外包安全協(xié)議書(shū)

外包安全協(xié)議書(shū)背景外包已成為現(xiàn)代企業(yè)獨(dú)立發(fā)展的重要手段之一。企業(yè)把一些非核心業(yè)務(wù)或某些資源外包給第三方，以便降低成本、提高效率。而在外包過(guò)程中，安全問(wèn)題也越來(lái)越受到企業(yè)的關(guān)注。目的本協(xié)議旨在保護(hù)企業(yè)的信息安全，防范第三方獲取企業(yè)敏感信息的風(fēng)險(xiǎn)，同時(shí)保障第三方正常開(kāi)展業(yè)務(wù)。只有在確定了第三方已經(jīng)具備一定的信息安全控制措施之后，企業(yè)才會(huì)委托其進(jìn)行業(yè)務(wù)外包。合作范圍雙方約定，本協(xié)議適用于所有涉及企業(yè)信息系統(tǒng)的業(yè)務(wù)外包服務(wù)。其中，信息系統(tǒng)包括但不限于硬件設(shè)施、軟件應(yīng)用、網(wǎng)絡(luò)設(shè)備、通信技術(shù)、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸?shù)?。第三方在提供業(yè)務(wù)外包服務(wù)時(shí)，必須與企業(yè)進(jìn)行協(xié)商，明確業(yè)務(wù)范圍、工作任務(wù)、時(shí)間節(jié)點(diǎn)等。安全保障措施企業(yè)和第三方在業(yè)務(wù)外包的過(guò)程中，必須充分考慮信息安全風(fēng)險(xiǎn)，并制定相應(yīng)的措施。雙方約定如下：1.信息安全管理體系第三方必須建立完善的信息安全管理體系，包括管理制度、安全培訓(xùn)、安全保密、責(zé)任制等方面，確保其提供的業(yè)務(wù)外包服務(wù)符合相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)和合同要求。企業(yè)有權(quán)對(duì)第三方的信息安全管理體系進(jìn)行審核。2.安全策略和方案第三方必須制定符合企業(yè)安全要求的安全策略和方案，包括但不限于網(wǎng)絡(luò)安全、系統(tǒng)安全、訪問(wèn)控制、數(shù)據(jù)加密、風(fēng)險(xiǎn)評(píng)估、事件管理等方面。企業(yè)有權(quán)參與安全策略和方案的制定并對(duì)實(shí)施過(guò)程進(jìn)行監(jiān)督。3.審計(jì)和監(jiān)控第三方必須具有信息安全審計(jì)和監(jiān)控能力，能夠及時(shí)發(fā)現(xiàn)和處理信息安全事件。同時(shí)，第三方還應(yīng)當(dāng)配備安全人員，并對(duì)其進(jìn)行培訓(xùn)和考核。企業(yè)有權(quán)對(duì)第三方的安全審計(jì)和監(jiān)控情況進(jìn)行隨時(shí)檢查。4.信息安全責(zé)任第三方必須明確信息安全的主管部門(mén)和責(zé)任人，對(duì)任何信息安全事件負(fù)主要責(zé)任。同時(shí)，企業(yè)也應(yīng)當(dāng)明確自身的職責(zé)，對(duì)第三方的信息安全工作給予必要的支持。5.數(shù)據(jù)備份和恢復(fù)第三方在進(jìn)行業(yè)務(wù)外包服務(wù)時(shí)，必須及時(shí)備份企業(yè)重要數(shù)據(jù)。備份數(shù)據(jù)必須存儲(chǔ)在安全的地方，并能夠及時(shí)恢復(fù)。企業(yè)有權(quán)對(duì)備份和恢復(fù)情況進(jìn)行檢查，并對(duì)備份數(shù)據(jù)進(jìn)行保密。風(fēng)險(xiǎn)防范和處理在業(yè)務(wù)外包服務(wù)過(guò)程中，第三方必須采取必要的預(yù)防措施，避免信息泄露、丟失、篡改等安全事件。如果出現(xiàn)安全事件，雙方必須及時(shí)采取補(bǔ)救措施，包括但不限于緊急處理、信息恢復(fù)、追責(zé)追賠等。如果第三方未能履行安全保障義務(wù)，給企業(yè)造成損失的，第三方應(yīng)當(dāng)負(fù)責(zé)賠償。其他條款本協(xié)議未約定的事項(xiàng)，雙方可根據(jù)實(shí)際情況協(xié)商具體處理。本協(xié)議內(nèi)容不得與企業(yè)現(xiàn)行政策、規(guī)定、標(biāo)準(zhǔn)相抵觸。本協(xié)議如有變更，需經(jīng)雙方協(xié)商一致并簽署書(shū)面協(xié)議。簽署本協(xié)議一式兩份，企業(yè)和第三方各執(zhí)一份。本協(xié)議于簽署之日起生效。如果第三方未能履行