準(zhǔn)格爾旗中心醫(yī)院

16/16準(zhǔn)格爾旗中心醫(yī)院外部網(wǎng)絡(luò)接入和遠(yuǎn)程運維服務(wù)管理辦法總則為了加強、規(guī)范第三方外部網(wǎng)絡(luò)接入和提供遠(yuǎn)程運維服務(wù)的管理，保障醫(yī)院網(wǎng)絡(luò)系統(tǒng)和業(yè)務(wù)使用安全，防止醫(yī)院業(yè)務(wù)數(shù)據(jù)和保密信息泄露。依據(jù)《網(wǎng)絡(luò)安全法》等政策法規(guī)，按照網(wǎng)絡(luò)安全等級保護制度和醫(yī)院信息安全體系管理規(guī)章，結(jié)合網(wǎng)絡(luò)安全風(fēng)險趨勢和醫(yī)院內(nèi)部網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)的使用現(xiàn)狀，特制定本辦法?？傮w原則依據(jù)網(wǎng)絡(luò)安全等級保護制度，按照醫(yī)院在公安部門備案的網(wǎng)絡(luò)安全保護等級（三級）要求，設(shè)計第三方外部網(wǎng)絡(luò)接入和提供遠(yuǎn)程運維服務(wù)的安全策略、防護手段和管理措施。在保障醫(yī)院網(wǎng)絡(luò)系統(tǒng)安全的同時，明確第三方的責(zé)任與義務(wù)，完善醫(yī)院內(nèi)部和對第三方的安全管理，防止出現(xiàn)違規(guī)的運維需求和服務(wù)行為，防止泄露和竊取醫(yī)院信息，防止對醫(yī)院網(wǎng)絡(luò)系統(tǒng)和業(yè)務(wù)使用造成影響。除非可以明確和完全排除風(fēng)險，不管風(fēng)險大小和出現(xiàn)幾率的高低，對第三方通過外部網(wǎng)絡(luò)接入提供遠(yuǎn)程運維服務(wù)的每一環(huán)節(jié)都采取必要的防護手段和應(yīng)對措施。嚴(yán)格控制第三方通過外部網(wǎng)絡(luò)接入提供的運維服務(wù)，嚴(yán)格控制通過外部網(wǎng)絡(luò)接入提供運維服務(wù)的第三方服務(wù)人員。嚴(yán)格管理、控制和審計外部網(wǎng)絡(luò)接入的過程及行為，嚴(yán)格管理、控制和審計運維服務(wù)的過程及行為。禁止不符合本辦法的業(yè)務(wù)系統(tǒng)接入醫(yī)院內(nèi)部網(wǎng)絡(luò)，禁止不符合本辦法的第三方使用醫(yī)院內(nèi)部網(wǎng)絡(luò)系統(tǒng)，禁止不符合本辦法的外部網(wǎng)絡(luò)接入和遠(yuǎn)程運維服務(wù)。對拒不配合、拒不履行和違反本辦法的第三方、第三方人員及醫(yī)院內(nèi)部的部門、人員，進行嚴(yán)厲處罰和責(zé)任追究。適用范圍本辦法適用于醫(yī)院按照有關(guān)規(guī)定采購的業(yè)務(wù)系統(tǒng)，在醫(yī)院端部署和使用的有法律法規(guī)依據(jù)的合作項目和政府機關(guān)、行業(yè)管理部門規(guī)定使用的業(yè)務(wù)系統(tǒng)客戶端，以其它形式獲取和使用的有法律法規(guī)依據(jù)的業(yè)務(wù)系統(tǒng)，以及由信息管理科負(fù)責(zé)建設(shè)、管理和維護的其它網(wǎng)絡(luò)系統(tǒng)。信息管理科負(fù)責(zé)建設(shè)、管理和維護的業(yè)務(wù)及網(wǎng)絡(luò)系統(tǒng)售后服務(wù)項目。承建業(yè)務(wù)系統(tǒng)建設(shè)的第三方，提供業(yè)務(wù)系統(tǒng)售后服務(wù)的第三方，以及由信息管理科負(fù)責(zé)建設(shè)、管理和維護的其它網(wǎng)絡(luò)系統(tǒng)的建設(shè)與服務(wù)方。業(yè)務(wù)及網(wǎng)絡(luò)系統(tǒng)的采購、使用和資產(chǎn)管理部門，以及醫(yī)院內(nèi)部與業(yè)務(wù)系統(tǒng)、信息資產(chǎn)和第三方有關(guān)的部門及人員。非信息管理科負(fù)責(zé)建設(shè)、管理和維護的醫(yī)療、消防、安保等專業(yè)設(shè)施及其專用網(wǎng)絡(luò)、自帶業(yè)務(wù)系統(tǒng)，不屬于本辦法規(guī)定的內(nèi)部網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)，由相應(yīng)的管理部門按照相應(yīng)的行業(yè)管理政策、院部下發(fā)的其它行政文書進行管理。外部網(wǎng)絡(luò)接入和遠(yuǎn)程運維服務(wù)的流程保障第三方通過外部網(wǎng)絡(luò)接入，提供遠(yuǎn)程運維服務(wù)的基本流程符合醫(yī)院在公安部門備案的網(wǎng)絡(luò)安全保護等級（三級）要求?；ヂ?lián)網(wǎng)—>VPN—>堡壘機—>預(yù)置的運維應(yīng)用（推薦使用聯(lián)通公司提供互網(wǎng)絡(luò)接入VPN）在網(wǎng)絡(luò)邊界部署VPN安全接入設(shè)施，第三方從外部接入醫(yī)院內(nèi)部網(wǎng)絡(luò)，首先建立虛擬專用網(wǎng)絡(luò)通道。外部網(wǎng)絡(luò)接入全部引入VPN設(shè)施，確保外部網(wǎng)絡(luò)接入和通訊的安全性。醫(yī)院向第三方開放一定數(shù)量VPN賬戶，并設(shè)置初始密碼，第三方首次登錄VPN時強制修改初始密碼，確保醫(yī)院開放的VPN賬戶密碼由第三方自己掌握。保障經(jīng)醫(yī)院授權(quán)的第三方和經(jīng)第三方安排的服務(wù)人員才能從公用網(wǎng)絡(luò)接入醫(yī)院內(nèi)部網(wǎng)絡(luò)，防止出現(xiàn)違規(guī)行為時第三方抵賴。VPN賬戶綁定第三方指定手機號碼，登錄時進行短信驗證。強制第三方安排專人管理VPN賬戶及其使用的同時，確保經(jīng)第三方安排的人員才能從公用網(wǎng)絡(luò)接入醫(yī)院內(nèi)部網(wǎng)絡(luò)。建立起虛擬專用網(wǎng)絡(luò)通道之后，將外部網(wǎng)絡(luò)接入引入堡壘機，通過堡壘機預(yù)置第三方提供服務(wù)需要使用的功能，并審計運維服務(wù)過程。針對業(yè)務(wù)系統(tǒng)和提供服務(wù)的第三方，在堡壘機中預(yù)置相應(yīng)的運維功能，第三方使用堡壘機預(yù)置的運維功能及權(quán)限提供服務(wù)。強制第三方使用受到管控的運維功能及權(quán)限的同時，保障能夠完整錄制第三方提供運維服務(wù)的過程。向第三方開放單一堡壘機賬戶，強制經(jīng)過雙因子認(rèn)證系統(tǒng)的驗證才能登錄。醫(yī)院設(shè)置堡壘機賬戶對應(yīng)的雙因子認(rèn)證系統(tǒng)初始密碼，第三方通過專門的流程修改雙因子認(rèn)證系統(tǒng)初始密碼后才能登錄堡壘機。第三方服務(wù)人員使用“對應(yīng)于堡壘機賬戶的雙因子認(rèn)證系統(tǒng)使用密碼”加上“由信息管理科從雙因子認(rèn)證系統(tǒng)產(chǎn)生的動態(tài)認(rèn)證碼”登錄堡壘機。通過雙因子認(rèn)證系統(tǒng)，將登錄堡壘機的密碼分離為兩部分，由醫(yī)院和授權(quán)的第三方組合掌握。強制經(jīng)信息管理科許可和第三方安排，第三方人員才能提供服務(wù)，同時也確保信息管理科、其它方和非第三方安排的內(nèi)部人員，均無法使用醫(yī)院向第三方開放的堡壘機賬戶。嚴(yán)格管理和控制堡壘機中預(yù)置的運維功能，嚴(yán)格管理和控制向第三方開放的權(quán)限使用，嚴(yán)格管理和控制運維服務(wù)對業(yè)務(wù)數(shù)據(jù)庫的操作行為。經(jīng)提供服務(wù)的第三方申請和信息管理科審查、審批，在配套堡壘機使用的前置機上，針對提供服務(wù)的業(yè)務(wù)系統(tǒng)，為第三方預(yù)置基礎(chǔ)的運維功能和權(quán)限。通過專用啟動器、殺毒軟件進程管理、Windows組策略及堡壘機等安全設(shè)施，強制第三方服務(wù)人員使用堡壘機中預(yù)置的運維應(yīng)用程序，限制通過預(yù)置應(yīng)用的內(nèi)置功能二次調(diào)用配套前置機上的其它應(yīng)用。經(jīng)第三方申請和信息管理科審查、審批，向第三方開放業(yè)務(wù)應(yīng)用程序賬戶和應(yīng)用層面的數(shù)據(jù)庫賬戶，并通過數(shù)據(jù)庫安全及運維管理設(shè)施，實施限制查詢行數(shù)，脫敏重要和敏感數(shù)據(jù)，執(zhí)行增刪改操作需要經(jīng)過信息管理科審批等細(xì)粒度管控。信息管理科安排專人跟蹤第三方提供的服務(wù)，監(jiān)控第三對業(yè)務(wù)數(shù)據(jù)庫的運維操作，審計安全及運維管理設(shè)施中產(chǎn)生的日志及審計信息。出現(xiàn)網(wǎng)絡(luò)安全事件和其它必要的情形時，委托安全保障服務(wù)商協(xié)助信息管理科，或獨立對第三方提供的運維服務(wù)進行安全審計和監(jiān)管。外部網(wǎng)絡(luò)接入和遠(yuǎn)程運維服務(wù)的管理第三方向醫(yī)院申請外部網(wǎng)絡(luò)接入和遠(yuǎn)程運維服務(wù)，醫(yī)院向第三方開放外部網(wǎng)絡(luò)接入和遠(yuǎn)程運維服務(wù)環(huán)境，必須同時滿足下列條件。否則，信息管理科有權(quán)依據(jù)本辦法做出必要的響應(yīng)，醫(yī)院有權(quán)依據(jù)本辦法對提供服務(wù)的第三方進行處罰。第三方外部網(wǎng)絡(luò)接入和運維服務(wù)具有符合有關(guān)規(guī)定的合同依據(jù)，政府機關(guān)、行業(yè)管理部門下發(fā)的行政文書支撐，或持有本辦法附件《保護醫(yī)院信息資產(chǎn)安全、保障項目建設(shè)及服務(wù)安全承諾書》規(guī)定的授權(quán)委托。向醫(yī)院提供服務(wù)的第三方符合本辦法的規(guī)定，第三方提供運維服務(wù)的業(yè)務(wù)系統(tǒng)符合本辦法的規(guī)定。外部網(wǎng)絡(luò)接入和提供遠(yuǎn)程運維服務(wù)的第三方，與醫(yī)院簽訂了本辦法附件規(guī)定的《保護醫(yī)院信息資產(chǎn)安全、保障項目建設(shè)及服務(wù)安全承諾書》。經(jīng)信息管理科評估和認(rèn)定，第三方內(nèi)部建立起與醫(yī)院在公安部門備案的網(wǎng)絡(luò)安全保護等級（三級）要求相匹配的，由醫(yī)院、第三方共同使用和管理的服務(wù)受理系統(tǒng)，可以完整處理需求登記、需求評估，服務(wù)安排、服務(wù)追蹤、服務(wù)反饋，能夠全面實施質(zhì)量控制、風(fēng)險管理、查詢統(tǒng)計等。在開通外部網(wǎng)絡(luò)接入和遠(yuǎn)程運維服務(wù)環(huán)境之前，第三方提供服務(wù)的相關(guān)人員，向信息管理科申請外部網(wǎng)絡(luò)遠(yuǎn)程運維服務(wù)需要使用的基礎(chǔ)功能及權(quán)限，信息管理科按照本辦法的規(guī)定進行審查、審批，并實施功能及權(quán)限開放。在提供運維服務(wù)過程中，若第三方需要使用其它運維應(yīng)用及服務(wù)權(quán)限時，可以由第三方負(fù)責(zé)醫(yī)院項目的有關(guān)人員，以書面或郵件的形式向信息管理科另行申請。在外部網(wǎng)絡(luò)接入和遠(yuǎn)程運維服務(wù)環(huán)境正式啟用后的一周之內(nèi)，第三方以公函的形式補交外部網(wǎng)絡(luò)接入和遠(yuǎn)程運維服務(wù)環(huán)境的使用申請，由信息管理科備案。若第三方未能在規(guī)定的時間內(nèi)向醫(yī)院補充提交公函形式的申請，信息管理科有權(quán)依據(jù)本辦法做出必要的響應(yīng)，醫(yī)院有權(quán)依據(jù)本辦法對提供服務(wù)的第三方進行處罰。提供服務(wù)的第三方應(yīng)依據(jù)信息技術(shù)服務(wù)國標(biāo)、等級保護制度等行業(yè)管理規(guī)范與標(biāo)準(zhǔn)，按照與醫(yī)院簽訂的項目建設(shè)及運維服務(wù)合同，建立符合等級保護制度的運維服務(wù)管理體系、運維服務(wù)質(zhì)量保障體系和運維服務(wù)風(fēng)險控制體系。嚴(yán)格按照法律法規(guī)的規(guī)定向醫(yī)院提供產(chǎn)品及服務(wù)，嚴(yán)格按照項目建設(shè)及服務(wù)合同、本辦法及其附件安全承諾書的規(guī)定提供服務(wù)，嚴(yán)格管理醫(yī)院開放的外部網(wǎng)絡(luò)接入和運維服務(wù)帳戶及其使用，嚴(yán)格管理醫(yī)院提供的運維服務(wù)環(huán)境的使用，嚴(yán)格管理提供服務(wù)過程中接觸到的醫(yī)院信息，嚴(yán)格管理為醫(yī)院提供服務(wù)的人員。醫(yī)院有權(quán)要求提供運維服務(wù)的第三方，出示“運維服務(wù)管理體系、運維服務(wù)質(zhì)量保障體系和運維服務(wù)風(fēng)險控制體系”證明材料，若第三方不能出示，或出示的相關(guān)管理制度無法滿足醫(yī)院使用需求，不能保障醫(yī)院網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)使用及數(shù)據(jù)安全，信息管理科有權(quán)依據(jù)本辦法做出必要的響應(yīng)，醫(yī)院有權(quán)依據(jù)本辦法對提供服務(wù)的第三方進行處罰。通過數(shù)據(jù)庫安全管理及運維設(shè)施，對第三方提供運維服務(wù)執(zhí)行的風(fēng)險、敏感等數(shù)據(jù)庫操作實施細(xì)粒度管控。經(jīng)信息管理科審查、審批，向第三方開放專門用于業(yè)務(wù)系統(tǒng)運維的應(yīng)用程序賬戶和對應(yīng)的業(yè)務(wù)數(shù)據(jù)庫管理賬戶。限制向第三方開放的業(yè)務(wù)系統(tǒng)應(yīng)用及業(yè)務(wù)數(shù)據(jù)庫賬戶、權(quán)限的使用范圍，限制數(shù)據(jù)庫管理工具等運維應(yīng)用的種類。嚴(yán)密管理向第三方開放的業(yè)務(wù)系統(tǒng)應(yīng)用及數(shù)據(jù)庫運維賬戶，嚴(yán)格管理、控制和審計第三方使用運維賬戶產(chǎn)生的數(shù)據(jù)庫操作行為。為提供運維服務(wù)的第三方創(chuàng)建專門的數(shù)據(jù)庫運維帳戶，全面審計其產(chǎn)生的數(shù)據(jù)庫操作行為。攔截或阻斷增加、刪除、修改等高風(fēng)險操作，阻斷敏感、可疑、非法命令。第三方需要執(zhí)行時，可向信息管理科另行申請。限定查詢操作行數(shù)。第三方需要執(zhí)行超限查詢時，可向信息管理科另行申請。向第三方開放數(shù)據(jù)庫安全運維平臺，用于提交高風(fēng)險及敏感性操作申請。在出現(xiàn)網(wǎng)絡(luò)安全事件、危害行為等必要情形時，信息管理科有權(quán)將安全防護設(shè)施中留存的日志、審計信息作為證據(jù)，直接上報公安部門的網(wǎng)絡(luò)安全保衛(wèi)大隊進行處理。第三方提出的風(fēng)險、敏感性數(shù)據(jù)庫運維操作申請，由信息管理科審批。信息管理科進行的審批，僅限于在業(yè)務(wù)使用、合同（協(xié)議）依據(jù)、等級保護制度和管理規(guī)章等管理層面上的合規(guī)性評估、審查。申請理由的真實性，數(shù)據(jù)庫操作行為本身在技術(shù)層面上的管理及其產(chǎn)生的影響、風(fēng)險，均由第三方負(fù)責(zé)和承擔(dān)。信息管理科負(fù)責(zé)審批的事項評估、審查第三方申請執(zhí)行的高風(fēng)險和敏感性數(shù)據(jù)庫操作，是否超出運維服務(wù)范圍及其在技術(shù)管理上的合規(guī)性。評估、審查第三方申請執(zhí)行的高風(fēng)險和敏感性數(shù)據(jù)庫操作，是否可能引發(fā)風(fēng)險及其在業(yè)務(wù)管理上的合規(guī)性。評估、審查第三方申請執(zhí)行的高風(fēng)險和敏感性數(shù)據(jù)庫操作的理由及行為，是否為合同、管理規(guī)章和本辦法禁止的，以及在等級保護制度上的合規(guī)性。由第三方負(fù)責(zé)和承擔(dān)的內(nèi)容第三方服務(wù)人員申請執(zhí)行高風(fēng)險、敏感性的數(shù)據(jù)庫操作理由及其真實性，在技術(shù)層面上的合理性、可行性、必要性等，以及操作行為本身帶來的影響、風(fēng)險，均由第三方評估、審查和審批。提供運維服務(wù)的第三方人員所執(zhí)行數(shù)據(jù)庫操作帶來的影響、風(fēng)險等，均由第三方負(fù)責(zé)和承擔(dān)。外部網(wǎng)絡(luò)接入VPN設(shè)施綁定的由第三方給定手機號碼的持有人，為第三方管理醫(yī)院開放外部網(wǎng)絡(luò)接入賬戶、醫(yī)院提供第三方使用的遠(yuǎn)程運維服務(wù)環(huán)境的責(zé)任人，承擔(dān)如下管理義務(wù)。防止醫(yī)院向第三方開放的外部網(wǎng)絡(luò)接入和運維賬戶、使用權(quán)限，以及醫(yī)院提供第三方使用的遠(yuǎn)程運維服務(wù)環(huán)境，被非授權(quán)人員使用或非法利用；防止第三方內(nèi)部人員在提供運維服務(wù)過程中接觸到的醫(yī)院信息，被非授權(quán)使用、非法使用或泄露；防止提供運維服務(wù)的第三方內(nèi)部人員，在提供服務(wù)過程中產(chǎn)生錯誤、惡意等危害性操作；防止向醫(yī)院提供服務(wù)的在線運維服務(wù)環(huán)境，被無關(guān)人員使用或不法分子利用；防止第三方內(nèi)部參與運維的其它人員，產(chǎn)生不符合本辦法規(guī)定的行為；防止提供服務(wù)和參與運維的第三方人員，對提供服務(wù)的業(yè)務(wù)系統(tǒng)和醫(yī)院網(wǎng)絡(luò)環(huán)境產(chǎn)生其它損害。第三方在提供運維服務(wù)過程中接觸到的醫(yī)院信息，只能用于處理醫(yī)院提出的當(dāng)次運維服務(wù)需求。禁止提供服務(wù)的第三方人員以復(fù)制、導(dǎo)出、拍照或截圖等形式，將提供運維服務(wù)過程中接觸到的醫(yī)院信息轉(zhuǎn)出至醫(yī)院提供第三方使用的運維服務(wù)環(huán)境之外。特殊情況下，第三方需要將醫(yī)院有關(guān)信息帶離至醫(yī)院提供第三方使用的遠(yuǎn)程運維服務(wù)環(huán)境之外進行后續(xù)處理，應(yīng)嚴(yán)格按照如下要求辦理。否則，信息管理科有權(quán)依據(jù)本辦法做出必要的響應(yīng)，醫(yī)院有權(quán)依據(jù)本辦法對提供服務(wù)的第三方進行處罰。出現(xiàn)需要帶離醫(yī)院有關(guān)信息進行后續(xù)處理的情形時，第三方首先向信息管理科提出申請。經(jīng)信息管理科審查和審批同意后，第三方方可將包含醫(yī)院信息的副本帶離醫(yī)院提供第三方使用的遠(yuǎn)程運維服務(wù)環(huán)境。經(jīng)信息管理科審查，如果第三方申請帶離的醫(yī)院信息包含保密信息，第三方應(yīng)通過醫(yī)院的釘釘服務(wù)窗提交申請，說明帶離信息的內(nèi)容及數(shù)量、用途及使用范圍、保護方式及措施等。經(jīng)院部審批同意后，在第三方與醫(yī)院簽訂保密協(xié)議后，由信息管理科重新獲取并進行脫敏處理后，以加密的方式提供給第三方。帶離醫(yī)院信息副本的第三方人員，為第三方管理醫(yī)院信息的責(zé)任人，承擔(dān)保護第三方所獲取醫(yī)院信息安全和保密的義務(wù)。同時，在第三方完成帶離信息的后續(xù)任務(wù)之后，按照符合等級保護要求的剩余信息處理方式進行銷毀，并及時通知信息管理科。如果帶離的醫(yī)院信息副本包含保密信息，第三方在處理完成后續(xù)任務(wù)之后，向醫(yī)院提出申請。在信息管理科或醫(yī)院委托的安全保障服務(wù)商監(jiān)督下，按照符合等級保護要求的剩余信息處理方式，銷毀包含醫(yī)院保密信息的醫(yī)院信息副本。在醫(yī)院未公開之前，第三方承擔(dān)所帶離醫(yī)院保密信息的永久保密義務(wù)。未在醫(yī)院監(jiān)督下銷毀之前，第三方承擔(dān)所帶離非醫(yī)院保密信息的保密義務(wù)。如果第三方完成帶離信息的后續(xù)任務(wù)之后，未向醫(yī)院提出申請或未在醫(yī)院監(jiān)督下銷毀所帶離的包含醫(yī)院保密信息的副本，則在第三方不能舉證為醫(yī)院或其它方責(zé)任的情況下，承擔(dān)醫(yī)院保密信息泄露的責(zé)任。若未按照本辦法規(guī)定銷毀所帶離的非醫(yī)院保密信息，視為第三方將所帶離的醫(yī)院信息副本用于向醫(yī)院提供服務(wù)之外的其它用途。嚴(yán)格禁止如下不屬于運維服務(wù)范疇，屬于第三方現(xiàn)場服務(wù)義務(wù)，關(guān)鍵或重要的后臺管理，不能明確和完全排除風(fēng)險，無法進行完整審計，以及其它違反法律法規(guī)、不符合等級保護要求、違背業(yè)務(wù)管理規(guī)范等外部網(wǎng)絡(luò)接入和遠(yuǎn)程運維需求。未投入生產(chǎn)環(huán)境使用的在建業(yè)務(wù)系統(tǒng)的需求調(diào)研、產(chǎn)品安裝、功能調(diào)試、使用培訓(xùn)，以及其它屬于第三方現(xiàn)場服務(wù)義務(wù)的項目實施工作。已經(jīng)投入生產(chǎn)環(huán)境使用，但未達到驗收條件或驗收不合格項目的使用需求整改、業(yè)務(wù)功能完善等維護工作。項目建設(shè)及售后服務(wù)合同規(guī)定的第三方提供駐場服務(wù)期間的項目建設(shè)及維護工作。需要使用操作系統(tǒng)、數(shù)據(jù)庫軟件等特權(quán)用戶，對業(yè)務(wù)系統(tǒng)服務(wù)器設(shè)施進行高風(fēng)險、敏感性初始化操作，以及數(shù)據(jù)遷移、支撐系統(tǒng)升級和相關(guān)硬件的升級改造。使用代碼或開發(fā)工具進行的業(yè)務(wù)系統(tǒng)組件、互聯(lián)互通接口等研發(fā)調(diào)試，以及統(tǒng)計報表制作調(diào)試等屬于研發(fā)性質(zhì)的工作。未提供包括安全測試在內(nèi)的規(guī)范性測試報告的，在用業(yè)務(wù)系統(tǒng)組件變更和業(yè)務(wù)系統(tǒng)互聯(lián)互通接口部署工作。未提供包括安全測試在內(nèi)的規(guī)范性測試報告的，影響主體、窗口業(yè)務(wù)和引發(fā)業(yè)務(wù)系統(tǒng)功能產(chǎn)生重大變更的業(yè)務(wù)系統(tǒng)升級改造工作。未向信息管理科申請備案，或經(jīng)信息管理科審查存在風(fēng)險、威脅，無法完整審計運維過程，以及影響和結(jié)果得不到有效控制的需求。未與醫(yī)院簽訂本辦法附件《保護醫(yī)院信息資產(chǎn)安全、保障項目建設(shè)及服務(wù)安全承諾書》的第三方，對承建或提供服務(wù)業(yè)務(wù)系統(tǒng)進行的維護工作。出現(xiàn)本辦法附件《保護醫(yī)院信息資產(chǎn)安全、保障項目建設(shè)及服務(wù)安全承諾書》規(guī)定的，禁止第三方以外部網(wǎng)絡(luò)接入方式提供運維服務(wù)的情形。其它違反法律法規(guī)、違背等級保護制度、不符合醫(yī)院管理規(guī)章的外部網(wǎng)絡(luò)接入和遠(yuǎn)程運維服務(wù)需求。信息管理科為管理外部網(wǎng)絡(luò)接入和第三方提供業(yè)務(wù)系統(tǒng)運維服務(wù)的管理部門，有權(quán)代表醫(yī)院行使如下職能。依據(jù)合同及本辦法，信息技術(shù)服務(wù)國標(biāo)、網(wǎng)絡(luò)安全等級保護制度、業(yè)務(wù)管理規(guī)范、行業(yè)管理標(biāo)準(zhǔn)等政策依據(jù)，以及政府機關(guān)有關(guān)管理規(guī)定和醫(yī)院規(guī)章，對提供產(chǎn)品及服務(wù)的第三方、第三方提供的產(chǎn)品及服務(wù)進行管理與考核，必要時有權(quán)向第三方提出整改要求或下達產(chǎn)品及服務(wù)整改通知書。依據(jù)等級保護制度、醫(yī)院信息安全體系規(guī)章和本辦法的規(guī)定，有權(quán)對引發(fā)網(wǎng)絡(luò)安全事件、存在產(chǎn)品及服務(wù)風(fēng)險的第三方進行處罰和責(zé)任追究。有權(quán)拒絕、制止違反合同及本辦法，違背信息技術(shù)服務(wù)國標(biāo)、網(wǎng)絡(luò)安全等級保護制度、業(yè)務(wù)管理規(guī)范、行業(yè)管理標(biāo)準(zhǔn)等政策依據(jù)，以及不符合政府機關(guān)有關(guān)管理規(guī)定和醫(yī)院規(guī)章的服務(wù)需求及行為。依據(jù)業(yè)務(wù)系統(tǒng)使用現(xiàn)狀、網(wǎng)絡(luò)安全風(fēng)險趨勢、第三方提供的服務(wù)及政策性變更，有權(quán)調(diào)整本辦法規(guī)定的網(wǎng)絡(luò)安全防護手段與管理措施，有權(quán)向醫(yī)院內(nèi)部和第三方提出風(fēng)險預(yù)警或下達安全整改通知書。出現(xiàn)技術(shù)能力不足和其它必要情形時，有權(quán)委托具有相關(guān)資質(zhì)的安全保障服務(wù)商，參與網(wǎng)絡(luò)安全管理或進行網(wǎng)絡(luò)安全事件處置。第三方向醫(yī)院提交了通過外部網(wǎng)絡(luò)接入提供遠(yuǎn)程運維服務(wù)需要使用的功能及權(quán)限，即視為第三方愿意接受本辦法的管理，愿意承擔(dān)管理和使用醫(yī)院提供第三方使用的遠(yuǎn)程運維服務(wù)環(huán)境的義務(wù)與責(zé)任。第三方向醫(yī)院提供了VPN賬戶綁定的用于接入醫(yī)院內(nèi)部網(wǎng)絡(luò)進行身份驗證的第三方人員手機號碼，即視為第三方安排了該手機號碼的持有人，為第三方管理“醫(yī)院向第三方開放的外部網(wǎng)絡(luò)接入及運維帳戶、醫(yī)院提供第三方使用的遠(yuǎn)程運維環(huán)境”的責(zé)任人。違規(guī)處罰及責(zé)任追究醫(yī)院嚴(yán)格按照合同及本辦法，信息技術(shù)服務(wù)國標(biāo)、網(wǎng)絡(luò)安全等級保護制度、業(yè)務(wù)管理規(guī)范、行業(yè)管理標(biāo)準(zhǔn)等政策依據(jù)，以及政府機關(guān)有關(guān)管理規(guī)定和醫(yī)院規(guī)章，對提供產(chǎn)品及服務(wù)的第三方，第三方提供的產(chǎn)品及服務(wù)進行管理、考核。視違規(guī)行為對醫(yī)院、使用公眾和關(guān)聯(lián)其它方造成的影響與損害，第三方做出的整改響應(yīng)，同時結(jié)合第三方提供的整體服務(wù)，醫(yī)院有權(quán)對提供產(chǎn)品及服務(wù)的第三方采取如下之一或疊加形式的處罰。延期支付或扣除當(dāng)期合同的后續(xù)款項；延期支付或扣除后續(xù)合同的款項；追加當(dāng)期或后續(xù)合同的免費售后服務(wù)；追加當(dāng)期或后續(xù)合同的免費駐場服務(wù)；將當(dāng)期或后續(xù)合同的售后服務(wù)全部調(diào)整為免費現(xiàn)場服務(wù)；將服務(wù)需求受理人調(diào)整為主要負(fù)責(zé)人，或現(xiàn)場服務(wù)追加主要負(fù)責(zé)人陪同進場；以第三方違規(guī)行為對醫(yī)院、使用公眾和關(guān)聯(lián)其它方造成的損害事實為依據(jù)，直接追究第三方的責(zé)任。以安全管理設(shè)施中捕捉到第三方違規(guī)行為的操作記錄、運行日志、審計信息等為依據(jù)，按照網(wǎng)絡(luò)安全事件上報當(dāng)?shù)毓膊块T的網(wǎng)絡(luò)安全保衛(wèi)大隊進行處理；以提供產(chǎn)品及服務(wù)的第三方未盡到網(wǎng)絡(luò)安全法規(guī)定的網(wǎng)絡(luò)安全保障義務(wù)，不能保障業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全，影響或危害醫(yī)院網(wǎng)絡(luò)系統(tǒng)使用為由，上報當(dāng)?shù)毓膊块T的網(wǎng)絡(luò)安全保衛(wèi)大隊進行處理；以第三方提供的產(chǎn)品及服務(wù)不符合醫(yī)院在公安部門備案的網(wǎng)絡(luò)安全保護等級（三級）要求，對醫(yī)院網(wǎng)絡(luò)系統(tǒng)產(chǎn)生威脅或損害為由，上報當(dāng)?shù)毓膊块T的網(wǎng)絡(luò)安全保衛(wèi)大隊進行處理；委托具有等級保護測評和電子數(shù)據(jù)類司法鑒定資質(zhì)的機構(gòu)，對第三方出現(xiàn)的違規(guī)情節(jié)進行司法鑒定，通過法律途徑解決。直接或通過法律途徑向第三方追繳已經(jīng)支付的合同款項。醫(yī)院保留采取其它進一步措施的權(quán)利。對于頻繁違規(guī)、不服從信息管理科管理或刻意逃避醫(yī)院監(jiān)管的第三方，醫(yī)院將約談提供產(chǎn)品及服務(wù)的第三方主要負(fù)責(zé)人，并加重對第三方的處罰。附則第三方提供的現(xiàn)場運維服務(wù)，原則上禁止第三方人員直接使用醫(yī)院的內(nèi)部網(wǎng)絡(luò)。提供服務(wù)的第三方人員需要使用內(nèi)部網(wǎng)絡(luò)時，應(yīng)首先征得信息管理科同意，否則視為第三方人員以非授權(quán)的形式使用了醫(yī)院內(nèi)部網(wǎng)絡(luò)，信息管理科有權(quán)參照本辦法，以未經(jīng)醫(yī)院同意擅自獲取醫(yī)院保密信息論處。部分第三方已經(jīng)簽訂的舊版安全承諾書《第三方保護醫(yī)院信息資產(chǎn)安全承諾書》為《準(zhǔn)格爾旗中心醫(yī)院第三方訪問控制管理辦法》的附件，已經(jīng)按照《準(zhǔn)格爾旗中心醫(yī)院信息安全策略與制度管理辦法》的規(guī)定修訂作廢，向醫(yī)院提供服務(wù)的第三方重新或補充簽訂本辦法附件規(guī)定的，新版安全承諾書《保護醫(yī)院信息資產(chǎn)安全、保障項目建設(shè)及服務(wù)安全承諾書》。自本辦法下發(fā)之日起，信息管理科逐步按照本辦法對第三方提供的服務(wù)實施管理，若第三方不予配合或拒絕按照本辦法提供運維服務(wù)，信息管理科有權(quán)暫停向第三方提供配合并切斷第三方的遠(yuǎn)程運維通道，并報院部處理。自信息管理科以醫(yī)院公函的形式，向提供服務(wù)的第三方發(fā)出紙質(zhì)或郵件通知，并電話告知第三方負(fù)責(zé)醫(yī)院運維服務(wù)的負(fù)責(zé)人后，本辦法對第三方的約束開始生效。從本辦法下發(fā)之日起，本辦法自動成為：符合本辦法的業(yè)務(wù)系統(tǒng)招標(biāo)項目的招標(biāo)要求；新簽、續(xù)簽第三方提供運維服務(wù)合同（協(xié)議）的附件；信息管理科以醫(yī)院公函形式向醫(yī)院提供運維服務(wù)的第三方發(fā)出通知后，為還在合同期內(nèi)的第三方提供服務(wù)合同（協(xié)議）的配套管理辦法，等同于合同（協(xié)議）附件；信息管理科以醫(yī)院公函形式向醫(yī)院提供運維服務(wù)的第三方發(fā)出通知后，為暫未簽訂合同的第三方提供運維服務(wù)必須遵守和具有法律效力的服務(wù)要求。本辦法每年定期檢閱一次，如因監(jiān)管法規(guī)有重大變更或醫(yī)院的基礎(chǔ)、全局性安全策略進行了調(diào)整，也可以即時檢閱，但任何變更均需經(jīng)相關(guān)部門審閱，以保證其符合外部環(huán)境、相關(guān)法律法規(guī)、內(nèi)控制度和院部有關(guān)規(guī)定的要求。本辦法由信息安全管理部門制訂，并負(fù)責(zé)解釋和修訂。由信息安全領(lǐng)導(dǎo)小組審批，院部發(fā)布。本辦法自下發(fā)之日起執(zhí)行。

附件保護醫(yī)院信息資產(chǎn)安全、保障項目建設(shè)及服務(wù)安全承諾書本承諾書為《準(zhǔn)格爾旗中心醫(yī)院第三方訪問控制管理辦法》附件，依據(jù)《網(wǎng)絡(luò)安全法》及其規(guī)定實行的網(wǎng)絡(luò)安全等級保護制度，按照醫(yī)院有關(guān)的行業(yè)管理政策、招標(biāo)投標(biāo)有關(guān)的法律法規(guī)、《信息技術(shù)服務(wù)》等國家標(biāo)準(zhǔn)、醫(yī)院信息安全管理體系規(guī)章、適用于第三方和信息化的醫(yī)院管理制度，同時結(jié)合醫(yī)院現(xiàn)狀、信息化建設(shè)與服務(wù)的特點制定。本承諾書適用于準(zhǔn)格爾旗中心醫(yī)院所有信息化建設(shè)、服務(wù)項目及與在用業(yè)務(wù)信息系統(tǒng)有關(guān)的其它項目，適用于承建準(zhǔn)格爾旗中心醫(yī)院信息化建設(shè)、服務(wù)項目及與在用業(yè)務(wù)系統(tǒng)有關(guān)其它項目的所有承建廠商。適用范圍適用于本承諾書的第三方：（簽訂合同或協(xié)議的法人主體）；（簽訂合同或協(xié)議法人主體委托的提供所承建項目服務(wù)的法人主體）。本承諾書針對的甲方信息化建設(shè)及服務(wù)項目：合同或協(xié)議規(guī)定的甲方項目（一）：。合同或協(xié)議規(guī)定的甲方項目（二）：。在本承諾書生效之后，若雙方有了新的合作項目，則自動添加為本承諾書針對的項目，雙方不再另行簽訂保護醫(yī)院信息資產(chǎn)安全、保障所承建項目建設(shè)及服務(wù)安全的承諾書。若乙方向甲方額外提供了所承建項目之外且與所承建項目有關(guān)的其它產(chǎn)品或服務(wù)，無論雙方以何種方式合作，均統(tǒng)一納入乙方所承建項目一并管理。除非雙方另行簽訂了變更或廢止協(xié)議，本承諾書在所針對項目包含產(chǎn)品、服務(wù)的使用生命期內(nèi)均長期有效。乙方的承諾乙方承諾按照如下要求，管理所承建項目的工作計劃及安排。在展開所承建項目實質(zhì)性工作前，即在乙方項目負(fù)責(zé)人首次進場后，及時向甲方出具由項目負(fù)責(zé)人簽字確認(rèn)的所承建項目工作計劃及安排。工作計劃及安排至少包含：依據(jù)所承建項目合同及招標(biāo)文件（協(xié)議）的階段性工作安排，各階段主要工作及需要甲方配合的事項，各階段預(yù)期需要的時間等。根據(jù)項目建設(shè)實際進度，乙方可以對工作計劃及安排進行適當(dāng)調(diào)整，但需征得甲方項目管理部門同意，且不能違背所承建項目合同及招標(biāo)文件（協(xié)議）規(guī)定的建設(shè)目標(biāo)、建設(shè)標(biāo)準(zhǔn)、建設(shè)進度等。若乙方未提交工作計劃及安排，或工作計劃及安排不符合所承建項目合同及招標(biāo)文件（協(xié)議），或未按照本承諾書規(guī)定出具工作計劃及安排，甲方項目管理和信息安全管理部門有權(quán)拒絕向乙方提供所承建項目的配合工作。甲方項目管理和信息安全管理部門有權(quán)對乙方的工作計劃及安排管理進行考核，并做出必要的響應(yīng)。乙方承諾按照如下要求，對所承建項目實施安全保障管理。依據(jù)所承建項目招標(biāo)文件及合同（協(xié)議）、網(wǎng)絡(luò)安全等級保護制度、信息技術(shù)服務(wù)等國家標(biāo)準(zhǔn)，建立能夠保護甲方信息資產(chǎn)安全、保障所提供項目產(chǎn)品及服務(wù)安全的內(nèi)部管理體系，建立能夠控制項目風(fēng)險、能夠保障項目建設(shè)質(zhì)量、能夠保障服務(wù)質(zhì)量的質(zhì)量保障與風(fēng)險控制體系。乙方項目負(fù)責(zé)人有義務(wù)向甲方出示：乙方保護甲方信息資產(chǎn)安全、保障所提供項目產(chǎn)品及服務(wù)安全有關(guān)的內(nèi)部管理制度，所承建項目的質(zhì)量保障與風(fēng)險控制體系，以及對所承建項目進行管理的管理記錄。乙方有義務(wù)對所承建項目管理的制度缺失進行整改，對所承建項目有關(guān)的管理制度落實不力進行整改。乙方有義務(wù)對所承建項目質(zhì)量保障與風(fēng)險控制體系的缺失進行整改，對所承建項目質(zhì)量保障與風(fēng)險控制體系的管理不力進行整改。定期對所有為甲方提供服務(wù)的人員進行保護甲方信息資產(chǎn)安全，遵守甲方信息安全管理體系規(guī)章及適用于第三方、信息化的管理制度，服從甲方項目建設(shè)及服務(wù)安排，履行所承建項目合同及招標(biāo)文件（協(xié)議），履行本承諾書，保護人身安全和管理隨身攜帶物品安全，所承建項目質(zhì)量保障與風(fēng)險控制管理等的安全管理教育。乙方安全責(zé)任人有義務(wù)向甲方出示：乙方保護甲方信息資產(chǎn)安全、保障所提供項目產(chǎn)品及服務(wù)安全有關(guān)的安全教育記錄，對所承建項目進行安全及風(fēng)險管理的記錄。乙方有義務(wù)對安全管理教育缺失進行整改，對所承建項目的安全與風(fēng)險管理缺失進行整改。需要委托非乙方的其它第三方人員為甲方提供服務(wù)時，乙方需向甲方提出申請。經(jīng)甲方審查同意后，乙方與受托人簽訂能夠保障項目建設(shè)安全、保護甲方信息資產(chǎn)和保密信息安全的協(xié)議后，非乙方人員方可進場為甲方服務(wù)。未獲得甲方項目管理和信息安全管理部門書面許可，乙方不得擅自委托其它第三方人員提供所承建項目服務(wù)。對為甲方提供現(xiàn)場服務(wù)、遠(yuǎn)程服務(wù)和辦理商務(wù)手續(xù)的人員出具授權(quán)委托書。提供現(xiàn)場服務(wù)的乙方人員持授權(quán)委托書入場，經(jīng)甲方確認(rèn)身份的乙方人員方可提供所承建項目有關(guān)的遠(yuǎn)程服務(wù)，辦理商務(wù)手續(xù)的乙方人員持授權(quán)委托書辦理所承建項目有關(guān)的商務(wù)手續(xù)。按照甲方的授權(quán)和要求，運輸、維護包含甲方重要數(shù)據(jù)的設(shè)備、配件和介質(zhì)等硬件設(shè)施，使用、管理包含甲方知識產(chǎn)權(quán)和保密信息的業(yè)務(wù)數(shù)據(jù)、軟件及其它信息資源。甲方項目管理和信息安全管理部門有權(quán)對乙方的安全保障管理進行考核，并做出必要的響應(yīng)。乙方承諾按照如下要求，管理所承建項目的服務(wù)及人員安排。依據(jù)所承建項目合同及招標(biāo)文件（協(xié)議），甲方使用與服務(wù)需求，安排、管理所承建項目的服務(wù)及人員。向提供所承建項目現(xiàn)場服務(wù)、遠(yuǎn)程服務(wù)和辦理商務(wù)事宜的乙方人員出具授權(quán)委托書。甲方項目管理部門有權(quán)拒絕未獲相應(yīng)授權(quán)的乙方人員提供現(xiàn)場及遠(yuǎn)程服務(wù)，有權(quán)拒絕不能驗證身份的乙方人員提供現(xiàn)場及遠(yuǎn)程服務(wù)，有權(quán)拒絕未獲相應(yīng)授權(quán)的乙方人員辦理所承建項目商務(wù)手續(xù)。授權(quán)委托書至少包含如下內(nèi)容，并符合如下要求：固定不變的所承建項目的項目負(fù)責(zé)人、安全責(zé)任人出具要求：需包含項目負(fù)責(zé)人、安全責(zé)任人的具體工作職責(zé)。項目負(fù)責(zé)人與安全責(zé)任人不能為同一人。項目負(fù)責(zé)人、安全責(zé)任人需為服務(wù)人員名單中的人員。若項目負(fù)責(zé)人或安全責(zé)任人出現(xiàn)變更，需征得甲方同意并重新出具授權(quán)委托書。若未按照要求出具項目負(fù)責(zé)人和安全責(zé)任人，則視乙方出具的授權(quán)委托書整體無效。相對固定的所承建項目服務(wù)人員名單出具要求：需包含可以驗證身份的標(biāo)識信息。需包含項目負(fù)責(zé)人、安全責(zé)任人在內(nèi)。服務(wù)人員需為乙方簽訂所承建項目合同法人主體的人員，或乙方簽訂所承建項目合同法人主體授權(quán)委托提供項目實施和服務(wù)法人主體的人員。保持服務(wù)人員名單動態(tài)更新，并在變更后的3個工作日內(nèi)通知甲方。若服務(wù)人員名單中的人員出現(xiàn)變更，需重新出具授權(quán)委托書。若未按照要求出具服務(wù)人員名單，則視乙方出具的授權(quán)委托書整體無效。服務(wù)人員提供所承建項目服務(wù)的服務(wù)內(nèi)容出具要求：需按照服務(wù)人員名單中的人員出具。若服務(wù)人員名單中服務(wù)人員提供的服務(wù)內(nèi)容出現(xiàn)變更，需重新出具授權(quán)委托書。需完整包含所承建項目的所有服務(wù)內(nèi)容。不能出具所承建項目無關(guān)的服務(wù)內(nèi)容。若未按照要求出具服務(wù)人員提供服務(wù)的服務(wù)內(nèi)容，則視乙方出具的授權(quán)委托書整體無效。服務(wù)人員提供所承建項目服務(wù)的服務(wù)方式出具要求：服務(wù)方式包括現(xiàn)場、遠(yuǎn)程、電話、社交工具及郵件等。需按照服務(wù)人員名單中的人員出具。若服務(wù)人員名單中服務(wù)人員提供服務(wù)的服務(wù)方式出現(xiàn)變更，需重新出具授權(quán)委托書。若未按照要求出具服務(wù)人員提供服務(wù)的服務(wù)方式，則視乙方出具的授權(quán)委托書整體無效。服務(wù)人員提供所承建項目服務(wù)的服務(wù)期限出具要求：需按照服務(wù)人員名單中的人員出具?？梢园凑諉未畏?wù)或時間段進行授權(quán)。若未出具服務(wù)人員提供服務(wù)的服務(wù)期限或服務(wù)期限不明確的，則按照單次服務(wù)授權(quán)對待。單次服務(wù)需按照每人次出具授權(quán)。乙方不安排以下人員向甲方提供服務(wù)，同時甲方也有權(quán)拒絕如下人員為甲方提供服務(wù)。授權(quán)委托書服務(wù)人員名單之外的人員；不符合本承諾書規(guī)定的授權(quán)委托書出具的服務(wù)人員名單中的人員；未征得甲方同意或未在甲方項目管理部門備案的非乙方人員；發(fā)生過所承建項目安全風(fēng)險事件的乙方人員；出現(xiàn)過違反甲方適用于第三方和信息化項目管理制度的乙方人員；出現(xiàn)不聽從甲方工作安排，或因所提供服務(wù)與甲方業(yè)務(wù)部門、使用人員產(chǎn)生爭吵及其它過激行為的乙方人員；存在精神病患傾向、溝通障礙或言行過激行為，發(fā)生過自身人身及隨身攜帶物品安全事件的乙方人員；出現(xiàn)其它不符合所承建項目合同及招標(biāo)文件（協(xié)議），或違反本承諾書及法律法規(guī)的乙方人員。如果乙方提供的產(chǎn)品包含有非醫(yī)院購買形式獲取的合作項目產(chǎn)品，乙方應(yīng)首先與醫(yī)院簽訂合作項目產(chǎn)品運營協(xié)議，并安排專人提供合作項目產(chǎn)品的運營服務(wù)。乙方提供運營服務(wù)的人員持本承諾書規(guī)定的授權(quán)委托書向醫(yī)院索取證明材料，到醫(yī)院所在地公安部門開具無犯罪記錄證明。醫(yī)院拒絕乙方安排的有犯罪記錄人員提供合作項目產(chǎn)品的運營服務(wù)。如果不是由乙方簽訂所承建項目合同（協(xié)議）的法人主體為甲方提供項目實施和服務(wù)，實施如下專項管理。若為甲方提供項目實施和服務(wù)的法人主體與乙方簽訂所承建項目合同（協(xié)議）的法人主體為利害關(guān)系人，則：經(jīng)甲方確認(rèn)簽訂合同、提供實施和服務(wù)的法人主體存在利害人關(guān)系后，由乙方簽訂所承建項目合同（協(xié)議）的法人主體，以公函形式向提供項目實施和服務(wù)的法人主體出具授權(quán)委托，提供項目實施和服務(wù)的法人主體持授權(quán)委托公函為甲方提供服務(wù)。提供項目實施和服務(wù)的法人主體依據(jù)授權(quán)委托公函，按照項目合同及招標(biāo)文件（協(xié)議）的規(guī)定，為甲方提供項目實施和服務(wù)。乙方簽訂所承建項目合同的法人主體依據(jù)所承建項目合同及招標(biāo)文件（協(xié)議）出具授權(quán)委托公函，承擔(dān)提供項目實施和服務(wù)的法人主體對甲方造成損害的責(zé)任。甲方依據(jù)和按照乙方所承建項目合同及招標(biāo)文件（協(xié)議），管理乙方所承建甲方項目，管理乙方簽訂所承建項目合同的法人主體；甲方依據(jù)授權(quán)委托公函，按照乙方所承建項目合同及招標(biāo)文件（協(xié)議），管理提供項目實施和服務(wù)的法人主體。授權(quán)委托公函至少包含如下內(nèi)容，且在甲方主要負(fù)責(zé)人簽字并加蓋公章后方可生效。委托與受托法人主體之間的利害人關(guān)系；委托人授權(quán)委托的具體事項，受托人受托的具體事項；委托和受托人擁有的權(quán)利、應(yīng)盡的義務(wù)和承擔(dān)的責(zé)任；主要負(fù)責(zé)人簽字并加蓋公章的委托人，主要負(fù)責(zé)人簽字并加蓋公章的受托人。若為甲方提供項目實施和服務(wù)的法人主體與乙方簽訂所承建項目合同（協(xié)議）的法人主體不是利害關(guān)系人，則：首先，由乙方簽訂所承建項目合同（協(xié)議）的法人主體向甲方提出申請。經(jīng)甲方審查和同意后，乙方、甲方、提供乙方所承建項目實施和服務(wù)的法人主體以三方協(xié)議的形式約定各方的權(quán)利、義務(wù)與責(zé)任。待三方協(xié)議生效后，提供項目實施和服務(wù)的法人主體方可向甲方提供服務(wù)。無論簽訂合同（協(xié)議）、提供項目實施和服務(wù)的法人主體是否為利害關(guān)系人，只能由一個法人主體為甲方提供服務(wù)，同時乙方簽訂所承建項目合同（協(xié)議）的法人主體承擔(dān)提供項目實施和服務(wù)的法人主體對所承建項目造成損害的責(zé)任，承擔(dān)對甲方造成損害的責(zé)任。當(dāng)出現(xiàn)嚴(yán)重違反乙方所承建項目合同及招標(biāo)文件（協(xié)議）的情形時，甲方項目管理部門有權(quán)要求乙方簽訂所承建項目合同的法人主體更換提供所承建項目實施和服務(wù)的法人主體，甲方有權(quán)要求提供項目實施和服務(wù)的法人主體更換為甲方服務(wù)的人員，乙方簽訂所承建項目合同的法人主體、乙方提供所承建項目實施和服務(wù)的法人主體有義務(wù)安排部門負(fù)責(zé)人或主要負(fù)責(zé)人駐場監(jiān)管項目建設(shè)及服務(wù)工作。甲方項目管理和信息安全管理部門有權(quán)對乙方的服務(wù)及人員安排管理進行考核，并做出必要的響應(yīng)。乙方承諾按照如下要求，管理服務(wù)過程中被動接觸到和授權(quán)掌握的保密信息。未經(jīng)甲方項目管理部門和信息安全管理部門書面許可，乙方不得擅自復(fù)制甲方業(yè)務(wù)數(shù)據(jù)、紙質(zhì)資料等保密信息資源，乙方不得擅自使用所承建項目無關(guān)的甲方業(yè)務(wù)數(shù)據(jù)、紙質(zhì)資料等保密信息資源，乙方不得擅自向其它第三方泄露甲方業(yè)務(wù)數(shù)據(jù)、紙質(zhì)資料等保密信息資源。乙方妥善保管提供服務(wù)過程中被動接觸到和授權(quán)掌握的甲方業(yè)務(wù)數(shù)據(jù)、紙質(zhì)資料等保密信息資源。當(dāng)次服務(wù)或使用結(jié)束后，及時退還甲方授權(quán)使用的任何包含甲方知識產(chǎn)權(quán)、保密內(nèi)容的紙質(zhì)資料等。當(dāng)次服務(wù)或使用結(jié)束后，及時向甲方提出申請，并在甲方信息安全管理部門或甲方委托的等級保護測評機構(gòu)監(jiān)督下，按照符合等級保護要求的剩余信息處理方式，銷毀授權(quán)乙方掌握的甲方電子形式業(yè)務(wù)數(shù)據(jù)等保密信息資源。在甲方或有關(guān)其它第三方未公開之前，乙方承擔(dān)提供服務(wù)過程中被動接觸到和授權(quán)掌握的甲方或有關(guān)其它第三方保密信息承擔(dān)永久保密義務(wù)，不得擅自泄露給其他第三方，不得擅自用于乙方目的、損害甲方或有關(guān)其它第三方利益或及法違規(guī)的其它用途。甲方項目管理或信息安全管理部門有權(quán)對乙方的保密信息管理進行考核，并做出必要的響應(yīng)。乙方承諾按照如下要求，管理提供所承建項目的現(xiàn)場服務(wù)及人員。提供現(xiàn)場服務(wù)的人員，遵守乙方所承建項目合同及招標(biāo)文件（協(xié)議），遵守甲方信息安全體系管理規(guī)章，遵守甲方適用于第三方、信息化的管理制度，服從甲方對所承建項目的管理，遵守法律法規(guī)。需要進入甲方信息中心機房、信息科辦公室隔離區(qū)等安全管理區(qū)域時，乙方安全責(zé)任人需向甲方信息安全管理部門提出申請，在獲得甲方許可并辦理備案登記后，乙方人員方可進入甲方安全管理區(qū)域。未獲得甲方信息安全管理部門的授權(quán)和陪同，乙方人員不得擅自進入或在甲方安全管理區(qū)域內(nèi)單獨滯留。提供現(xiàn)場服務(wù)的乙方人員不得擅自隱瞞所承建項目有關(guān)的安全事件及潛在風(fēng)險，同時也有義務(wù)及時向甲方信息安全管理部門報告所遇到的一切安全事件或潛在風(fēng)險。提供現(xiàn)場服務(wù)的乙方人員嚴(yán)格按照甲方項目管理和信息安全管理部門的授權(quán)，使用甲方網(wǎng)絡(luò)環(huán)境及其配套設(shè)施。未經(jīng)甲方項目管理和信息安全管理部門許可，嚴(yán)禁乙方人員將非甲方提供的設(shè)施接入甲方生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)和測試網(wǎng)絡(luò)，嚴(yán)禁乙方人員擅自使用所承建項目無關(guān)的甲方信息資產(chǎn)，嚴(yán)禁乙方人員擅自使用未經(jīng)授權(quán)使用的甲方信息資產(chǎn)，嚴(yán)禁乙方人員擅自變更所承建項目的產(chǎn)品或服務(wù)，嚴(yán)禁乙方人員擅自變更所承建項目核心產(chǎn)品的核心配置，嚴(yán)禁乙方人員擅自移動、開合、拔插甲方網(wǎng)絡(luò)線路或電源線路、開關(guān)、插頭等。乙方現(xiàn)場服務(wù)人員嚴(yán)格按照甲方對第三方的管理制度和項目管理部門要求，使用甲方提供的網(wǎng)絡(luò)環(huán)境和工作場所。乙方服務(wù)人員進入甲方現(xiàn)場后，在身體顯眼位置佩戴乙方自制的服務(wù)卡片，接受甲方項目管理部門、信息安全管理部門的管理和項目產(chǎn)品使用部門及人員的監(jiān)督。服務(wù)卡片至少包含：服務(wù)人員編號及姓名，項目負(fù)責(zé)人姓名及聯(lián)系方式，乙方公司名稱及所承建項目等內(nèi)容。乙方服務(wù)人員進場時出示授權(quán)委托書，接受甲方管理制度宣講和安全檢查，辦理入場登記等。在服務(wù)過程中，按照項目合同及招標(biāo)文件（協(xié)議）提供所承建項目產(chǎn)品和服務(wù)，服從甲方對所承建項目的管理，遵守甲方信息安全管理體系規(guī)章及適用于第三方、信息化的管理制度。乙方人員離開甲方現(xiàn)場前，應(yīng)向甲方項目管理部門報備，主動交還甲方授權(quán)使用的門禁卡、技術(shù)文檔等保密信息資料及其它有關(guān)物品，接受離場安全檢查，同時辦理必要的遺留問題說明和服務(wù)資料交接等。未征得甲方項目管理部門同意，乙方項目負(fù)責(zé)人不得擅自離場。未征得甲方項目管理和信息安全管理部門同意，乙方安全責(zé)任人不得擅自離場。未向甲方項目管理部門報備，乙方服務(wù)人員不得擅自離場。在影響主體或窗口業(yè)務(wù)、存在安全風(fēng)險的事宜未完成處理之前，乙方人員不得全部離場。未征得甲方項目管理部門的審查和許可，嚴(yán)禁乙方現(xiàn)場服務(wù)人員擅自在甲方提供乙方使用的計算機設(shè)施、支撐乙方所承建項目的計算機設(shè)施上，安裝非甲方提供或非所承建項目的軟件產(chǎn)品。未征得甲方項目管理部門的審查和許可，乙方不得擅自對甲方提供乙方使用的計算機設(shè)施、支撐乙方所承建項目產(chǎn)品運行的計算機設(shè)施上的軟件產(chǎn)品及其配置進行變更。在提供現(xiàn)場服務(wù)期間，嚴(yán)禁乙方人員利用甲方網(wǎng)絡(luò)環(huán)境和提供乙方使用的工作場所從事所承建項目無關(guān)的工作，從事危害國家安全、損害公共利益和其他法律法規(guī)禁止的行為。乙方自行管理在甲方現(xiàn)場提供服務(wù)的人員人身和隨身攜帶物品安全。甲方項目管理和信息安全管理部門有權(quán)對乙方的現(xiàn)場服務(wù)及人員管理進行考核，并做出必要的響應(yīng)。乙方承諾按照如下要求，管理所承建項目產(chǎn)品及其支撐、承載設(shè)施。乙方所承建項目包含的產(chǎn)品，由項目負(fù)責(zé)人向甲方項目管理部門提交，并辦理交接手續(xù)。若乙方提供的為軟件產(chǎn)品，需向甲方提供只讀介質(zhì)和紙質(zhì)授權(quán)。若乙方提供的是硬件產(chǎn)品，需向甲方提供產(chǎn)品明細(xì)清單及清單中所有物品的物理參數(shù)。需要對已經(jīng)投入甲方業(yè)務(wù)生產(chǎn)環(huán)境中使用的產(chǎn)品進行變更時，乙方受理人首先向項目負(fù)責(zé)人提出申請或報備，由乙方項目負(fù)責(zé)人通過郵件向甲方項目管理部門負(fù)責(zé)人說明情況。經(jīng)甲方項目管理部門審查和同意后，向乙方受理人和項目負(fù)責(zé)人回復(fù)郵件。乙方收到甲方項目管理部門同意變更的郵件后，方可實施所承建項目產(chǎn)品的變更，并在變更后將變更前、變更后的明細(xì)，郵件回復(fù)甲方項目管理部門負(fù)責(zé)人，甲方進行備案。乙方有義務(wù)依據(jù)《網(wǎng)絡(luò)安全法》規(guī)定實行的網(wǎng)絡(luò)安全等級保護制度，按照所承建項目合同及招標(biāo)文件（協(xié)議）、本承諾書的規(guī)定，提供符合甲方在公安部門備案的網(wǎng)絡(luò)安全保護等級（三級）要求的產(chǎn)品和服務(wù)。嚴(yán)禁乙方將未辦理交接手續(xù)的項目產(chǎn)品、未辦理變更手續(xù)的項目產(chǎn)品、不符合等級保護要求的項目產(chǎn)品，擅自投入甲方業(yè)務(wù)生產(chǎn)環(huán)境中使用。甲方項目管理部門有權(quán)拒絕未辦理交接手續(xù)、未辦理變更手續(xù)、不符合等級保護要求的產(chǎn)品使用在業(yè)務(wù)生產(chǎn)環(huán)境中，有權(quán)拒絕受理未辦理交接手續(xù)、未辦理變更手續(xù)、不符合等級保護要求的項目產(chǎn)品進行驗收。未辦理交接手續(xù)的產(chǎn)品，未辦理變更手續(xù)的產(chǎn)品，非甲方業(yè)務(wù)生產(chǎn)環(huán)境中使用的產(chǎn)品，不符合等級保護要求的產(chǎn)品，均視為乙方所承建項目的非正式產(chǎn)品。甲方視已經(jīng)辦理交接手續(xù)或變更手續(xù)，且投入甲方業(yè)務(wù)生產(chǎn)環(huán)境中使用，同時符合等級保護要求的產(chǎn)品方為乙方提供甲方所承建項目的正式產(chǎn)品。乙方有義務(wù)提供符合甲方在公安部門備案的網(wǎng)絡(luò)安全保護等級（三級）標(biāo)準(zhǔn)的產(chǎn)品、服務(wù)。甲方項目管理和信息安全管理部門有權(quán)拒絕未達到甲方在公安部門備案的網(wǎng)絡(luò)安全保護等級（三級）標(biāo)準(zhǔn)的產(chǎn)品、服務(wù)，投入甲方業(yè)務(wù)生產(chǎn)環(huán)境中使用或向甲方的業(yè)務(wù)生產(chǎn)環(huán)境提供。在乙方所承建項目驗收之前，甲方委托第三方機構(gòu)依據(jù)未來5年業(yè)務(wù)量、配套業(yè)務(wù)系統(tǒng)接入需求等預(yù)估提出的測試指標(biāo)，對影響甲方主體和窗口業(yè)務(wù)較大的乙方所承建項目核心產(chǎn)品進行性能及壓力測試，乙方有義務(wù)對測試出的問題進行必要整改。乙方所承建項目有關(guān)計算機設(shè)施的特殊權(quán)限分配及其使用管理。乙方所承建項目包含產(chǎn)品的應(yīng)用程序的管理員權(quán)限，先由甲方授予乙方項目負(fù)責(zé)人，再由項目負(fù)責(zé)人依據(jù)項目建設(shè)及服務(wù)的實際情況，再次授予向甲方提供服務(wù)的其它人員，但是需要提前向甲方信息安全管理部門報備。未向甲方信息安全管理部門備案或報備審查未獲通過，乙方服務(wù)人員擅自使用所承建項目包含產(chǎn)品的應(yīng)用程序管理員權(quán)限，視為乙方以竊取甲方用戶信息的方式擅自進行了非授權(quán)的危害性操作，甲方項目管理和信息安全管理部門有權(quán)收回管理員權(quán)限，并取消項目負(fù)責(zé)人再次授權(quán)的權(quán)限。乙方項目負(fù)責(zé)人承擔(dān)自身及再次授權(quán)后的其它人員，造成甲方用戶信息泄露的責(zé)任。數(shù)據(jù)庫、服務(wù)器操作系統(tǒng)等支撐乙方所承建項目的管理員權(quán)限不授予乙方人員，乙方需要使用的時候可向甲方信息安全部門提出申請，經(jīng)審查和同意后，甲方安排技術(shù)人員陪同乙方使用。乙方按照權(quán)限分散及分工協(xié)作的原則，安排風(fēng)險較高和需要較高權(quán)限的項目建設(shè)、維護工作，避免服務(wù)人員單獨擁有多項、多類或全部特殊權(quán)限。在安裝、配置所承建項目使用的服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)邊界等重要及關(guān)鍵設(shè)施前，需由乙方項目負(fù)責(zé)人提前通知甲方項目管理部門，并在甲方信息安全管理部門陪同下處理。未征得甲方項目管理和信息安全管理部門同意，乙方不得擅自變更甲方業(yè)務(wù)生產(chǎn)環(huán)境中的如下內(nèi)容：已經(jīng)投入甲方業(yè)務(wù)生產(chǎn)環(huán)境中使用的乙方所承建項目產(chǎn)品及其組件；所承建項目產(chǎn)品使用的全局性配置；影響甲方主體或窗口業(yè)務(wù)的基礎(chǔ)信息、核心配置；影響所承建項目產(chǎn)品性能的配置；影響所承建項目安全性的配置；支撐乙方所承建項目產(chǎn)品運行的數(shù)據(jù)庫、中間件等及其配置；與其它項目產(chǎn)品進行互聯(lián)互通的接口及其有關(guān)配置；已經(jīng)生效的業(yè)務(wù)流程所生成的和通過互聯(lián)互通接口接收到的業(yè)務(wù)數(shù)據(jù)，等等。未征得甲方項目管理和信息安全管理部門的審查和許可，嚴(yán)禁乙方：直接向甲方之外的第三方，開放乙方所承建項目產(chǎn)品及其支撐設(shè)施承載業(yè)務(wù)數(shù)據(jù)有關(guān)的查詢與變更功能，開放所承建項目產(chǎn)品及其支撐設(shè)施有關(guān)的查詢與變更功能，等。直接響應(yīng)與乙方所承建項目或甲方有關(guān)的其它第三方，在所承建項目產(chǎn)品中創(chuàng)建存儲過程、視圖、數(shù)據(jù)庫或應(yīng)用程序賬戶等形式，開放用于提取或變更甲方業(yè)務(wù)數(shù)據(jù)用途的功能，等。直接響應(yīng)非甲方項目管理部門安排的其它第三方提出的，與乙方所承建項目產(chǎn)品進行互聯(lián)互通對接的布署。直接響應(yīng)與甲方有關(guān)的其它第三方，對乙方所承建項目產(chǎn)品進行互聯(lián)互通對接變更的需求。直接響應(yīng)與甲方有關(guān)的其它第三方，對支撐乙方所承建項目產(chǎn)品運行的設(shè)施進行變更的需求。直接向甲方之外的第三方，批量提供甲方業(yè)務(wù)數(shù)據(jù)或完整拷貝甲方業(yè)務(wù)數(shù)據(jù)庫及其副本。其它出于非甲方需求、非甲方項目管理部門安排、非甲方信息安全管理部門許可的，對乙方所承建項目產(chǎn)品用于非甲方用途、非甲方授權(quán)、竊取保密信息、篡改甲方業(yè)務(wù)數(shù)據(jù)等違規(guī)用途的需求、功能。未征得甲方信息安全管理部門的審查和許可，嚴(yán)禁乙方人員直接響應(yīng)甲方內(nèi)部非項目管理部門提出的，對乙方所承建項目產(chǎn)品、產(chǎn)品配置信息進行查詢與變更的需求。未征得甲方信息安全管理部門的審查和許可，嚴(yán)禁乙方人員直接響應(yīng)甲方內(nèi)部非信息安全管理部門提出的，對甲方業(yè)務(wù)數(shù)據(jù)等保密信息進行查詢與變更的需求。未經(jīng)甲方信息安全管理部門審查和甲方主要負(fù)責(zé)人簽字確認(rèn)，嚴(yán)禁乙方批量復(fù)制甲方業(yè)務(wù)數(shù)據(jù)，或完整拷貝甲方業(yè)務(wù)數(shù)據(jù)庫及其副本。甲方項目管理和信息安全管理部門有權(quán)對乙方的項目產(chǎn)品及其支撐、承載設(shè)施管理進行考核，并做出必要的響應(yīng)。乙方承諾按照如下要求，管理所承建項目的建設(shè)進程資料。建設(shè)進程資料包括但不限于如下：乙方所承建項目的招投標(biāo)文件及合同（協(xié)議）；乙方所承建項目產(chǎn)品及其配套資料、技術(shù)文檔；乙方提供項目實施和服務(wù)過程中，所產(chǎn)生的實施文檔、服務(wù)資料、交接記錄、變更備案等；乙方所承建項目產(chǎn)品與甲方使用的其它第三方產(chǎn)品進行互聯(lián)互通對接的接口文檔、接口軟件和支撐資料；甲方委托等級保護測評機構(gòu)，對乙方所承建項目提供安全保障產(chǎn)生的安全保障服務(wù)文檔及有關(guān)支撐資料；乙方所承建項目產(chǎn)品承載的業(yè)務(wù)數(shù)據(jù)，以及乙方所承建項目產(chǎn)品與甲方使用的第三方產(chǎn)品進行業(yè)務(wù)交換產(chǎn)生的數(shù)據(jù)；支撐乙方所承建項目產(chǎn)品運行的數(shù)據(jù)庫、服務(wù)器等基礎(chǔ)設(shè)施及其配套軟件、技術(shù)文檔等；本承諾書規(guī)定的安全保障措施，以及在執(zhí)行過程中生成的文檔、資料。驗收乙方所承建項目過程中產(chǎn)生的文檔、資料。乙方、甲方、有關(guān)的其它承建廠商、甲方委托的安全保障服務(wù)提供商的相互及多方之間，就乙方所承建項目有關(guān)事宜進行溝通、確認(rèn)、交接等生成的信息資料，以及各方在項目建設(shè)和服務(wù)過程中使用的與乙方所承建項目有關(guān)的各種臨時性信息資料。有關(guān)各方可以采取口頭、電話、協(xié)調(diào)會、社交軟件等形式進行溝通、確認(rèn)，但最終以不違背乙方所承建項目合同及招標(biāo)文件（協(xié)議）規(guī)定的，如下次序形式所生成的正式溝通、確認(rèn)資料為準(zhǔn)。有關(guān)各方加蓋本單位公章的紙質(zhì)材料。甲方項目管理部門、乙方項目負(fù)責(zé)人簽字確認(rèn)的紙質(zhì)材料。甲方項目管理部門負(fù)責(zé)人、乙方項目負(fù)責(zé)人和項目有關(guān)的其它第三方技術(shù)人員通過電子郵件、釘釘，代表甲方、乙方或其它第三方出具的溝通、確認(rèn)、通知信息。經(jīng)甲方業(yè)務(wù)職能部門負(fù)責(zé)人簽字確認(rèn)的項目業(yè)務(wù)功能確認(rèn)資料。經(jīng)甲方業(yè)務(wù)部門使用負(fù)責(zé)人簽字確認(rèn)的項目使用需求調(diào)研資料。如下方式形成的內(nèi)容為臨時性建設(shè)進程資料，不能作為最終的項目產(chǎn)品使用在甲方業(yè)務(wù)生產(chǎn)環(huán)境中，不能作為最終服務(wù)向甲方業(yè)務(wù)生產(chǎn)環(huán)境提供，不能作為調(diào)研、確認(rèn)、溝通、驗收或出現(xiàn)爭議時的依據(jù)及證明材料。有關(guān)各方的各級各類人員相互及多方之間，口頭達成的一致意見；雙方通過釘釘、電子郵件之外的，使用不能長久保留原始內(nèi)容或無法確認(rèn)原始溝通狀態(tài)的QQ、微信等社交平臺產(chǎn)生的溝通、交流信息；未經(jīng)甲方職能部門負(fù)責(zé)人簽字確認(rèn)的，乙方所承建項目的業(yè)務(wù)功能確認(rèn)資料；未經(jīng)甲方業(yè)務(wù)部門負(fù)責(zé)人簽字確認(rèn)的，乙方所承建項目的業(yè)務(wù)使用需求調(diào)研資料；違背乙方所承建項目合同及招標(biāo)文件（協(xié)議）的建設(shè)進程資料；違反網(wǎng)絡(luò)安全等級保護制度、行業(yè)管理政策及其它法律法規(guī)的建設(shè)資料；違背乙方所承建項目合同及招標(biāo)文件（協(xié)議）、違背本承諾書規(guī)定的建設(shè)進程資料；其它違背乙方所承建項目合同及招標(biāo)文件（協(xié)議），不符合本承諾書，或違反網(wǎng)絡(luò)安全等級保護制度、行業(yè)管理政策及其它法律法規(guī)的建設(shè)進程資料。若出現(xiàn)下列之一的情形，以甲方項目管理部門出具的有關(guān)結(jié)論為最終結(jié)果。有關(guān)各方未提交必要的建設(shè)進程資料；有關(guān)各方提交的建設(shè)進程資料為本承諾書規(guī)定的臨時性建設(shè)進程資料，或依據(jù)本承諾書規(guī)定的臨時性建設(shè)進程資料進行的項目建設(shè)進程及服務(wù)；有關(guān)各方提交的建設(shè)進程資料不完整或不明確；有關(guān)各方提交的建設(shè)進程資料不符合本承諾書的規(guī)定；出現(xiàn)其它違背項目合同及招標(biāo)文件（協(xié)議），不符合本承諾書，或違反法律法規(guī)的建設(shè)進程及建設(shè)進程資料。有關(guān)各方依據(jù)項目合同及招標(biāo)文件（協(xié)議），按照建設(shè)進程資料的依據(jù)展開項目建設(shè)工作，或依據(jù)建設(shè)進程資料的憑據(jù)進入后續(xù)進程，同時相互及多方之間辦理交接手續(xù)。未按照建設(shè)進程資料依據(jù)進行的項目建設(shè)工作，無建設(shè)進程資料憑據(jù)的建設(shè)進程等均視為無效。乙方提供甲方的項目建設(shè)進程資料，由乙方項目負(fù)責(zé)人根據(jù)項目建設(shè)進度向甲方項目管理部門提交，并以雙方簽字確認(rèn)的交接時間為準(zhǔn)。乙方所承建項目有關(guān)的建設(shè)進程資料歸甲方所有，且為甲方的保密信息。在甲方未公開之前，有關(guān)各方承擔(dān)長期保密義務(wù)，乙方不得擅自用于所承建項目合同及招標(biāo)文件（協(xié)議）規(guī)定之外的其它用途。甲方項目管理和信息安全管理部門有權(quán)對乙方的建設(shè)進程資料管理進行考核，并做出必要的響應(yīng)。乙方承諾按照如下流程和要求，管理所承建項目的安全建設(shè)與保障工作。依據(jù)所承建項目招標(biāo)文件及合同（協(xié)議），按照《網(wǎng)絡(luò)安全法》規(guī)定實行的最新版本網(wǎng)絡(luò)安全等級保護制度,提供符合甲方在公安部門備案的網(wǎng)絡(luò)安全保護等級（三級）標(biāo)準(zhǔn)的產(chǎn)品，提供符合甲方在公安部門備案的網(wǎng)絡(luò)安全保護等級（三級）標(biāo)準(zhǔn)和信息技術(shù)服務(wù)國標(biāo)的服務(wù)，并在項目建設(shè)和提供服務(wù)過程中同步實施網(wǎng)絡(luò)及信息安全保障。依據(jù)所承建項目合同及招標(biāo)文件（協(xié)議）、項目建設(shè)實際進度，乙方及時向甲方提出招標(biāo)文件規(guī)定安全建設(shè)內(nèi)容的安全保障工作申請。甲方對乙方提出的安全保障工作申請進行初步審查，初審合格后委托具有等級保護測評資質(zhì)的安全保障服務(wù)提供商，對乙方申請的建設(shè)內(nèi)容實施安全保障。甲方有權(quán)拒絕受理存在重大隱患和明顯安全缺陷的安全保障工作申請，甲方有權(quán)拒絕受理不符合乙方所承建項目合同及招標(biāo)文件（協(xié)議）的安全保障工作申請，甲方有權(quán)拒絕受理違背網(wǎng)絡(luò)安全等級保護制度原則的安全保障工作申請。乙方有義務(wù)按照所承建項目合同及招標(biāo)文件（協(xié)議），提供安全保障工作需要的配合，并對所承建項目有關(guān)的安全風(fēng)險、不合規(guī)項和其它問題進行整改。網(wǎng)絡(luò)安全等級保護制度規(guī)定由甲方實施的，非乙方所承建項目建設(shè)進程必須和非乙方所承建項目直接相關(guān)的其它安全保障工作，由甲方直接委托安全保障服務(wù)提供商實施安全保障。甲方委托安全保障服務(wù)提供商，依據(jù)網(wǎng)絡(luò)安全等級保護制度和甲方在公安部門備案的網(wǎng)絡(luò)安全保護等級（三級）標(biāo)準(zhǔn)，按照乙方所承建項目合同及招標(biāo)文件（協(xié)議）規(guī)定的安全建設(shè)要求，對甲方委托的安全建設(shè)內(nèi)容實施安全保障，并出具報告。安全保障工作報告至少包含：受托內(nèi)容簡介，安全保障工作的實施依據(jù)，安全保障工作的主要過程，對受托內(nèi)容進行安全保障的結(jié)論，發(fā)現(xiàn)的問題及整改建議。受托的原始內(nèi)容加技術(shù)標(biāo)記（關(guān)聯(lián)）后，作為安全保障工作報告的附件。安全保障服務(wù)提供商留存安全保障工作報告和實施過安全保障的接口文檔、應(yīng)用程序、建設(shè)方案等及其校驗值，并在必要時向甲方出具一致性驗證報告。安全保障服務(wù)提供商首先將安全保障工作報告提交甲方，然后由甲方向乙方及有關(guān)的其它承建廠商移交安全保障工作報告副本或復(fù)制件。乙方和所承建項目有關(guān)的其它承建廠商，有義務(wù)按照甲方提供的由安全保障服務(wù)提供商出具的安全保障工作報告，以及經(jīng)安全保障服務(wù)提供商進行技術(shù)關(guān)聯(lián)后的接口文檔、建設(shè)方案等建設(shè)所承建項目和所承建項目有關(guān)的其它內(nèi)容。依據(jù)安全保障服務(wù)提供商出具的安全保障工作報告、乙方所承建項目合同及招標(biāo)文件（協(xié)議），甲方項目管理部門有權(quán)決定由乙方或其它承建廠商繼續(xù)整改不符合等級保護要求的建設(shè)內(nèi)容，或進入實施安全保障工作內(nèi)容的后續(xù)建設(shè)進程（環(huán)節(jié)）。甲方項目管理部門有權(quán)暫停不符合等級保護要求的乙方所承建項目產(chǎn)品上線使用。安全保障服務(wù)提供商出具的安全保障工作報告僅適用于甲方委托的內(nèi)容，對非乙方所承建項目招標(biāo)文件及合同（協(xié)議）規(guī)定的其它工作無效，對乙方承建的非甲方項目無效，且在乙方或有關(guān)其它承建廠商擅自變更了向甲方提交的安全保障的原始內(nèi)容后自動失效。安全保障工作源代碼審計專項要求依據(jù)網(wǎng)絡(luò)安全等級保護制度，按照乙方申請進行安全保障工作的內(nèi)容，安全保障服務(wù)提供商適時向甲方提出源代碼審計的依據(jù)及通知。甲方組織乙方、安全保障服務(wù)提供商簽訂保密協(xié)議，保密協(xié)議由甲方、乙方和安全保障服務(wù)提供商同時留存。乙方按照三方保密協(xié)議規(guī)定的方式，以加密形式向甲方委托的安全保障服務(wù)提供商，提交需要進行審計的乙方所承建項目產(chǎn)品源代碼。安全保障服務(wù)提供商接收到需要審計的源代碼，只能用于甲方委托的源代碼審計工作，不得擅自用于其它用途。安全保障服務(wù)提供商按照符合等級保護要求的方式，留存和管理所接收到的源代碼，以備在必要時受甲方委托，對審計過的源代碼與生產(chǎn)環(huán)境中使用的應(yīng)用功能進行一致性校驗。乙方所承建項目的質(zhì)保到期后，在甲方監(jiān)督下，安全保障服務(wù)提供商按照符合等級保護要求的剩余信息處理方式，對按照甲方要求留存的本項目產(chǎn)品源代碼進行銷毀。從接收到承建廠商提供的源代碼起，至在甲方監(jiān)督下銷毀，安全保障服務(wù)提供商按照三方保密協(xié)議的規(guī)定，承擔(dān)所接收到源代碼的保密義務(wù)。甲方項目管理和信息安全管理部門采取實時跟蹤，并結(jié)合定期和不定期督查的方式，對乙方提供的項目產(chǎn)品及服務(wù)有關(guān)的安全建設(shè)、安全保障工作進行專項管理。甲方有權(quán)依據(jù)《網(wǎng)絡(luò)安全法》規(guī)定實行的網(wǎng)絡(luò)安全等級保護制度、乙方所承建項目合同及招標(biāo)文件（協(xié)議）、甲方信息安全體系管理規(guī)章，對乙方的安全建設(shè)和保障工作進行考核。甲方有權(quán)實施乙方所承建項目招標(biāo)文件及合同規(guī)定的安全管理處罰。甲方項目管理和信息安全管理部門有權(quán)對乙方的安全建設(shè)和保障工作實際情況，做出必要的響應(yīng)。乙方承諾按照如下要求，管理所承建項目的遠(yuǎn)程服務(wù)。在所承建項目合同及招標(biāo)文件（協(xié)議）規(guī)定的建設(shè)期內(nèi)，未經(jīng)甲方項目管理和信息安全管理部門審查和同意，乙方不得擅自以遠(yuǎn)程的方式提供所承建項目服務(wù)。在為甲方提供遠(yuǎn)程服務(wù)的過程中，嚴(yán)禁乙方人員處理非甲方提出的需求，處理乙方所承建甲方項目無關(guān)的事宜，或出于乙方目的、損害甲方正當(dāng)權(quán)益及其它違法違規(guī)的行為。在所承建項目招標(biāo)文件（協(xié)議）規(guī)定的建設(shè)期結(jié)束后，若乙方需要以遠(yuǎn)程的方式提供服務(wù)，首先向甲方信息安全管理部門提出申請，經(jīng)審查同意后按照甲方信息安全管理部門指定的遠(yuǎn)程方式提供服務(wù)。經(jīng)甲方項目管理或信息安全管理部門審查和確認(rèn)，同時滿足如下條件時，乙方方可以遠(yuǎn)程的方式向甲方提供所承建項目服務(wù)乙方所承建項目合同及招標(biāo)文件（協(xié)議）規(guī)定的建設(shè)期已經(jīng)結(jié)束；參與遠(yuǎn)程服務(wù)的乙方人員未發(fā)生過安全及其它風(fēng)險事件；甲方網(wǎng)絡(luò)安全管理設(shè)施未發(fā)生故障，可以有效使用；乙方申請的遠(yuǎn)程服務(wù)內(nèi)容不涉及甲方核心設(shè)施，如：業(yè)務(wù)數(shù)據(jù)庫、服務(wù)器端應(yīng)用、網(wǎng)絡(luò)邊界及其它關(guān)鍵或重要設(shè)施；遠(yuǎn)程方式及服務(wù)內(nèi)容本身存在的安全風(fēng)險在可控范圍內(nèi)；乙方提出的遠(yuǎn)程服務(wù)申請符合等級保護要求，符合甲方信息安全管理體系規(guī)章；遠(yuǎn)程服務(wù)及服務(wù)內(nèi)容本身符合所承建項目合同及招標(biāo)文件（協(xié)議）的規(guī)定。出現(xiàn)下列之一的情形時，乙方不能進行遠(yuǎn)程處理，需以現(xiàn)場服務(wù)的方式向甲方提供服務(wù)。乙方所承建項目在招標(biāo)文件規(guī)定的建設(shè)期內(nèi)；甲方出現(xiàn)乙方所承建項目有關(guān)的應(yīng)急使用需求，或限定期限的政策性需求；甲方網(wǎng)絡(luò)安全管理設(shè)施出現(xiàn)故障，不能有效防范遠(yuǎn)程接入帶來的安全風(fēng)險；乙方所承建項目包含的產(chǎn)品出現(xiàn)故障，對甲方主體或窗口業(yè)務(wù)產(chǎn)生實質(zhì)性影響；甲方啟動《準(zhǔn)格爾旗中心醫(yī)院網(wǎng)絡(luò)與信息系統(tǒng)安全事件應(yīng)急預(yù)案》規(guī)定的紅色預(yù)警和一、二、三級應(yīng)急響應(yīng)期間；不符合等級保護要求，或不能保障甲方網(wǎng)絡(luò)系統(tǒng)安全的其它情形。甲方項目管理和信息安全管理部門有權(quán)對乙方的遠(yuǎn)程服務(wù)管理進行考核，并做出必要的響應(yīng)。乙方承諾按照如下要求，管理所承建項目的服務(wù)響應(yīng)。在乙方所承建項目產(chǎn)品的使用生命期內(nèi)，乙方提供所承建項目7*24小時的永久性服務(wù)響應(yīng)。屬于雙方約定范圍內(nèi)的服務(wù)，乙方無償提供；不屬于雙方約定范圍內(nèi)的服務(wù)，乙方在處理完成后提出相應(yīng)的申請，甲方另行支付服務(wù)費用。在乙方所承建項目合同及招標(biāo)文件（協(xié)議）規(guī)定的乙方提供駐場服務(wù)期間，乙方5分鐘內(nèi)做出響應(yīng)，15分鐘內(nèi)到達甲方現(xiàn)場。在乙方所承建項目合同及招標(biāo)文件（協(xié)議）規(guī)定的乙方提供駐場服務(wù)過后至乙方所承建項目質(zhì)保到期之前，乙方10分鐘內(nèi)做出響應(yīng)，15分鐘開始遠(yuǎn)程處理或4小時內(nèi)到達甲方現(xiàn)場。在乙方所承建項目質(zhì)保到期之前，若乙方所承建項目出現(xiàn)對甲方主體或窗口業(yè)務(wù)產(chǎn)生實質(zhì)性影響的應(yīng)急事件、網(wǎng)絡(luò)安全及其它重大事件，乙方應(yīng)在最短的時間內(nèi)做出響應(yīng)，并在最短的時間內(nèi)到達甲方現(xiàn)場。乙方處置應(yīng)急、網(wǎng)絡(luò)安全及其它重大事件，需由項目負(fù)責(zé)人組織、指揮，并在做出實質(zhì)性響應(yīng)之前向甲方項目管理部門負(fù)責(zé)人進行口頭或電話溝通。若處置的是網(wǎng)絡(luò)安全事件，乙方安全責(zé)任人需同時到達甲方現(xiàn)場，并在做出實質(zhì)性響應(yīng)之前向甲方信息安全管理部門的安全員進行口頭或電話溝通。在應(yīng)急、網(wǎng)絡(luò)安全及其它重大事件處置完成后，乙方項目負(fù)責(zé)人或安全責(zé)任人需向甲方項目管理部門提交相應(yīng)的重大事件處置報告。甲方項目管理和信息安全管理部門有權(quán)對乙方的服務(wù)響應(yīng)管理進行考核，并做出必要的響應(yīng)。乙方承諾不利用自身技術(shù)優(yōu)勢或其它手段，對所承建項目采取如下不合規(guī)措施。向甲方提供的產(chǎn)品中和為甲方提供服務(wù)過程中使用的非甲方提供的計算機設(shè)施，使用了含有病毒、惡意程序和泄露隱私、竊取保密信息等功能的，危害甲方網(wǎng)絡(luò)系統(tǒng)及其它法律法規(guī)禁止使用的軟硬件產(chǎn)品，或使用了從非法渠道獲得、來源不明和未向甲方申請實施安全保障的軟硬件產(chǎn)品。對所提供產(chǎn)品及服務(wù)進行出于乙方目的，不符合所承建項目合同及招標(biāo)文件（協(xié)議），損害甲方、產(chǎn)品使用公眾和項目有關(guān)其他第三方正當(dāng)權(quán)益的使用限制。在提供的產(chǎn)品或服務(wù)過程中，留下出于乙方目的，不符合所承建項目合同及招標(biāo)文件（協(xié)議），損害甲方、產(chǎn)品使用公眾和項目有關(guān)其他第三方正當(dāng)權(quán)益的技術(shù)后門。以隱瞞的方式向甲方業(yè)務(wù)生產(chǎn)環(huán)境中，提供了不符合所承建項目合同及招標(biāo)文件（協(xié)議）的產(chǎn)品、服務(wù)，提供了不符合網(wǎng)絡(luò)安全等級保護制度的產(chǎn)品、服務(wù)。隱瞞所承建項目及服務(wù)有關(guān)的安全及其它風(fēng)險，篡改或藏匿引發(fā)安全及其它風(fēng)險的原因信息、安全及其它風(fēng)險產(chǎn)生的過程信息、安全及其它風(fēng)險有關(guān)的記錄信息等。逃避履行所承