1、所有部门版本修订版本号版本说明牵头部门制作信息中心复审批准注:文档基本信息记录本文档提交时的当前有效的基本控制信息,当前版本文档有效期将在新版本文档生效时自动结束。文档版本小于1.0 时,表示该版本文档为草案,仅可作为参照资料之目的。10 目 录1 目的42 适用范围43 职责44 管理规定44.1 定义4 4.2 第三方组织管理5 4.2.1 合同和保密协议5 4.2.2 考评5 4.2.3 保密5 4.2.4 知识产权5 4.3 第三方人员管理5 4.3.1 入职审核5 4.3.2 日常安全管理6 4.3.3 工作场地管理7 4.3.4 转岗或离岗7 5 附录8附录 1 第三方人员信息安全
2、保证书8 附录 2 第三方人员变更申请书9 附录 3 第三方工作备案表11 附录 4 第三方工作汇报12 附录 5 系统第三方工作考核表13 1 目的为加强对第三方组织(软件开发商、设备供应商、系统集成商等)及第三方人员(厂商技术人员、第三方人员、咨询服务人员)的管理,保障(单位名称) 技术系统信息安全、稳定开发、运行与维护过程安全,加强(单位名称)保密工作,特制定本规定。2 适用范围适用于与(单位名称)有契约合作关系的所有第三方组织和人员。3 职责由(单位名称)人事处负责监督此文件的执行,其他各个部门主管负责本部门的具体执行。4 管理规定4.1 定义本规定所称的第三方组织包括软件开发商、设备
3、供应商、咨询服务商、系统集成商与运维服务商。在第三方人员访问受控区域前必须经过授权或审批,在批准后由专人全程陪同或监督,并登记在第三方工作备案表。本规定所称第三方人员是指第三方组织长期派驻(单位名称)的员工或临时到(单位名称)现场工作的人员。本办法所称的秘密主要包括: (单位名称)规定的秘密; (单位名称)或上级主管、关联单位的内部规章制度和有关政策与程序, 内部办公信息与非市场公开信息; (单位名称)或上级主管、关联单位的技术系统信息。包含但不限于相关硬件、软件、方案、设计、算法、数据、源码、记录、报告、设置、设施等; (单位名称)与第三方组织合作项目中的商业秘密; 其他经(单位名称)确定应
4、予保密的事项。4.2 第三方组织管理4.2.1 合同和保密协议第三方组织与(单位名称)签订合同和同时签订指定的保密协议。第三方组织应严格按照合同及附属保密协议的条款履行承担的责任。4.2.2 考评(单位名称)每季度对第三方组织进行考评并召开第三方组织例会;如特殊情况需要,(单位名称)可召集临时第三方组织会议。第三方组织应指派专人参加厂商会议,不得缺席。4.2.3 保密未经(单位名称)书面授权,第三方组织及其人员不得将在与单位合作过程中涉及或新产生的一切秘密信息在任何时间以任何方式泄露给任何第三方。4.2.4 知识产权软件开发合同必须明确开发软件的知识产权归属。4.3 第三方人员管理4.3.1
5、入职审核1. 第三方组织若要指派人员为(单位名称)服务,则需要按照本管理办法与员工签订第三方人员岗位信息安全保证书,加盖单位公章,提交给人事处审核。由人事处审核之后,签署审核意见,档案保存保证书,方可允许第三方人员为(单位名称)服务。2. 第三方组织派遣至(单位名称)现场工作的人员必须具有所工作领域的相关资格或丰富经验,其工作能力能胜任在(单位名称)现场工作的要求。3. 第三方组织应对来(单位名称)现场工作的人员进行岗前信息安全教育培训。未经过岗前信息安全教育的新增人员,不得在(单位名称)现场工作。4. 第三方组织应为长期派驻(单位名称)工作的人员制定考勤制度,并且严格执行。5. 第三方人员在
6、(单位名称)工作时,应遵守(单位名称)相关规章制度。软件开发商人员在软件开发过程中还应遵循(单位名称)技术开发规范并接受(单位名称)审计。6. 因工作需要为第三方人员在系统中创建帐户时,应参照(单位名称)开发人员标准执行。软件开发商帐户由(单位名称)的项目负责人发起申请, 并按照单位现有帐号申请审批流程执行。7. 第三方人员用户的密码应按(单位名称)相关规定进行设置。用户必须保管好自己的密码,禁止借给其他人员使用。8. 第三方人员用户使用完毕,应及时告知(单位名称)项目负责人。由项目负责人按照单位现有的帐号管理办法进行帐号的删除申请流程,由相关系统管理员负责及时删除用户。9. 第三方人员要严格
7、遵守(单位名称)已经颁布的各种规章、制度及流程。4.3.2 日常安全管理1. 第三方人员应严格保守(单位名称)的秘密。不得利用工作之便窃取(单位名称)的秘密信息;未经许可,不得将秘密信息带出(单位名称)。2. 第三方组织长期派驻(单位名称)工作的人员所使用的个人电脑必须安装(单位名称)规定的防病毒软件及相关安全软件、并接受统一管理。3. 第三方组织来(单位名称)临时工作的人员未经许可不得将个人电脑及各类移动存储设备接入(单位名称)网络及各类系统。需要临时接入网络时, 需要向我方接口人提出申请,并且由我方接口人按照单位规定的流程进行。4. 第三方人员因工作需要将设备带入或带出(单位名称)指定的工
8、作场所工作,应征得(单位名称)同意,并严格遵守(单位名称)相关制度。5. 第三方人员在开发、维护过程中,不得对系统设置“后门”, “木马”等隐藏通道绕开系统安全路径的程序或设备。6. 第三方人员只能接触或接入与其工作相关的网络与主机,不得接触或接入与工作无关的网络与主机。软件开发商长期派驻(单位名称)人员只能将电脑连接到指定网段内进行软件开发,不得私自拨号连接 Internet。7. 当发生信息安全事件时,第三方人员必须服从(单位名称)信息安全工作小组的统一指挥。8. 第三方系统相关部门的负责人制定专人作为第三方公司和第三方人员的接口人,负责整理和更新第三方工作备案表,并且定期对第三方工作进行
9、考核;考核结果填写在第三方工作考核记录表中。9. 第三方人员需要每周填写第三方工作汇报对所第三方的系统进行工作汇报,每周末下班前直接以电子文档或文本形式递交给相应第三方系统的接口人。4.3.3 工作场地管理1. 第三方人员应在(单位名称)指定的工作场所工作,并保持工作场所的清洁、安全。2. 第三方人员未经(单位名称)相关负责人的同意,不得进入有特别权限规定的区域。4.3.4 转岗或离岗若第三方人员要转岗或离岗,提交第三方人员转岗或离岗申请书并由第三方公司主管签署审核意见,(单位名称)主管部门根据(单位名称)帐号、口令及权限管理规定,完成转岗或离岗第三方人员的帐号回收和安全审计等工作,并签署转岗
10、或离岗申请意见。5 附录附录 1 第三方人员信息安全保证书现有(下称甲方)派遣员工 (下称乙方),作为(单位名称)的业务系统第三方人员,乙方郑重向甲方和(单位名称)作出如下承诺:1. 恪守良好的职业道德,严格遵照(单位名称)的相关规定进行业务支撑系统的相关工作,做到诚信和守法;2. 严格遵守(单位名称)关于信息管理、信息安全、信息持有等方面的规定;不得利用知悉工作过程中的设备口令、帐户信息、任何加解密程序和软件、加解密数据文件以及测试工作和软件等在职期间或离职后为本人或第三方谋取利益。3. 不利用职务上的便利或技能从事任何损害(单位名称)及(单位名称)客户利益的行为。4. 乙方除履行职务的需要
11、外,未经甲方事先书面同意,不得泄漏、传播、公布、发布、传授、转让或其他任何方式让第三方(包括按照甲方保密规定无权知悉该秘密的甲方职员) 知悉属于甲方或虽属他人但甲方承诺有保密义务的技术秘密和商业秘密,也不得在履行 职务之外使用这些秘密信息。5. 乙方在甲方任职期间因职务上的需要,乙方所持有或保管的一切记录有甲方规定为秘密 信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归甲方所有,无论这些秘密信息有无商业上的价值,乙方在离职离岗时, 必须返还属于甲方,不得将这些载体及其复制件擅自保留或嫁给其他任何人。6. 甲方保密规章制度中未作规定或规定不明确之处,乙
12、方亦应本着谨慎和负责的态度,严格保守本人知悉的技术秘密和商业秘密。乙方确认已充分知晓和理解本承诺,并正式做出以上承诺,保证严格遵守上述内容。如果违背以上承诺,乙方愿意承担全部法律责任。甲方单位代表签名:乙方签名:甲方单位盖章:乙方身份证号码:时间:年月日时间:年月日附录 2 第三方人员变更申请书姓名身份证号联系电话单位职务申请类别到 岗 / 离 岗 / 其 他 申请内容申请人日期第三方公司审批第三方公司主管审批意见: 第三方公司主管: 日期:(单位名称)审批系统相关部门审批意见: 主管:日期:信息中心审批意见: 备注:附录 3 第三方工作备案表序号第三方公司第三方人员电话系统名称第三方工作内容主管部门部门接口人备注11 第三方人员第三方系统名称第三方公司系统第三方工作汇报(1)系统第三方工作综述(2)本周(或本月)第三方工作描述(3)遗留问题或需单位配合事宜汇报人: 备注附录 4 第三方工作汇报13 附录 5 系统第三方工作考核表第三方人员第三方公司第三方工作考核记录(1)系统第三方工作综述(本次考核期间)