外包供應(yīng)商信息安全管理要求信息安全管理要求一、概念定義1.駐場/近岸：指由甲方擁有和管理的業(yè)務(wù)場地。2.離岸：指由乙方擁有和管理的業(yè)務(wù)場地。3.項(xiàng)目敏感信息：包括但不限于甲方的客戶信息（例如：會(huì)員信息、簽約商戶信息等，以及本合同中約定的“保密信息”）以及甲方的業(yè)務(wù)數(shù)據(jù)。4.甲方審批和報(bào)備：指乙方根據(jù)甲方項(xiàng)目主管的要求提供相關(guān)資料用于甲方業(yè)務(wù)、技術(shù)及信息安全團(tuán)隊(duì)的審批和報(bào)備。二、總體要求1.乙方在合作期內(nèi)應(yīng)按照符合業(yè)界標(biāo)準(zhǔn)的信息管控要求執(zhí)行信息安全管理，確保敏感信息在采集、處理、存儲(chǔ)、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀等各環(huán)節(jié)的完整性（保護(hù)信息不被惡意篡改）、保密性（保護(hù)信息不被有意或無意地向未授權(quán)人員泄露）和可用性。2.本要求提出了乙方需要遵循的強(qiáng)制性安全基本要求。若乙方不能達(dá)到本規(guī)定的要求，甲方可限制、甚至拒絕相關(guān)項(xiàng)目的執(zhí)行。三、信息安全管理規(guī)范（一）管理職責(zé)1.乙方必須指定安全接口人來負(fù)責(zé)本項(xiàng)目的信息安全管理。2.乙方管理層應(yīng)落實(shí)信息安全管理職能，包括建立信息安全計(jì)劃和保持長效的管理機(jī)制，提高全體員工信息安全意識，并定期（至少每年一次）向甲方提交信息安全評估報(bào)告。3.乙方的信息安全管理機(jī)制應(yīng)包括信息安全標(biāo)準(zhǔn)、流程與規(guī)范體系，并至少每年更新以反映最新的安全需求。4.乙方應(yīng)建立管理用戶認(rèn)證和訪問控制的流程。乙方人員對業(yè)務(wù)數(shù)據(jù)和系統(tǒng)的訪問只限于相關(guān)業(yè)務(wù)所需的最低限度。乙方人員調(diào)動(dòng)到新的工作崗位或離開時(shí)，應(yīng)及時(shí)檢查、更新或注銷用戶身份。5.乙方應(yīng)制定相關(guān)制度和流程，嚴(yán)格管理甲方敏感信息的采集、處理、存儲(chǔ)、傳輸、分發(fā)、備份、恢復(fù)、清理和銷毀。6.乙方應(yīng)對所有員工進(jìn)行必要的培訓(xùn)，使其充分掌握信息安全管理制度和流程，了解違反規(guī)定的后果，并對違反安全規(guī)定的行為采取零容忍政策。7.乙方人員必須參加并通過所有甲方安排的安全相關(guān)考試，包括但不限于數(shù)據(jù)安全考試、廉政考試等。（二）離岸場地環(huán)境要求1.乙方應(yīng)保證本項(xiàng)目工作場地與其他區(qū)域在物理上明顯隔離：場地出入口有身份識別系統(tǒng)，對進(jìn)出人員身份進(jìn)行識別和控制，防止非本項(xiàng)目人員進(jìn)入。所有時(shí)段門禁保持關(guān)閉，人員進(jìn)出必須刷卡，禁止尾隨。門禁刷卡記錄保存三個(gè)月以上。2、工作場地的出入口必須安裝CCTV監(jiān)控?cái)z像系統(tǒng)，以監(jiān)控進(jìn)出人員，并保留至少三個(gè)月的記錄。3、項(xiàng)目的服務(wù)器和網(wǎng)絡(luò)設(shè)備必須與辦公區(qū)域隔離，并上鎖，只有授權(quán)人員才能進(jìn)入。4、乙方必須嚴(yán)格管理打印和復(fù)印，不允許隨意打印或帶出紙件文檔。同時(shí)，乙方必須配備碎紙機(jī)，對所有紙質(zhì)項(xiàng)目文檔使用過后必須用碎紙機(jī)銷毀。5、與甲方項(xiàng)目無關(guān)的人員不得進(jìn)入工作場地，特殊情況需登記備案。訪客記錄（包括但不限于姓名、單位、攜帶設(shè)備、被訪人員、訪問目的、進(jìn)入時(shí)間、離開時(shí)間、訪客簽字）需保存至少六個(gè)月。6、不允許第三方人員或機(jī)構(gòu)參觀項(xiàng)目場地。（三）人員管理1、乙方在招聘或?yàn)榧追椒?wù)之前，必須對其進(jìn)行背景調(diào)查，以避免利益沖突、競業(yè)限制、信息泄露等可能危害甲方利益的情況。甲方有權(quán)對入職人員進(jìn)行單獨(dú)的風(fēng)險(xiǎn)評估，并根據(jù)評估結(jié)果拒絕其入職。2、入職培訓(xùn)需包括信息安全相關(guān)內(nèi)容。乙方需定期（一年至少一次）組織員工進(jìn)行信息安全培訓(xùn)，并提供定期培訓(xùn)記錄。3、乙方必須與為甲方服務(wù)的員工簽訂保密協(xié)議，明確規(guī)定甲方項(xiàng)目中的工作參考資料和產(chǎn)出物均屬于甲方資產(chǎn)，未經(jīng)允許不得帶出項(xiàng)目辦公環(huán)境。4、乙方在項(xiàng)目合同有效期內(nèi)，其員工只能為甲方及其關(guān)聯(lián)公司提供服務(wù)，不得同時(shí)服務(wù)于其他公司。5、員工崗位調(diào)動(dòng)或離職時(shí)，乙方應(yīng)立即配合終止或刪除該員工對甲方業(yè)務(wù)系統(tǒng)及信息的訪問權(quán)限。乙方需指定員工負(fù)責(zé)管理、維護(hù)乙方人員信息，并及時(shí)登記并反饋人員崗位異動(dòng)情況，以便雙方及時(shí)回收賬戶、權(quán)限、數(shù)據(jù)及相關(guān)資產(chǎn)。6、乙方應(yīng)提前至少兩周提供人員離場的信息預(yù)告，并保證人員在離場當(dāng)天辦完所有手續(xù)。若乙方離場人員未在離場當(dāng)天辦完離場手續(xù)，甲方有權(quán)向乙方收取逾期違約金。（四）IT風(fēng)險(xiǎn)管理1、賬號/口令安全：乙方人員電腦的登錄密碼長度至少為8位，需包含字母、數(shù)字和特殊字符的組合。密碼至少每90天變更一次，并不得向任何人透露。2、主機(jī)安全(1)所有設(shè)備連接甲方網(wǎng)絡(luò)環(huán)境時(shí)，必須安裝甲方提供的阿里郎軟件。(2)乙方人員使用的電腦必須是臺式機(jī)，除非經(jīng)過甲方審批和報(bào)備后可以使用筆記本或其他移動(dòng)設(shè)備。未經(jīng)甲方書面許可，乙方人員不得將項(xiàng)目相關(guān)移動(dòng)設(shè)備帶出辦公環(huán)境。(3)乙方人員電腦必須設(shè)置管理員密碼，防止用戶私自修改BIOS設(shè)置。同時(shí)禁止第三方設(shè)備啟動(dòng)電腦。(4)乙方人員電腦必須開啟自動(dòng)鎖屏，解鎖需要輸入登陸密碼。鎖屏等待時(shí)間不得大于10分鐘。(5)在離岸情況下，乙方人員電腦必須從物理上或以技術(shù)手段限制數(shù)據(jù)端口的使用。如果有特殊需求，必須經(jīng)過甲方審批和報(bào)備。3、互聯(lián)網(wǎng)訪問安全(1)乙方必須對Internet訪問做白名單控制，僅允許訪問工作所需的web工作平臺、旺旺和特定的網(wǎng)站等。禁止訪問具有數(shù)據(jù)上傳功能的網(wǎng)站，如Webmail、網(wǎng)盤等，并限制用戶從Internet下載數(shù)據(jù)/軟件等。4、內(nèi)部網(wǎng)絡(luò)應(yīng)用安全(1)乙方人員必須使用甲方指定的及時(shí)通訊工具或郵箱與甲方交換信息。如有特殊情況，必須經(jīng)過甲方審批和報(bào)備。(2)禁止用戶自行更改計(jì)算機(jī)名和網(wǎng)絡(luò)配置或?qū)⑺饺擞?jì)算機(jī)接入工作網(wǎng)絡(luò)。(3)默認(rèn)情況下不開通用戶的網(wǎng)絡(luò)打印機(jī)連接權(quán)限。如需使用網(wǎng)絡(luò)打印機(jī)，需向IT管理員申請獲得相關(guān)業(yè)務(wù)部門主管審批后開啟，并最終在信息安全部門備案。5、網(wǎng)絡(luò)邊界安全(1)離岸工作網(wǎng)絡(luò)應(yīng)與乙方其他網(wǎng)絡(luò)進(jìn)行有效的安全隔離，限制網(wǎng)絡(luò)對其他網(wǎng)絡(luò)資源以及其他網(wǎng)絡(luò)對網(wǎng)絡(luò)資源的非授權(quán)訪問（包括有線和無線）。(2)乙方人員不得以任何形式將甲方網(wǎng)絡(luò)暴露和共享到無線環(huán)境中，包括但不限于WI-FI共享、自建AP等。(3)禁止用戶在非工作網(wǎng)絡(luò)通過遠(yuǎn)程訪問的方式，如VPN、RDP等，訪問工作環(huán)境。6、日常使用/物理安全(1)乙方對甲方配發(fā)的終端和設(shè)備有保管義務(wù)。如果損毀或丟失，乙方必須按市價(jià)賠償。如果由于終端或設(shè)備丟失導(dǎo)致甲方信息泄露，甲方將根據(jù)雙方約定、受損程度追究乙方法律責(zé)任。2、乙方必須確保所有配發(fā)的固定資產(chǎn)（包括電腦、工牌、令牌等）在退場當(dāng)天或提前歸還給甲方，對于因項(xiàng)目結(jié)束或離職等原因離開項(xiàng)目的乙方人員。3、工作時(shí)間禁止進(jìn)行非工作相關(guān)的網(wǎng)上聊天、娛樂、炒股，或者收發(fā)非工作郵件。1、乙方人員電腦必須安裝正版操作系統(tǒng)和文檔處理軟件，并及時(shí)更新安全補(bǔ)丁。不得安裝未備案的盜版軟件、破解軟件、反編譯、遠(yuǎn)程控制類軟件、翻墻類軟件、云存儲(chǔ)類客戶端軟件（包括但不限于云筆記、云盤、網(wǎng)盤等）。2、除甲方指定之外的即時(shí)通訊軟件不得安裝，如有例外，必須經(jīng)過甲方審批和報(bào)備。3、不得開啟文件共享功能。1、電腦終端必須安裝正版殺毒軟件，并每周更新特征庫。不允許安裝百度、騰訊、360的桌面和安全產(chǎn)品。2、在離岸場地必須有技術(shù)和管理手段來發(fā)現(xiàn)和防止內(nèi)部員工進(jìn)行破壞信息安全的行為，包括但不限于入侵他人工計(jì)算機(jī)、盜用他人賬號、散播病毒和木馬、攻擊服務(wù)器和網(wǎng)絡(luò)設(shè)施等。1、乙方人員所具備的權(quán)限與自身業(yè)務(wù)相關(guān)，賦權(quán)必須“必需知道”和“最小授權(quán)”原則，且只能在工作場地進(jìn)行使用。2、乙方應(yīng)實(shí)現(xiàn)甲方敏感信息與乙方其他客戶資料的有效隔離。3、乙方人員安裝軟件的版權(quán)由乙方負(fù)責(zé)，不得侵犯甲方及第三方知識產(chǎn)權(quán)。4、系統(tǒng)、應(yīng)用賬號需“一人一號”，賬號不得相互借用，并對賬號和密碼負(fù)有保密義務(wù)，不得共享給其他任何人。如業(yè)務(wù)上存在共享賬號的需求，須提前獲得甲方信息安全部的審批與備案。5、服務(wù)結(jié)束后，員工辦公電腦上的數(shù)據(jù)須進(jìn)行格式化或多次寫入等操作進(jìn)行銷毀。1、乙方不得以任何理由和目的擅自使用敏感信息，只能在為甲方提供相關(guān)合同約定的服務(wù)時(shí)使用相應(yīng)敏感信息。2、乙方應(yīng)建立內(nèi)部信息安全措施及保密管理制度，按照甲方的要求保管敏感信息，確保不被泄漏。3、不得出售、利用、復(fù)制、傳播或擅自修改敏感信息，不得在任何場合以任何方式公開和轉(zhuǎn)移甲方項(xiàng)目的相關(guān)信息。4、自合同終止生效日時(shí)起，乙方應(yīng)立即停止使用所有保密信息，不得私自保留與項(xiàng)目相關(guān)的文件、代碼、圖片等的拷貝，并全部交還甲方，或在甲方監(jiān)督下進(jìn)行銷毀。對于私自保留敏感信息產(chǎn)生的一切后果，乙方承擔(dān)所有責(zé)任。乙方應(yīng)確保所有相關(guān)員工遵守保密規(guī)定，以保護(hù)甲方的敏感信息和交易數(shù)據(jù)。在發(fā)生信息安全事件時(shí)，乙方有責(zé)任立即通知甲方項(xiàng)目經(jīng)理或信息安全部，并提供相關(guān)情況的詳細(xì)信息，包括但不限于會(huì)員、商戶和業(yè)務(wù)等敏感信息和交易數(shù)據(jù)的篡改、泄漏、丟失和破壞，網(wǎng)絡(luò)和系統(tǒng)遭到攻擊，病毒和蠕蟲等惡意代碼感染，計(jì)算機(jī)、令牌或其他資產(chǎn)的丟失，物理環(huán)境或設(shè)施的破壞，以及其他可疑隱患或預(yù)警等。乙方應(yīng)根據(jù)甲方的意見及時(shí)采取應(yīng)急措施，并報(bào)告處理情況和整改措施。乙方應(yīng)定期進(jìn)行自查，至少每年一次，并對信息系統(tǒng)安全狀況、安全規(guī)定和措施的落實(shí)情況等進(jìn)行評估。如果安全狀況未達(dá)到規(guī)定要求，乙方應(yīng)制定整改方案。乙方應(yīng)及時(shí)將自評估報(bào)告和整改方案提交給甲方信息安全部和項(xiàng)目經(jīng)理。如果需要，自評估可以委托第三方評估機(jī)構(gòu)執(zhí)行，并由乙方自行承擔(dān)相關(guān)費(fèi)用。甲方有權(quán)對乙方的信息安全管理和管控效果進(jìn)行檢查，包括定期和不定期的信息安全評估和審計(jì)。乙方應(yīng)配合并確保甲方能夠?qū)Ρ卷?xiàng)目相關(guān)的環(huán)境、人員、硬件、軟件、文檔和數(shù)據(jù)等對象進(jìn)行檢查。乙方不應(yīng)故意隱瞞事實(shí)或阻撓審計(jì)檢查。乙方應(yīng)根據(jù)甲方出具的評估意見或?qū)徲?jì)報(bào)告提出整改計(jì)劃，并在規(guī)定的時(shí)間內(nèi)實(shí)施整改。如果乙方存在風(fēng)險(xiǎn)較高的情況，甲方有權(quán)禁止其繼續(xù)提供相關(guān)服務(wù)，包括竊取、泄露甲方敏感信息，存在違法違規(guī)行為或因管理過失導(dǎo)致敏感數(shù)據(jù)損毀、丟失、泄露等重大信息安全事件，以及逾期未整改的問題。如果因乙方信息安全管控不力導(dǎo)致信息安全事件發(fā)生，將導(dǎo)致違約。根據(jù)事件的性質(zhì)和對甲方、甲方關(guān)聯(lián)公司或甲方合作伙伴造成的損失或影響的程度，違約和責(zé)任將分為A、B和C三個(gè)類別。對于A類（重大）事件，乙方將立刻終止與甲方的項(xiàng)目合作。甲方網(wǎng)絡(luò)恢復(fù)系統(tǒng)正常運(yùn)行和消除安全負(fù)面影響所需付出的代價(jià)十分巨大，包括但不限于時(shí)間超過2個(gè)星期或投入超過50萬的情況。甲方在一年內(nèi)發(fā)生2次B類違規(guī)，其中包括給甲方、甲方關(guān)聯(lián)公司或甲方的其它合作伙伴造成重大損失或重大影響的情況，如使業(yè)務(wù)安全造成潛在危害，造成系統(tǒng)安全防護(hù)級別降低等。還包括其他恢復(fù)系統(tǒng)正常運(yùn)行和消除安全負(fù)面影響所需付出的代價(jià)較大的情況，如時(shí)間超過5個(gè)工作日或投入超過10萬。甲方在一年內(nèi)發(fā)生2次C類違規(guī)，其中包括其他影響和干擾甲方、甲方關(guān)聯(lián)公司或甲方的合作伙伴系統(tǒng)效率，使信息系統(tǒng)業(yè)務(wù)處理能力受到影響的情況，或造成其他潛在影響的情況。乙方不得為甲方其它項(xiàng)目提供服務(wù)。同時(shí)，乙方應(yīng)立即按照甲方要求在約定時(shí)間內(nèi)完成整改。對于乙方人員的違規(guī)行為，若未能遵守本規(guī)范定義的行為規(guī)范，將導(dǎo)致違規(guī)。違規(guī)行為級別定義及處理要求詳見下表：違規(guī)級別違規(guī)行為定義安全違約責(zé)任一級違反國家法律法規(guī)，且被追究刑事責(zé)任或被采取刑事強(qiáng)制措施的行為；非業(yè)務(wù)需求的情況下，查詢或獲取項(xiàng)目敏感信息；計(jì)算機(jī)系統(tǒng)賬號或業(yè)務(wù)系統(tǒng)賬號未經(jīng)甲方許可而互相借用；竊取、盜賣項(xiàng)目敏感信息；向第三方或不相關(guān)人員透露甲方會(huì)員、商戶及甲方合作伙伴敏感信息、公司經(jīng)營信息、業(yè)務(wù)規(guī)劃信息、對外項(xiàng)目合作；未經(jīng)許可，在微博、微信等第三方媒介以及各種媒體、公眾場合公開發(fā)表發(fā)布甲方內(nèi)部信息或言論，造成嚴(yán)重影響；未經(jīng)正常流程，私自授予本人或他人系統(tǒng)權(quán)限；不得通過各種途徑且不得因?yàn)槿魏卧虿僮饔脩糍~戶；例如：向客戶索要賬號密碼或通過各種方式（如遠(yuǎn)程操作賬戶或電腦）操作客戶賬號；自己擁有的權(quán)限，用于非工作目的；其他引發(fā)違約，且影響特別嚴(yán)重，經(jīng)過協(xié)商后認(rèn)定屬于一級違規(guī)行為的；半年（連續(xù)6個(gè)月）內(nèi)累計(jì)有2次二級違規(guī)行為的。停止該人員在甲方及任何甲方及關(guān)聯(lián)企業(yè)的所有服務(wù)；該人員將被列入甲方特殊人員名單，該人員永不能為甲方提供服務(wù)(外包及正式員工)。二級拷貝、存儲(chǔ)、持有與本崗位無關(guān)的含項(xiàng)目敏感信息的文檔；非正常渠道獲取或傳遞含敏感信息的文檔；未經(jīng)許可，將甲方項(xiàng)目敏感信息存儲(chǔ)在非甲方提供的電腦設(shè)備或系統(tǒng)中；半年（連續(xù)6個(gè)月）內(nèi)累計(jì)有2次三級違規(guī)行為的。停止該人員在甲方及任何甲方及關(guān)聯(lián)企業(yè)的所有服務(wù)；該人員將被列入甲方特殊人員名單，該人員永不能為甲方提供服務(wù)(外包及正式員工)。三級無違規(guī)行為級別定義及處理要求詳見下表：以上是對原文的修改和改寫。原文中有明顯的格式錯(cuò)誤和段落問題，已經(jīng)刪除。同時(shí)，對每段話進(jìn)行了小幅度的