企業(yè)信息安全建設(shè) 第三方服務(wù)商外包管理制度

第三方服務(wù)商管理制度第一條為了加強(qiáng)對(duì)第三方的安全管理，明確定義第三方必須遵守的安全管理規(guī)定以及服務(wù)交付的安全要求等，特制定本規(guī)定。第二條本規(guī)定適用于XXXXXXX局對(duì)第三方以及外包服務(wù)的安全管理。第三條本規(guī)定中的第三方是指所有進(jìn)入XXXXXXX局內(nèi)部提供相關(guān)技術(shù)服務(wù)的非XXXXXXX局人員(包括但不限于供應(yīng)商、合作廠商、服務(wù)商)。第四條第三方管理部門(mén)或人員一般為XXXXXXX局信息系統(tǒng)相關(guān)外包服務(wù)項(xiàng)目管理部門(mén)或人員，其職責(zé)：按照相關(guān)需求、政府采購(gòu)規(guī)定以及XXXXXXX局的相關(guān)規(guī)定選擇聲譽(yù)良好、值得信賴(lài)的第三方服務(wù)商。按照權(quán)限最小的原則，負(fù)責(zé)第三方權(quán)限的申請(qǐng)工作。負(fù)責(zé)對(duì)第三方的信息安全培訓(xùn)以及第三方人員現(xiàn)場(chǎng)工作的管理。負(fù)責(zé)在協(xié)議或合同談判階段，與第三方簽訂保密協(xié)議以及確定服務(wù)安全的要求。根據(jù)合同或服務(wù)協(xié)議對(duì)第三方服務(wù)交付進(jìn)行管理，保證服務(wù)交付質(zhì)量。第五條第三方選擇基本要求：準(zhǔn)確理解需求原則：第三方必須對(duì)XXXXXXX局信息系統(tǒng)外包服務(wù)的需求有深刻的理解，凡不能準(zhǔn)確理解需求或與需求相背者不予選擇。技術(shù)能力：要求第三方具備所需的技術(shù)能力、工作經(jīng)驗(yàn)和專(zhuān)業(yè)知識(shí)，或者能夠合理地預(yù)期第三方最終會(huì)得到這些技術(shù)能力、工作經(jīng)驗(yàn)和專(zhuān)業(yè)知識(shí)。管理水平：第三方是否已經(jīng)具備，或者能夠合理地預(yù)期第三方最終能夠開(kāi)發(fā)出項(xiàng)目所需資源的管理能力。財(cái)務(wù)能力：第三方是否已經(jīng)具備，或能否合理地預(yù)期第三方能夠具備項(xiàng)目所需的財(cái)力資源和財(cái)務(wù)能力。服務(wù)能力：第三方是否具備或能否合理地預(yù)期第三方能夠具備項(xiàng)目所需的兌現(xiàn)服務(wù)承諾的能力。第六條資質(zhì)要求：按國(guó)家、行業(yè)和我局明確規(guī)定的服務(wù)資質(zhì)要求考查第三方，如規(guī)定缺失，則根據(jù)項(xiàng)目實(shí)際要求確定第三方資質(zhì)要求。按服務(wù)項(xiàng)目專(zhuān)業(yè)要求設(shè)定關(guān)鍵技術(shù)人員和管理人員的資質(zhì)要求和具備相應(yīng)資質(zhì)的人員數(shù)量要求。第七條第三方需要對(duì)敏感的信息資產(chǎn)進(jìn)行訪問(wèn)時(shí)，要簽訂保密協(xié)議或正式的合同，合同中有關(guān)的安全要求符合XXXXXXX局信息系統(tǒng)總體安全策略。第八條與第三方簽署的合同中要至少考慮如下因素：合同雙方各自的相關(guān)責(zé)任；明確對(duì)第三方的保密要求；明確保護(hù)信息資產(chǎn)的內(nèi)容和條款；明確描述服務(wù)內(nèi)容和服務(wù)標(biāo)準(zhǔn)；人員的安全要求；符合相關(guān)國(guó)家和地區(qū)的法律、法規(guī)要求；明確對(duì)知識(shí)產(chǎn)權(quán)的歸屬及保護(hù)；必須聲明XXXXXXX局所擁有的權(quán)力，包括：監(jiān)督、限制第三方活動(dòng)的權(quán)力；對(duì)合同權(quán)責(zé)進(jìn)行監(jiān)理或指定第三方監(jiān)理的權(quán)力；軟、硬件安裝和維護(hù)方面的責(zé)任；清晰具體的變更控制流程；用于安全事故和安全違規(guī)事件的報(bào)告、通知和調(diào)查程序。第九條服務(wù)質(zhì)量要求：第三方必須依據(jù)合同或獨(dú)立的服務(wù)協(xié)議中的關(guān)鍵指標(biāo)提供服務(wù)；在服務(wù)提供期間，XXXXXXX局信息系統(tǒng)項(xiàng)目管理部門(mén)或人員應(yīng)該經(jīng)常對(duì)第三方的人員資質(zhì)進(jìn)行確認(rèn)，保證服務(wù)期間服務(wù)人員的穩(wěn)定性；根據(jù)項(xiàng)目要求事先制定對(duì)第三方服務(wù)的評(píng)價(jià)指標(biāo)和測(cè)量體系，以確保第三方服務(wù)提供的質(zhì)量。第十條服務(wù)的改進(jìn)：第三方在服務(wù)提供過(guò)程中，發(fā)現(xiàn)與服務(wù)的需求有較大差距時(shí)，雙方必須對(duì)服務(wù)進(jìn)行評(píng)估，如果是未達(dá)到服務(wù)合同或服務(wù)協(xié)議的要求，則責(zé)成第三方對(duì)服務(wù)進(jìn)行改進(jìn)；如果第三方服務(wù)達(dá)到合同或服務(wù)協(xié)議的要求，但是還是不能滿(mǎn)足服務(wù)的要求，則雙方可以協(xié)商對(duì)合同或服務(wù)協(xié)議進(jìn)行變更，提高關(guān)鍵指標(biāo)以適應(yīng)服務(wù)的要求。第十一條第三方必須按合同中規(guī)定的保密條款對(duì)服務(wù)過(guò)程中接觸到的任何信息和數(shù)據(jù)進(jìn)行保密。第十二條第三方在服務(wù)過(guò)程中必須保證數(shù)據(jù)的完整性和可用性，如果對(duì)數(shù)據(jù)的完整性和可用性會(huì)造成影響，必須事先申明，并取得相關(guān)部門(mén)的批準(zhǔn)，才可以實(shí)施相關(guān)的操作。第十三條如因業(yè)務(wù)需要向第三方提供含有XXXXXXX局保密信息的文件、資料或?qū)嵨飼r(shí)，應(yīng)當(dāng)獲得相應(yīng)的批準(zhǔn)或授權(quán)，并與第三方簽訂特別保密協(xié)議后提供，提供時(shí)應(yīng)開(kāi)具清單請(qǐng)第三方簽收。第十四條對(duì)第三方的工作人員因業(yè)務(wù)需要須在XXXXXXX局進(jìn)行工作時(shí)，應(yīng)與其簽訂個(gè)人保密協(xié)議，明確保密制度,如需接觸或查閱內(nèi)部文件的，必須經(jīng)過(guò)相關(guān)部門(mén)負(fù)責(zé)人簽字批準(zhǔn)，并由其本人填寫(xiě)查閱記錄。第十五條服務(wù)項(xiàng)目范圍變更：如果合同執(zhí)行中，發(fā)現(xiàn)第三方的服務(wù)能力不能滿(mǎn)足服務(wù)外包的需求，經(jīng)雙方協(xié)商，一般要求更換服務(wù)提供商。如果合同執(zhí)行中，發(fā)現(xiàn)服務(wù)需求的范圍超過(guò)了合同里所約定的服務(wù)范圍，而這些需求與合同所規(guī)定的服務(wù)范圍是相同的系統(tǒng)或設(shè)備，并且正好是第三方的服務(wù)能力范圍之內(nèi)，可以通過(guò)協(xié)商變更服務(wù)合同，增加服務(wù)范圍。服務(wù)項(xiàng)目變更必須經(jīng)過(guò)所屬項(xiàng)目管理及采購(gòu)部門(mén)的審批。第十六條服務(wù)提供商變更：在對(duì)第三方考評(píng)不合格時(shí)，給以書(shū)面的形式要求第三方提高服務(wù)質(zhì)量，并明確指出服務(wù)質(zhì)量存在的具體問(wèn)題和改進(jìn)辦法；如果第三方服務(wù)能力不能滿(mǎn)足服務(wù)要求，并造成系統(tǒng)運(yùn)行不良影響時(shí)，可以考慮對(duì)服務(wù)提供商進(jìn)行變更，以保證信息系統(tǒng)的正常穩(wěn)定運(yùn)行。第十七條人員出入：第三方人員進(jìn)入XXXXXXX局各種場(chǎng)合禁止攜帶易燃、易爆物品，并在門(mén)衛(wèi)處接受檢查；第三方人員進(jìn)入XXXXXXX局時(shí)，必須在門(mén)衛(wèi)處出示有效證件，按門(mén)衛(wèi)或接待處的要求登記相關(guān)信息；臨時(shí)來(lái)訪第三方出入關(guān)鍵信息場(chǎng)所必須由接待人全程陪同，告知有關(guān)安全管理規(guī)定，不得任其自行走動(dòng)和未經(jīng)允許使用XXXXXXX局信息設(shè)備；出入關(guān)鍵場(chǎng)所的臨時(shí)第三方人員離開(kāi)XXXXXXX局時(shí)應(yīng)由接待人陪送，接待人應(yīng)在登記表上簽名，并簽署離開(kāi)時(shí)間；接待人在無(wú)法陪送的情況下應(yīng)委托本部門(mén)其他人陪送；第三方人員進(jìn)出機(jī)房等重要區(qū)域時(shí)，必須遵守該區(qū)域的進(jìn)出管理規(guī)定；非臨時(shí)第三方人員工作完成后，由所屬項(xiàng)目管理部門(mén)或人員對(duì)第三方人員的工作進(jìn)行安全檢查和安全評(píng)估后方可離場(chǎng)。第十八條設(shè)備攜入攜出：1)第三方人員攜帶設(shè)備(如筆記本電腦、計(jì)算機(jī)及配件、網(wǎng)絡(luò)設(shè)備等)進(jìn)入，必須進(jìn)行登記；攜帶設(shè)備離開(kāi)，必須經(jīng)過(guò)按照事先登記的內(nèi)容進(jìn)行檢查；2)第三方人員攜帶的維修配件必須在進(jìn)入維修區(qū)域前向接待人員出示，并登記；第三方人員將維修設(shè)備的損壞配件攜出XXXXXXX局信息系統(tǒng)的運(yùn)行場(chǎng)所時(shí)，必須與我局的相關(guān)管理人員說(shuō)明情況并在維護(hù)記錄中登記；第三方人員將好的配件換入維修設(shè)備時(shí)，必須向我局的相關(guān)管理人員說(shuō)明情況，并在維修記錄中記錄。第十九條辦公場(chǎng)所：1)業(yè)務(wù)洽談和技術(shù)交流應(yīng)當(dāng)在接待室、會(huì)議室或培訓(xùn)教室內(nèi)進(jìn)行，招標(biāo)、談判等正式洽談和重大項(xiàng)目的會(huì)談應(yīng)當(dāng)在專(zhuān)門(mén)的會(huì)議室進(jìn)行，不得在辦公室內(nèi)進(jìn)行；2)必須指定非臨時(shí)第三方人員的辦公區(qū)域，只允許第三方人員在指定區(qū)域范圍內(nèi)進(jìn)行業(yè)務(wù)活動(dòng)。第二十條一般規(guī)定：1)第三方人員不得越權(quán)使用信息系統(tǒng)的任何功能；2)第三方人員不得私自拷貝信息系統(tǒng)中的任何數(shù)據(jù)和程序；第三方人員將信息系統(tǒng)的軟硬件攜入與攜出信息系統(tǒng)的運(yùn)行場(chǎng)所必須遵守相關(guān)的管理規(guī)定；第三方人員不得私自將含有密鑰的設(shè)備(或配件)攜出信息系統(tǒng)的運(yùn)行場(chǎng)所；第三方人員使用信息系統(tǒng)的操作記錄應(yīng)進(jìn)行登記(附件一、第三方人員操作記錄表)；未經(jīng)允許，第三方不得使用信息系統(tǒng)。第二十一條賬號(hào)控制：1)第三方人員使用信息系統(tǒng)必須遵守信息系統(tǒng)使用的賬號(hào)管理規(guī)定；2)第三方人員必須保證信息系統(tǒng)賬號(hào)的安全，不能泄露給無(wú)關(guān)的第三方；第三方人員在工作人員變動(dòng)時(shí)，必須向項(xiàng)目管理部門(mén)或人員報(bào)告，由安全管理員對(duì)賬號(hào)進(jìn)行安全處理。第二十二條密碼控制：1)第三方人員必須保證密碼不泄露，當(dāng)不慎泄露密碼時(shí)，應(yīng)立即通知我局相關(guān)管理人員；2)服務(wù)提供的密碼由信息系統(tǒng)相關(guān)管理員定期更換，更換后信息系統(tǒng)相關(guān)管理人員向第三方人員通知密碼。第二十三條為了保證本文件的時(shí)效性、可用性，必須根據(jù)相關(guān)審核規(guī)定進(jìn)行評(píng)審和修訂，修訂后重新發(fā)布。第二十四條本規(guī)定由局信息中心負(fù)責(zé)制定、解釋和修改。自發(fā)布之日起執(zhí)行。

附件1：外聯(lián)單位聯(lián)系列表單位類(lèi)型單位名稱(chēng)合作內(nèi)容聯(lián)系人聯(lián)系方式公安機(jī)關(guān)電信單位兄弟單位供應(yīng)商業(yè)界專(zhuān)豕安全單位/安全組織

附件2：第三方人員操作記錄操作人員所屬我局操作事由操作設(shè)備名操作內(nèi)容陪同人員附件3：第三方服務(wù)商保密協(xié)議甲方： 地址：郵編：電話：乙方： 地址：郵編：電話：為了保護(hù)甲乙雙方在商業(yè)和技術(shù)合作中涉及的專(zhuān)有信息（如本協(xié)議第一款所定義的內(nèi)容），經(jīng)友好協(xié)商，甲乙雙方簽訂如下協(xié)議：1.定義：專(zhuān)有信息的定義：本協(xié)議所稱(chēng)的“專(zhuān)有信息”是指所有涉密信息、商業(yè)秘密、技術(shù)秘密、通信或與該產(chǎn)品相關(guān)的其他信息，無(wú)論是書(shū)面的、口頭的、圖形的、電磁的或其它任何形式的信息，包括（但不限于）數(shù)據(jù)、模型、樣品、草案、技術(shù)、方法、儀器設(shè)備和其它信息，上述信息必須以如下形式確定：對(duì)于書(shū)面的或其它有形的信息，在交付接收方時(shí)必須標(biāo)明專(zhuān)有或秘密，并注明專(zhuān)有信息屬于甲方或乙方。對(duì)于口頭信息，在透露給接收方前必須聲明是專(zhuān)有信息，進(jìn)行書(shū)面記錄，并注明專(zhuān)有信息屬于甲方或乙方?！敖邮辗健保罕緟f(xié)議所稱(chēng)的“接收方”是指接收專(zhuān)有信息的一方。“透露方”：本協(xié)議所稱(chēng)的“透露方”是指透露專(zhuān)有信息的一方。2.權(quán)利保證：“透露方”保證其向“接受方”透露的專(zhuān)有信息不侵犯任何第三方的知識(shí)產(chǎn)權(quán)及其它權(quán)益。3.保密義務(wù)：“接收方”同意嚴(yán)格控制“透露方”所透露的專(zhuān)有信息，保護(hù)的程度不能低于“接收方”保護(hù)自己的專(zhuān)有信息。但無(wú)論如何，“接收方”對(duì)該專(zhuān)有信息的保護(hù)程度不能低于一個(gè)管理良好的技術(shù)企業(yè)保護(hù)自己的專(zhuān)有信息的保護(hù)程度?！敖邮辗健北ＷC采取所有必要的方法對(duì)“透露方”提供的專(zhuān)有信息進(jìn)行保密，包括（但不限于）執(zhí)行和堅(jiān)持令人滿(mǎn)意的作業(yè)程序來(lái)避免非授權(quán)透露、使用或復(fù)制專(zhuān)有信息?！敖邮辗健北ＷC不向任何第三方透露本協(xié)議的存在或本協(xié)議的任何內(nèi)容。4.使用方式和不使用的義務(wù)：4.1“接收方”同意如下內(nèi)容：“透露方”所透露的信息只能被“接收方”用于評(píng)價(jià)產(chǎn)品商業(yè)開(kāi)發(fā)的可能性；不能將“透露方”所透露的專(zhuān)有信息用于其它任何目的；除“接收方”的高級(jí)職員和直接參與本項(xiàng)工作的普通職員之外，不能將專(zhuān)有信息透露給其它任何人；無(wú)論如何，不能將此專(zhuān)有信息的全部或部分進(jìn)行復(fù)制或仿造；“接收方”應(yīng)當(dāng)告知并以適當(dāng)方式要求其參與本項(xiàng)工作之雇員遵守本協(xié)議規(guī)定，若參與本項(xiàng)工作之雇員違反本協(xié)議規(guī)定，“接收方”應(yīng)承擔(dān)連帶責(zé)任。5.例外情況：“接收方”保密和不使用的義務(wù)不適用于下列專(zhuān)有信息：有書(shū)面材料證明，“透露方”在未附加保密義務(wù)的情況下公開(kāi)透露的信息；有書(shū)面材料證明，在未進(jìn)行任何透露之前，“接收方”在未受任何限制的情況下已經(jīng)擁有的專(zhuān)有信息；有書(shū)面材料證明，該專(zhuān)有信息已經(jīng)被“接收方”之外的他方公開(kāi)；有書(shū)面材料證明，“接收方”通過(guò)合法手段從第三方在未受到任何限制的情況下獲得該專(zhuān)有信息。6.專(zhuān)有信息的交回：當(dāng)“透露方”以書(shū)面形式要求“接收方”交回專(zhuān)有信息時(shí)，“接收方”應(yīng)當(dāng)立即交回所有書(shū)面的或其他有形的專(zhuān)有信息以及所有描述和概括該專(zhuān)有信息的文件。沒(méi)有“透露方”的書(shū)面許可，“接收方”處分任何書(shū)面的或其他有形的專(zhuān)有信息。7.否認(rèn)許可：除非“透露方”明確地授權(quán)，“接收方”不能認(rèn)為“透露方”授予其包含該專(zhuān)有信息的任何專(zhuān)利權(quán)、專(zhuān)利申請(qǐng)權(quán)、商標(biāo)權(quán)、著作權(quán)、商業(yè)秘密或其它的知識(shí)產(chǎn)權(quán)。8.救濟(jì)方法：雙方承認(rèn)并同意如下內(nèi)容：“透露方”透露的專(zhuān)有信息是有價(jià)值的商業(yè)秘密；遵守本協(xié)議的條款和條件對(duì)于保護(hù)專(zhuān)有信息的秘密是有必要的；所有違約對(duì)該專(zhuān)有信息進(jìn)行未被授權(quán)的透露或使用將對(duì)“透露方”造成不可挽如果發(fā)生“接收方”違約，雙方同意如下內(nèi)容：“接收方”應(yīng)當(dāng)按照“透露方”的指示采取有效的方法對(duì)該專(zhuān)有信息進(jìn)行保密，所需費(fèi)用由“接收方”承擔(dān)；9.保密期限：自本協(xié)議生效之日起，雙方的合作交流都要符合本協(xié)議的條款。除非“透露方”通過(guò)書(shū)面通知明確說(shuō)明本協(xié)議所涉及的某項(xiàng)專(zhuān)有信息可以不用保密，接收方必須按照本協(xié)議所承擔(dān)的保密義務(wù)對(duì)在結(jié)束協(xié)議前收到的專(zhuān)有信息進(jìn)行保密，保密期限不受本協(xié)議有效期限的限制。10.適用法律：本協(xié)議受中華人民共和國(guó)法律管轄，并在所有方面依其進(jìn)行解釋。11.爭(zhēng)