外部相關(guān)方信息安全管理規(guī)程

外部相關(guān)方信息安全管理規(guī)程1.前言為了保護公司的信息安全，規(guī)范與外部相關(guān)方的信息交互行為，制定本規(guī)程，明確外部相關(guān)方在獲取、處理、存儲等各個環(huán)節(jié)應(yīng)遵守的信息安全管理要求，旨在確保公司的信息安全。2.定義外部相關(guān)方：指與公司發(fā)生業(yè)務(wù)往來的其他組織、個人。機密信息：指可能對公司造成重大損失或泄露對公司不利的信息。敏感信息：指不屬于機密信息，但在泄露后會對公司造成一定損失或者可能被他人濫用的信息。個人信息：指具有標識個人身份的信息，包括但不限于姓名、身份證號、電話號碼、地址等信息。信息接入點：指外部相關(guān)方通過的接入網(wǎng)絡(luò)、設(shè)備、系統(tǒng)或者應(yīng)用程序等信息交換渠道。3.外部相關(guān)方信息安全管理要求3.1信息安全保密要求外部相關(guān)方不得在未經(jīng)授權(quán)的情況下，收集、利用、存儲、預(yù)覽、處理、輸出或傳輸公司的機密信息和敏感信息。外部相關(guān)方在與公司的業(yè)務(wù)往來中，應(yīng)將公司的機密信息和敏感信息予以妥善保管，防止泄露或濫用。外部相關(guān)方不得擅自將公司的機密信息和敏感信息轉(zhuǎn)授給其他第三方機構(gòu)或個人。外部相關(guān)方不得向其他員工或機構(gòu)透露公司的機密信息和敏感信息，如有必要，需獲得授權(quán)。外部相關(guān)方應(yīng)根據(jù)公司的要求處理信息載體，如資料、文檔、磁盤等，確保機密信息和敏感信息不會被非法獲取。3.2信息安全技術(shù)要求外部相關(guān)方使用的所有信息系統(tǒng)均需有安全保護措施，如防火墻、殺毒軟件、入侵檢測系統(tǒng)、備份系統(tǒng)等。外部相關(guān)方使用的所有信息系統(tǒng)更換前，需對其中的機密信息和敏感信息進行完全刪除或徹底清空。如有必要，應(yīng)由公司派員參與并確認。外部相關(guān)方應(yīng)使用安全可靠的協(xié)議，如TLS/SSL等。外部相關(guān)方應(yīng)定期對其信息系統(tǒng)進行安全檢測和漏洞掃描，發(fā)現(xiàn)問題及時解決并上報公司。外部相關(guān)方使用的手機、筆記本電腦等移動設(shè)備應(yīng)安裝相應(yīng)的安全保護軟件，確保機密信息和敏感信息不會被非法獲取。外部相關(guān)方不得在未經(jīng)允許的情況下，向公司網(wǎng)絡(luò)、設(shè)備、系統(tǒng)或者應(yīng)用程序等信息接入點以外的設(shè)備輸入或輸出信息流，或者未經(jīng)授權(quán)將公司的機密信息和敏感信息輸入到外部裝置中。3.3個人信息保護要求外部相關(guān)方在獲取、保存和使用個人信息時，應(yīng)嚴格遵守《個人信息保護法》相關(guān)規(guī)定，保護被收集信息人的合法權(quán)益。外部相關(guān)方不得非法獲取、泄露或濫用個人信息。外部相關(guān)方應(yīng)加強對個人信息數(shù)據(jù)的保密性，安全性和完整性管理，確保個人信息不被竊取、篡改、毀損等。外部相關(guān)方應(yīng)遵照合法、正當、必要、自愿的原則，收集和使用個人信息，不得強迫、欺詐或者其他隱蔽的方式強制收集個人信息。外部相關(guān)方應(yīng)按照相關(guān)規(guī)定，在個人信息保護方面實施訪問控制、運行監(jiān)測等措施，保障信息安全。4.監(jiān)督與管理公司應(yīng)指定專人負責外部相關(guān)方信息安全管理，監(jiān)督外部相關(guān)方的信息安全行為，并對其進行定期檢查和評估。在與外部相關(guān)方簽訂合同、協(xié)議等文件時，公司需將信息安全管理要求明確寫入條款，并明確各方的權(quán)利和義務(wù)。對于外部相關(guān)方的安全違規(guī)行為，公司應(yīng)根據(jù)相關(guān)條款或規(guī)定，采取相應(yīng)措施予以處理，包括但不限于限制其使用權(quán)或停止與其業(yè)務(wù)合作。達到規(guī)定的保密時間后，公司保留向外部相關(guān)方追索已經(jīng)泄露的機密信息和敏感信息權(quán)利。5.附則本規(guī)程自頒布之日起執(zhí)行。本規(guī)程解釋權(quán)歸公司所有。本規(guī)程由公司信息安全專家和法務(wù)人員共同起草。本規(guī)程可根據(jù)需要進行修訂，修訂后的