（但不限于）數(shù)據(jù)、模型、樣品、草案、技術(shù)、方法、儀器設(shè)備和其它信息，上述信息必須以如下形式確定：對(duì)于書面的或其它有形的信息，在交付接收方時(shí)必須標(biāo)明專有或秘密，并注明專有信息屬于甲方或乙方。對(duì)于口頭信息，在透露給接收方前必須聲明是專有信息，進(jìn)行書面記錄，并注明專有信息屬于甲方或乙方?！敖邮辗健保罕緟f(xié)議所稱的“接收方”是指接收專有信息的一方?！巴嘎斗健保罕緟f(xié)議所稱的“透露方”是指透露專有信息的一方。2.權(quán)利保證：“透露方”保證其向“接受方”透露的專有信息不侵犯任何第三方的知識(shí)產(chǎn)權(quán)及其它權(quán)益。3.保密義務(wù)：“接收方”同意嚴(yán)格控制“透露方”所透露的專有信息，保護(hù)的程度不能低于“接收方”保護(hù)自己的專有信息。但無論如何，“接收方”對(duì)該專有信息的保護(hù)程度不能低于一個(gè)管理良好的技術(shù)企業(yè)保護(hù)自己的專有信息的保護(hù)程度?！敖邮辗健北ＷC采取所有必要的方法對(duì)“透露方”提供的專有信息進(jìn)行保密，包括（但不限于）執(zhí)行和堅(jiān)持令人滿意的作業(yè)程序來避免非授權(quán)透露、使用或復(fù)制專有信息?！敖邮辗健北ＷC不向任何第三方透露本協(xié)議的存在或本協(xié)議的任何內(nèi)容。4.使用方式和不使用的義務(wù)：4.1“接收方”同意如下內(nèi)容：“透露方”所透露的信息只能被“接收方”用于評(píng)價(jià)產(chǎn)品商業(yè)開發(fā)的可能性；不能將“透露方”所透露的專有信息用于其它任何目的；除“接收方”的高級(jí)職員和直接參與本項(xiàng)工作的普通職員之外，不能將專有信息透露給其它任何人；無論如何，不能將此專有信息的全部或部分進(jìn)行復(fù)制或仿造；“接收方”應(yīng)當(dāng)告知并以適當(dāng)方式要求其參與本項(xiàng)工作之雇員遵守本協(xié)議規(guī)定，若參與本項(xiàng)工作之雇員違反本協(xié)議規(guī)定，“接收方”應(yīng)承擔(dān)連帶責(zé)任。5.例外情況：“接收方”保密和不使用的義務(wù)不適用于下列專有信息：有書面材料證明，“透露方”在未附加保密義務(wù)的情況下公開透露的信息；有書面材料證明，在未進(jìn)行任何透露之前，“接收方”在未受任何限制的情況下已經(jīng)擁有的專有信息；有書面材料證明，該專有信息已經(jīng)被“接收方”之外的他方公開；有書面材料證明，“接收方”通過合法手段從第三方在未受到任何限制的情況下獲得該專有信息。6.專有信息的交回：當(dāng)“透露方”以書面形式要求“接收方”交回專有信息時(shí)，“接收方”應(yīng)當(dāng)立即交回所有書面的或其他有形的專有信息以及所有描述和概括該專有信息的文件。沒有“透露方”的書面許可，“接收方”處分任何書面的或其他有形的專有信息。7.否認(rèn)許可：除非“透露方”明確地授權(quán)，“接收方”不能認(rèn)為“透露方”授予其包含該專有信息的任何專利權(quán)、專利申請(qǐng)權(quán)、商標(biāo)權(quán)、著作權(quán)、商業(yè)秘密或其它的知識(shí)產(chǎn)權(quán)。8.救濟(jì)方法：雙方承認(rèn)并同意如下內(nèi)容：“透露方”透露的專有信息是有價(jià)值的商業(yè)秘密；遵守本協(xié)議的條款和條件對(duì)于保護(hù)專有信息的秘密是有必要的；所有違約對(duì)該專有信息進(jìn)行未被授權(quán)的透露或使用將對(duì)“透露方”造成不可挽如果發(fā)生“接收方”違約，雙方同意如下內(nèi)容：“接收方”應(yīng)當(dāng)按照“透露方”的指示采取有效的方法對(duì)該專有信息進(jìn)行保密，所需費(fèi)用由“接收方”承擔(dān)；9.保密期限：自本協(xié)議生效之日起，雙方的合作交流都要符合本協(xié)議的條款。除非“透露方”通過書面通知明確說明本協(xié)議所涉及的某項(xiàng)專有信息可以不用保密，接收方必須按照本協(xié)議所承擔(dān)的保密義務(wù)對(duì)在結(jié)束協(xié)議前收到的專有信息進(jìn)行保密，保密期限不受本協(xié)議有效期限的限制。10.適用法律：本協(xié)議受中華人民共和國(guó)法律管轄，并在所有方面依其進(jìn)行解釋。11.爭(zhēng)