1、第三方信息安全管理規(guī)定第_章總則第一條為規(guī)范科技發(fā)展部的第三方信息安全管理工作，有效控制 第三方和第三方人員可能帶來的信息安全風(fēng)險(xiǎn)，特制定本規(guī)定。第二條本規(guī)定適用于直接或間接為科技發(fā)展部提供產(chǎn)品和服務(wù)的 第三方及第三方人員。第二章組織與職責(zé)第三條科技發(fā)展部風(fēng)險(xiǎn)管理組負(fù)責(zé)編寫用于第三方人員的信息安 全培訓(xùn)材料，監(jiān)督和檢查各部門第三方及第三方人員管理的執(zhí)行情 況。第四條 各部門安全組負(fù)責(zé)監(jiān)督和檢查本部門第三方及第三方人員 管理的執(zhí)行情況。第五條各部門負(fù)責(zé)識別引入第三方所可能帶來的風(fēng)險(xiǎn)，要求第三 方指定安全責(zé)任人，指定第三方對口人員，實(shí)施對第三方及第三方 人員的風(fēng)險(xiǎn)管控，建立并維護(hù)本部門第三方駐場人

2、員情況記錄 表，對第三方人員進(jìn)行信息安全培訓(xùn)并與之簽訂第三方人員信息 安全承諾書，協(xié)助相關(guān)部門做好第三方的信息安全管理工作。第六條 全體員工在日常工作中應(yīng)保持對第三方人員的關(guān)注；僅允 許第三方人員訪問獲得批準(zhǔn)的信息資產(chǎn)，禁止向未簽署保密承諾書 的第三方人員提供涉及科技發(fā)展部秘密的信息；阻止第三方人員可 能給科技發(fā)展部造成的損失的行為；當(dāng)作為第三方對口人員時(shí)，應(yīng) 代表本部門對第三方人員進(jìn)行嚴(yán)格管理，對進(jìn)入重要區(qū)域的第三方 人員進(jìn)行現(xiàn)場全程跟蹤。第三章合作前的管理第七條 在引入新的第三方服務(wù)前，由第三方對口部門識別引入該 第三方服務(wù)可能帶來的信息安全風(fēng)險(xiǎn)。第八條第三方在為科技發(fā)展部提供產(chǎn)品與服務(wù)時(shí)

3、，需要遵守本規(guī) 定中有關(guān)第三方人員的管理要求。第九條 各相關(guān)部門應(yīng)向第三方提出保密相關(guān)要求，主要內(nèi)容包 括：（一）第三方應(yīng)承諾不泄露科技發(fā)展部非公開信息；（二）第三方應(yīng)承諾不進(jìn)入科技發(fā)展部非授權(quán)區(qū)域；（三）第三方應(yīng)明確在服務(wù)提供期間所涉及知識產(chǎn)權(quán)的歸屬；（四）第三方應(yīng)明確違反保密要求的后果。第四章合作中的管理第十條第三方人員進(jìn)入科技發(fā)展部前，需要提供有效身份證件， 由門衛(wèi)同對口部門確認(rèn)無誤后放行；對于沒有攜帶有效身份證明的 第三方人員，由對口部門填寫第三方人員確認(rèn)擔(dān)保表。第十一條第三方人員進(jìn)場后，如需接觸科技發(fā)展部非公開信息，必 須同科技發(fā)展部簽訂第三方人員信息安全承諾書。第十二條對于需要在科

4、技發(fā)展部連續(xù)工作超過兩天的第三方人員， 由對口部門對其進(jìn)行信息安全培訓(xùn)，并填寫第三方駐場人員信息安 全培訓(xùn)表。第十三條第三方人員的物理訪問權(quán)限及邏輯訪問權(quán)限按最小訪問原 則來授予。第十四條第三方人員不得擅自進(jìn)入未得到授權(quán)的區(qū)域；第三方人員 進(jìn)出機(jī)房區(qū)域和重要區(qū)域，應(yīng)由對口部門負(fù)責(zé)為其辦理進(jìn)出機(jī)房審 批，并由對口人員全程陪同并辦理登記手續(xù)。第十五條第三方不得擅自接入（含遠(yuǎn)程接入）科技發(fā)展部生產(chǎn)系統(tǒng) 或網(wǎng)絡(luò)，確因工作原因需要實(shí)施接入，應(yīng)向?qū)诓块T負(fù)責(zé)人提交申 請，并按規(guī)定由相關(guān)負(fù)責(zé)人審批通過后，由對口人員監(jiān)督第三方的 接入過程直到連接斷開。第十六條第三方人員必須在已簽訂信息安全承諾書的前提下，經(jīng)過

5、 對口部門負(fù)責(zé)人審批，并向相關(guān)部門提交訪問申請，審批通過后才 能使用科技發(fā)展部非公開的信息資產(chǎn)。第十七條第三方人員應(yīng)關(guān)注并及時(shí)向?qū)谌藛T報(bào)告服務(wù)過程中發(fā)現(xiàn) 的安全弱點(diǎn)或技術(shù)薄弱點(diǎn)。第十八條第三方對口部門負(fù)責(zé)對第三方的日常管理和監(jiān)督工作；當(dāng) 第三方服務(wù)變更時(shí)，應(yīng)重新評估第三方及其人員的風(fēng)險(xiǎn)。第十九條第三方設(shè)備嚴(yán)禁接入科技發(fā)展部辦公網(wǎng)絡(luò)，第三方人員如 需使用接入辦公網(wǎng)絡(luò)的科技發(fā)展部設(shè)備，必須獲得對口部門負(fù)責(zé)人 審批。第五章合作終止后的管理第二十條第三方人員不再為科技發(fā)展部提供服務(wù)后，對口部門應(yīng)在 其離開當(dāng)天確保其所擁有的所有物理或邏輯訪問權(quán)限得到及時(shí)清 除。第二十一條當(dāng)合同或協(xié)議結(jié)束時(shí)，第三方應(yīng)及時(shí)歸還其正在使用 的一切科技發(fā)展部資產(chǎn)。第六章檢查與監(jiān)督第二十二條各部門應(yīng)定期組織對第三方及其人員管理狀況的自 查，自查結(jié)果記入第三方駐場人員管理情況自查表。第二十三條科技發(fā)展部應(yīng)定期對各部門的第三方信息安全管理工 作進(jìn)行監(jiān)督檢查，對于違反管理要求的部門或第三方提出整改要 求。第七章附則第二十四條本規(guī)定由科技發(fā)展部負(fù)責(zé)制定、修訂和解釋。第二十五條 本規(guī)定自發(fā)布之日起執(zhí)行。第二十六條記錄（一）第三方駐場人員情況記錄表（二）第三方人員信息安全承諾書（三）第三方人員確認(rèn)擔(dān)保