第三方服務商管理制度第一條為了加強對第三方的安全管理，明確定義第三方必須遵守的安全管理規(guī)定以及服務交付的安全要求等，特制定本規(guī)定。第二條本規(guī)定適用于XXXXXXX局對第三方以及外包服務的安全管理。第三條本規(guī)定中的第三方是指所有進入XXXXXXX局內部提供相關技術服務的非XXXXXXX局人員(包括但不限于供應商、合作廠商、服務商)。第四條第三方管理部門或人員一般為XXXXXXX局信息系統(tǒng)相關外包服務項目管理部門或人員，其職責：按照相關需求、政府采購規(guī)定以及XXXXXXX局的相關規(guī)定選擇聲譽良好、值得信賴的第三方服務商。按照權限最小的原則，負責第三方權限的申請工作。負責對第三方的信息安全培訓以及第三方人員現(xiàn)場工作的管理。負責在協(xié)議或合同談判階段，與第三方簽訂保密協(xié)議以及確定服務安全的要求。根據(jù)合同或服務協(xié)議對第三方服務交付進行管理，保證服務交付質量。第五條第三方選擇基本要求：準確理解需求原則：第三方必須對XXXXXXX局信息系統(tǒng)外包服務的需求有深刻的理解，凡不能準確理解需求或與需求相背者不予選擇。技術能力：要求第三方具備所需的技術能力、工作經(jīng)驗和專業(yè)知識，或者能夠合理地預期第三方最終會得到這些技術能力、工作經(jīng)驗和專業(yè)知識。管理水平：第三方是否已經(jīng)具備，或者能夠合理地預期第三方最終能夠開發(fā)出項目所需資源的管理能力。財務能力：第三方是否已經(jīng)具備，或能否合理地預期第三方能夠具備項目所需的財力資源和財務能力。服務能力：第三方是否具備或能否合理地預期第三方能夠具備項目所需的兌現(xiàn)服務承諾的能力。第六條資質要求：按國家、行業(yè)和我局明確規(guī)定的服務資質要求考查第三方，如規(guī)定缺失，則根據(jù)項目實際要求確定第三方資質要求。按服務項目專業(yè)要求設定關鍵技術人員和管理人員的資質要求和具備相應資質的人員數(shù)量要求。第七條第三方需要對敏感的信息資產(chǎn)進行訪問時，要簽訂保密協(xié)議或正式的合同，合同中有關的安全要求符合XXXXXXX局信息系統(tǒng)總體安全策略。第八條與第三方簽署的合同中要至少考慮如下因素：合同雙方各自的相關責任；明確對第三方的保密要求；明確保護信息資產(chǎn)的內容和條款；明確描述服務內容和服務標準；人員的安全要求；符合相關國家和地區(qū)的法律、法規(guī)要求；明確對知識產(chǎn)權的歸屬及保護；必須聲明XXXXXXX局所擁有的權力，包括：監(jiān)督、限制第三方活動的權力；對合同權責進行監(jiān)理或指定第三方監(jiān)理的權力；軟、硬件安裝和維護方面的責任；清晰具體的變更控制流程；用于安全事故和安全違規(guī)事件的報告、通知和調查程序。第九條服務質量要求：第三方必須依據(jù)合同或獨立的服務協(xié)議中的關鍵指標提供服務；在服務提供期間，XXXXXXX局信息系統(tǒng)項目管理部門或人員應該經(jīng)常對第三方的人員資質進行確認，保證服務期間服務人員的穩(wěn)定性；根據(jù)項目要求事先制定對第三方服務的評價指標和測量體系，以確保第三方服務提供的質量。第十條服務的改進：第三方在服務提供過程中，發(fā)現(xiàn)與服務的需求有較大差距時，雙方必須對服務進行評估，如果是未達到服務合同或服務協(xié)議的要求，則責成第三方對服務進行改進；如果第三方服務達到合同或服務協(xié)議的要求，但是還是不能滿足服務的要求，則雙方可以協(xié)商對合同或服務協(xié)議進行變更，提高關鍵指標以適應服務的要求。第十一條第三方必須按合同中規(guī)定的保密條款對服務過程中接觸到的任何信息和數(shù)據(jù)進行保密。第十二條第三方在服務過程中必須保證數(shù)據(jù)的完整性和可用性，如果對數(shù)據(jù)的完整性和可用性會造成影響，必須事先申明，并取得相關部門的批準，才可以實施相關的操作。第十三條如因業(yè)務需要向第三方提供含有XXXXXXX局保密信息的文件、資料或實物時，應當獲得相應的批準或授權，并與第三方簽訂特別保密協(xié)議后提供，提供時應開具清單請第三方簽收。第十四條對第三方的工作人員因業(yè)務需要須在XXXXXXX局進行工作時，應與其簽訂個人保密協(xié)議，明確保密制度,如需接觸或查閱內部文件的，必須經(jīng)過相關部門負責人簽字批準，并由其本人填寫查閱記錄。第十五條服務項目范圍變更：如果合同執(zhí)行中，發(fā)現(xiàn)第三方的服務能力不能滿足服務外包的需求，經(jīng)雙方協(xié)商，一般要求更換服務提供商。如果合同執(zhí)行中，發(fā)現(xiàn)服務需求的范圍超過了合同里所約定的服務范圍，而這些需求與合同所規(guī)定的服務范圍是相同的系統(tǒng)或設備，并且正好是第三方的服務能力范圍之內，可以通過協(xié)商變更服務合同，增加服務范圍。服務項目變更必須經(jīng)過所屬項目管理及采購部門的審批。第十六條服務提供商變更：在對第三方考評不合格時，給以書面的形式要求第三方提高服務質量，并明確指出服務質量存在的具體問題和改進辦法；如果第三方服務能力不能滿足服務要求，并造成系統(tǒng)運行不良影響時，可以考慮對服務提供商進行變更，以保證信息系統(tǒng)的正常穩(wěn)定運行。第十七條人員出入：第三方人員進入XXXXXXX局各種場合禁止攜帶易燃、易爆物品，并在門衛(wèi)處接受檢查；第三方人員進入XXXXXXX局時，必須在門衛(wèi)處出示有效證件，按門衛(wèi)或接待處的要求登記相關信息；臨時來訪第三方出入關鍵信息場所必須由接待人全程陪同，告知有關安全管理規(guī)定，不得任其自行走動和未經(jīng)允許使用XXXXXXX局信息設備；出入關鍵場所的臨時第三方人員離開XXXXXXX局時應由接待人陪送，接待人應在登記表上簽名，并簽署離開時間；接待人在無法陪送的情況下應委托本部門其他人陪送；第三方人員進出機房等重要區(qū)域時，必須遵守該區(qū)域的進出管理規(guī)定；非臨時第三方人員工作完成后，由所屬項目管理部門或人員對第三方人員的工作進行安全檢查和安全評估后方可離場。第十八條設備攜入攜出：1)第三方人員攜帶設備(如筆記本電腦、計算機及配件、網(wǎng)絡設備等)進入，必須進行登記；攜帶設備離開，必須經(jīng)過按照事先登記的內容進行檢查；2)第三方人員攜帶的維修配件必須在進入維修區(qū)域前向接待人員出示，并登記；第三方人員將維修設備的損壞配件攜出XXXXXXX局信息系統(tǒng)的運行場所時，必須與我局的相關管理人員說明情況并在維護記錄中登記；第三方人員將好的配件換入維修設備時，必須向我局的相關管理人員說明情況，并在維修記錄中記錄。第十九條辦公場所：1)業(yè)務洽談和技術交流應當在接待室、會議室或培訓教室內進行，招標、談判等正式洽談和重大項目的會談應當在專門的會議室進行，不得在辦公室內進行；2)必須指定非臨時第三方人員的辦公區(qū)域，只允許第三方人員在指定區(qū)域范圍內進行業(yè)務活動。第二十條一般規(guī)定：1)第三方人員不得越權使用信息系統(tǒng)的任何功能；2)第三方人員不得私自拷貝信息系統(tǒng)中的任何數(shù)據(jù)和程序；第三方人員將信息系統(tǒng)的軟硬件攜入與攜出信息系統(tǒng)的運行場所必須遵守相關的管理規(guī)定；第三方人員不得私自將含有密鑰的設備(或配件)攜出信息系統(tǒng)的運行場所；第三方人員使用信息系統(tǒng)的操作記錄應進行登記(附件一、第三方人員操作記錄表)；未經(jīng)允許，第三方不得使用信息系統(tǒng)。第二十一條賬號控制：1)第三方人員使用信息系統(tǒng)必須遵守信息系統(tǒng)使用的賬號管理規(guī)定；2)第三方人員必須保證信息系統(tǒng)賬號的安全，不能泄露給無關的第三方；第三方人員在工作人員變動時，必須向項目管理部門或人員報告，由安全管理員對賬號進行安全處理。第二十二條密碼控制：1)第三方人員必須保證密碼不泄露，當不慎泄露密碼時，應立即通知我局相關管理人員；2)服務提供的密碼由信息系統(tǒng)相關管理員定期更換，更換后信息系統(tǒng)相關管理人員向第三方人員通知密碼。第二十三條為了保證本文件的時效性、可用性，必須根據(jù)相關審核規(guī)定進行評審和修訂，修訂后重新發(fā)布。第二十四條本規(guī)定由局信息中心負責制定、解釋和修改。自發(fā)布之日起執(zhí)行。

附件1：外聯(lián)單位聯(lián)系列表單位類型單位名稱合作內容聯(lián)系人聯(lián)系方式公安機關電信單位兄弟單位供應商業(yè)界專豕安全單位/安全組織

附件2：第三方人員操作記錄操作人員所屬我局操作事由操作設備名操作內容陪同人員附件3：第三方服務商保密協(xié)議甲方： 地址：郵編：電話：乙方： 地址：郵編：電話：為了保護甲乙雙方在商業(yè)和技術合作中涉及的專有信息（如本協(xié)議第一款所定義的內容），經(jīng)友好協(xié)商，甲乙雙方簽訂如下協(xié)議：1.定義：專有信息的定義：本協(xié)議所稱的“專有信息”是指所有涉密信息、商業(yè)秘密、技術秘密、通信或與該產(chǎn)品相關的其他信息，無論是書面的、口頭的、圖形的、電磁的或其它任何形式的信息，包括（但不限于）數(shù)據(jù)、模型、樣品、草案、技術、方法、儀器設備和其它信息，上述信息必須以如下形式確定：對于書面的或其它有形的信息，在交付接收方時必須標明專有或秘密，并注明專有信息屬于甲方或乙方。對于口頭信息，在透露給接收方前必須聲明是專有信息，進行書面記錄，并注明專有信息屬于甲方或乙方?！敖邮辗健保罕緟f(xié)議所稱的“接收方”是指接收專有信息的一方?！巴嘎斗健保罕緟f(xié)議所稱的“透露方”是指透露專有信息的一方。2.權利保證：“透露方”保證其向“接受方”透露的專有信息不侵犯任何第三方的知識產(chǎn)權及其它權益。3.保密義務：“接收方”同意嚴格控制“透露方”所透露的專有信息，保護的程度不能低于“接收方”保護自己的專有信息。但無論如何，“接收方”對該專有信息的保護程度不能低于一個管理良好的技術企業(yè)保護自己的專有信息的保護程度。“接收方”保證采取所有必要的方法對“透露方”提供的專有信息進行保密，包括（但不限于）執(zhí)行和堅持令人滿意的作業(yè)程序來避免非授權透露、使用或復制專有信息。“接收方”保證不向任何第三方透露本協(xié)議的存在或本協(xié)議的任何內容。4.使用方式和不使用的義務：4.1“接收方”同意如下內容：“透露方”所透露的信息只能被“接收方”用于評價產(chǎn)品商業(yè)開發(fā)的可能性；不能將“透露方”所透露的專有信息用于其它任何目的；除“接收方”的高級職員和直接參與本項工作的普通職員之外，不能將專有信息透露給其它任何人；無論如何，不能將此專有信息的全部或部分進行復制或仿造；“接收方”應當告知并以適當方式要求其參與本項工作之雇員遵守本協(xié)議規(guī)定，若參與本項工作之雇員違反本協(xié)議規(guī)定，“接收方”應承擔連帶責任。5.例外情況：“接收方”保密和不使用的義務不適用于下列專有信息：有書面材料證明，“透露方”在未附加保密義務的情況下公開透露的信息；有書面材料證明，在未進行任何透露之前，“接收方”在未受任何限制的情況下已經(jīng)擁有的專有信息；有書面材料證明，該專有信息已經(jīng)被“接收方”之外的他方公開；有書面材料證明，“接收方”通過合法手段從第三方在未受到任何限制的情況下獲得該專有信息。6.專有信息的交回：當“透露方”以書面形式要求“接收方”交回專有信息時，“接收方”應當立即交回所有書面的或其他有形的專有信息以及所有描述和概括該專有信息的文件。沒有“透露方”的書面許可，“接收方”處分任何書面的或其他有形的專有信息。7.否認許可：除非“透露方”明確地授權，“接收方”不能認為“透露方”授予其包含該專有信息的任何專利權、專利申請權、商標權、著作權、商業(yè)秘密或其它的知識產(chǎn)權。8.救濟方法：雙方承認并同意如下內容：“透露方”透露的專有信息是有價值的商業(yè)秘密；遵守本協(xié)議的條款和條件對于保護專有信息的秘密是有必要的；所有違約對該專有信息進行未被授權的透露或使用將對“透露方”造成不可挽如果發(fā)生“接收方”違約，雙方同意如下內容：“接收方”應當按照“透露方”的指示采取有效的方法對該專有信息進行保密，所需費用由“接收方”承擔；9.保密期限：自本協(xié)議生效之日起，雙方的合作交流都要符合本協(xié)議的條款。除非“透露方”通過書面通知明確說明本協(xié)議所涉及的某項專有信息可以不用保密，接收方必須按照本協(xié)議所承擔的保密義務對在結束協(xié)議前收到的專有信息進行保密，保密期限不受本協(xié)議有效期限的限制。10.適用法律：本協(xié)議受中華人民共和國法律管轄，并在所有方面依其進行解釋。11.爭