外包供應(yīng)商信息安全管理要求

1、信息安全管理要求一、概念定義1、駐場(chǎng)/近岸：指業(yè)務(wù)場(chǎng)地由甲方擁有和管理。2、離岸：指業(yè)務(wù)場(chǎng)地由乙方擁有和管理。3、項(xiàng)目敏感信息：包括但不限于甲方的客戶信息（例如：會(huì)員信息、簽約商戶信息等，以 及本合同中約定的“保密信息”）以及甲方的業(yè)務(wù)數(shù)據(jù)。4、甲方審批和報(bào)備：指乙方根據(jù)甲方項(xiàng)目主管的要求提供相關(guān)資料用于甲方業(yè)務(wù)、技術(shù)及 信息安全團(tuán)隊(duì)的審批和報(bào)備。）二、總體要求1、乙方在合作期內(nèi)應(yīng)按照符合業(yè)界標(biāo)準(zhǔn)的信息管控要求執(zhí)行信息安全管理，確保敏感信息 在采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷(xiāo)毀等各環(huán)節(jié)的完整性（保護(hù)信息 不被惡意篡改）、保密性（保護(hù)信息不被有意或無(wú)意地向未授權(quán)人員泄露）和可用

2、性。2、本要求提出了乙方需要遵循的強(qiáng)制性安全基本要求。乙方如不能達(dá)到本規(guī)定的要求，甲 方可限制、甚至拒絕相關(guān)項(xiàng)目的執(zhí)行。三、信息安全管理規(guī)范（一）管理職責(zé)1、乙方必須指定安全接口人來(lái)負(fù)責(zé)本項(xiàng)目的信息安全管理。2、乙方管理層應(yīng)落實(shí)信息安全管理職能，包括建立信息安全計(jì)劃和保持長(zhǎng)效的管理機(jī)制， 提高全體員工信息安全意識(shí)，并定期（至少每年一次）向甲方提交信息安全評(píng)估報(bào)告。3、乙方的信息安全管理機(jī)制應(yīng)包括信息安全標(biāo)準(zhǔn)、流程與規(guī)范體系，并至少每年更新以反 映最新的安全需求。4、乙方應(yīng)建立管理用戶認(rèn)證和訪問(wèn)控制的流程。乙方人員對(duì)業(yè)務(wù)數(shù)據(jù)和系統(tǒng)的訪問(wèn)只限于 相關(guān)業(yè)務(wù)能合法開(kāi)展所要求的最低限度。乙方人員調(diào)動(dòng)到新

3、的工作崗位或離開(kāi)時(shí)，應(yīng)在系統(tǒng) 中及時(shí)檢查、更新或注銷(xiāo)用戶身份。5、乙方應(yīng)制定相關(guān)制度和流程，嚴(yán)格管理甲方敏感信息的采集、處理、存貯、傳輸、分發(fā)、 備份、恢復(fù)、清理和銷(xiāo)毀。6、乙方應(yīng)對(duì)所有員工進(jìn)行必要的培訓(xùn)，使其充分掌握信息安全管理制度和流程，了解違反 規(guī)定的后果，并對(duì)違反安全規(guī)定的行為采取零容忍政策。7、乙方人員必須參加并通過(guò)所有甲方安排的安全相關(guān)考試，包括但不限于數(shù)據(jù)安全考試， 廉政考試等。（二）離岸場(chǎng)地環(huán)境要求1、乙方應(yīng)保證本項(xiàng)目工作場(chǎng)地與其它區(qū)域在物理上明顯隔離:場(chǎng)地出入口有身份識(shí)別系統(tǒng)， 對(duì)進(jìn)出人員身份進(jìn)行識(shí)別和控制防止非本項(xiàng)目人員進(jìn)入。所有時(shí)段門(mén)禁保持關(guān)閉，人員進(jìn)出 必須刷卡，禁止尾

4、隨。門(mén)禁刷卡記錄保存三個(gè)月以上。2、工作場(chǎng)地出入口應(yīng)有CCTV監(jiān)控?cái)z像系統(tǒng)，對(duì)進(jìn)出人員進(jìn)行監(jiān)控，記錄至少保存三個(gè)月。3、項(xiàng)目的服務(wù)器和網(wǎng)絡(luò)設(shè)備必須與辦公區(qū)域隔離，并且上鎖，非授權(quán)人員不得進(jìn)入。4、乙方對(duì)打印和復(fù)印必須嚴(yán)格管理，不允許隨意打印或帶出紙件文檔。乙方必須在場(chǎng)地配 置碎紙機(jī)，所有紙質(zhì)項(xiàng)目文檔使用過(guò)后必須用碎紙機(jī)銷(xiāo)毀。5、不允許與甲方項(xiàng)目無(wú)關(guān)人員進(jìn)入工作場(chǎng)地，如有特殊要求，需要登記備案。訪客記錄（包 括但不限于姓名、單位、攜帶設(shè)備，被訪人員、訪問(wèn)目的、進(jìn)入時(shí)間、離開(kāi)時(shí)間、訪客簽字） 保存六個(gè)月以上。6、不允許第三方人員或機(jī)構(gòu)參觀項(xiàng)目場(chǎng)地。（三）人員管理1、乙方人員在入職或?yàn)榧追椒?wù)之前，

5、乙方必須對(duì)其進(jìn)行背景調(diào)查，避免利益沖突、競(jìng)業(yè) 限制、信息泄露等可能危害甲方利益的情形。在此基礎(chǔ)上，甲方可開(kāi)展單獨(dú)的入職風(fēng)險(xiǎn)評(píng)估， 并有權(quán)根據(jù)入職風(fēng)險(xiǎn)評(píng)估結(jié)果拒絕該員工的入職。2、入職培訓(xùn)需包括信息安全相關(guān)內(nèi)容。乙方需要定期（一年至少一次）組織員工進(jìn)行信息 安全培訓(xùn)，并提供定期培訓(xùn)記錄。，3、乙方必須與為甲方服務(wù)的員工簽訂保密協(xié)議，并且保密協(xié)議應(yīng)明確規(guī)定在甲方項(xiàng)目中的 工作參考資料和產(chǎn)出物（包括但不限于代碼、文檔、圖片等項(xiàng)目敏感信息）均屬于甲方資產(chǎn)， 未經(jīng)甲方允許，乙方不得以任何形式將上述甲方資產(chǎn)帶出項(xiàng)目辦公環(huán)境（包括但不限于打印 件帶出、拷貝到U盤(pán)或移動(dòng)硬盤(pán)、上傳到云盤(pán)、郵件外發(fā)、FTP上傳等

6、方式）。4、乙方必須保證在與甲方的項(xiàng)目合同有效期間內(nèi)，其在項(xiàng)目中的員工只能為甲方及其關(guān)聯(lián) 公司提供服務(wù)，不得同時(shí)服務(wù)于其他公司。5、員工崗位調(diào)動(dòng)或離職時(shí)，乙方應(yīng)立即配合終止或刪除該員工對(duì)甲方業(yè)務(wù)系統(tǒng)及信息的訪 問(wèn)權(quán)限。乙方需指定員工負(fù)責(zé)管理、維護(hù)乙方人員信息，及時(shí)登記并定期（至少每個(gè)月）向 甲方反饋人員崗位異動(dòng)情況，以便雙方及時(shí)回收賬戶、權(quán)限、數(shù)據(jù)及相關(guān)資產(chǎn)。6、乙方應(yīng)至少提前2周提供人員離場(chǎng)的信息預(yù)告，并保證人員在離場(chǎng)當(dāng)天辦完所有的手續(xù) （包括并不限于資產(chǎn)、權(quán)限、數(shù)據(jù)的回收），若乙方離場(chǎng)人員未在離場(chǎng)當(dāng)天辦完離場(chǎng)手續(xù)，甲方有權(quán)向乙方收取逾期違約金，從離場(chǎng)次日起算，第一天按500元計(jì)算，以后每逾

7、期一天增加100元。（四）IT風(fēng)險(xiǎn)管理1、賬號(hào)/口令安全（1）乙方人員電腦的登陸密碼長(zhǎng)度至少8位，并且是字母，數(shù)字和特殊字符的組合。密碼至少每90天變更一次，并不得通過(guò)任何渠道向任何人透露（2）默認(rèn)情況下用戶登陸賬號(hào)不應(yīng)具有本機(jī)管理員權(quán)限。禁止用戶將各類(lèi)登錄用戶名、密 碼保存于操作系統(tǒng)或者瀏覽器中。.2、主機(jī)安全（1）近岸和離岸場(chǎng)地的所有設(shè)備接入甲方網(wǎng)絡(luò)環(huán)境，必須安裝甲方提供的阿里郎軟件。（2）乙方人員電腦無(wú)論是甲方資產(chǎn)還是乙方資產(chǎn)必須是臺(tái)式機(jī)。如有特殊場(chǎng)景，經(jīng)過(guò)甲方 審批和報(bào)備后可以使用筆記本或其他移動(dòng)設(shè)備辦公。未經(jīng)甲方書(shū)面許可，乙方人員不得將項(xiàng) 目相關(guān)移動(dòng)設(shè)備帶出辦公環(huán)境。（3）乙方人員電

8、腦必須在BIOS里設(shè)置管理員密碼，防止用戶私自修改BIOS設(shè)置。并禁止 第三方設(shè)備啟動(dòng)電腦。（4）乙方人員電腦必須開(kāi)啟自動(dòng)鎖屏，解鎖需要輸入登陸密碼，鎖屏等待時(shí)間不得大于10 分鐘。（5）離岸情況下的乙方人員電腦必須從物理上或以技術(shù)手段限制數(shù)據(jù)端口（包括但不限于 USB 口、串/并口、藍(lán)牙、紅外等）的使用。如果有特殊需求，必須經(jīng)過(guò)甲方審批和報(bào)備。3、互聯(lián)網(wǎng)訪問(wèn)安全（1）乙方須對(duì)Internet的訪問(wèn)應(yīng)該做白名單控制，僅開(kāi)放受限的Internet訪問(wèn)權(quán)限（例 如：默認(rèn)僅允許訪問(wèn)工作所需的web工作平臺(tái)，旺旺，和特定的網(wǎng)站等）。禁止訪問(wèn)具有數(shù) 據(jù)上傳功能的網(wǎng)站（例如Webmail，網(wǎng)盤(pán)等），并限制

9、用戶從Internet下載數(shù)據(jù)/軟件等（4、內(nèi)部網(wǎng)絡(luò)應(yīng)用安全（1）乙方人員必須使用甲方指定的及時(shí)通訊工具或郵箱與甲方交換信息。如有特殊情況， 必須經(jīng)過(guò)甲方審批和報(bào)備。（2）禁止用戶自行更改計(jì)算機(jī)名和網(wǎng)絡(luò)配置或?qū)⑺饺擞?jì)算機(jī)接入工作網(wǎng)絡(luò)。（3）默認(rèn)情況下不開(kāi)通用戶的網(wǎng)絡(luò)打印機(jī)連接權(quán)限，如需使用網(wǎng)絡(luò)打印機(jī)，需向IT管理員 申請(qǐng)獲的相關(guān)業(yè)務(wù)部門(mén)主管審批后開(kāi)啟，并最終在信息安全部門(mén)備案。5、網(wǎng)絡(luò)邊界安全（1）離岸工作網(wǎng)絡(luò)應(yīng)與乙方其他網(wǎng)絡(luò)進(jìn)行有效的安全隔離，限制網(wǎng)絡(luò)對(duì)其他網(wǎng)絡(luò)資源以及其 他網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)資源的非授權(quán)訪問(wèn)（包括有線和無(wú)線）。（2）乙方人員不得以任何形式（包括但不限于WI-FI共享、自建AP等）將

10、甲方網(wǎng)絡(luò)暴露和共 享到無(wú)線環(huán)境中。（3）禁止用戶在非工作網(wǎng)絡(luò)通過(guò)遠(yuǎn)程訪問(wèn)（如VPN，RDP等）的方式，訪問(wèn)工作環(huán)境。、6、日常使用/物理安全（1）乙方對(duì)甲方配發(fā)的終端和設(shè)備有保管義務(wù)，如果損毀或丟失，乙方必須按市價(jià)賠償； 如果由于終端或設(shè)備丟失導(dǎo)致甲方信息泄露，甲方將根據(jù)雙方約定、受損程度追究乙方法律 責(zé)任。（2）對(duì)于因項(xiàng)目結(jié)束或離職等原因離開(kāi)項(xiàng)目的乙方人員，乙方必須確保甲方配發(fā)的所有固 定資產(chǎn)（包括但不限于電腦、工牌、令牌等）退場(chǎng)當(dāng)天或提前歸還給甲方。（3）工作時(shí)間應(yīng)該禁止進(jìn)行非工作相關(guān)的網(wǎng)上聊天、娛樂(lè)、炒股、或者收發(fā)非工作郵件。7、軟件的安裝和使用（1）乙方人員電腦必須安裝正版操作系統(tǒng)和文

11、檔處理軟件，并確保安全補(bǔ)丁及時(shí)更新。不 得安裝盜版軟件、破解軟件、反編譯、遠(yuǎn)程控制類(lèi)軟件、翻墻類(lèi)軟件、云存儲(chǔ)類(lèi)客戶端軟件（包括但不限于云筆記、云盤(pán)、網(wǎng)盤(pán)等）以及其他未經(jīng)甲方備案的軟件。（2）乙方人員電腦不得安裝除甲方指定之外的即時(shí)通訊軟件，如有例外，必須經(jīng)過(guò)甲方審 批和報(bào)備。（3）乙方人員電腦不得開(kāi)啟文件共享功能。（8、病毒、安全防護(hù)（1）電腦終端必須安裝正版殺毒軟件，并設(shè)置特征庫(kù)至少每周更新一次。不允許安裝百度、 騰訊、360的桌面和安全產(chǎn)品。（2）乙方在離岸場(chǎng)地必須同時(shí)有技術(shù)和管理手段來(lái)發(fā)現(xiàn)和防止內(nèi)部員工進(jìn)行破壞信息安全 的行為，包括但不限于入侵他人工計(jì)算機(jī)、盜用他人賬號(hào)、散播病毒和木馬、

12、攻擊服務(wù)器和 網(wǎng)絡(luò)設(shè)施等。（五）權(quán)限與操作風(fēng)險(xiǎn)管理1、乙方人員所具備的權(quán)限與自身業(yè)務(wù)相關(guān)，賦權(quán)必須“必需知道”和“最小授權(quán)”原則， 且只能在工作場(chǎng)地進(jìn)行使用。2、乙方應(yīng)實(shí)現(xiàn)甲方敏感信息與乙方其他客戶資料的有效隔離。3、乙方人員安裝軟件的版權(quán)由乙方負(fù)責(zé)，不得侵犯甲方及第三方知識(shí)產(chǎn)權(quán)。4、系統(tǒng)、應(yīng)用賬號(hào)需“一人一號(hào)”，賬號(hào)不得相互借用，并對(duì)賬號(hào)和密碼負(fù)有保密義務(wù)，不得共享給其他任何人。如業(yè)務(wù)上存在共享賬號(hào)的需求，須提前獲得甲方信息安全部的審批 與備案。5、服務(wù)結(jié)束后，員工辦公電腦上的數(shù)據(jù)須進(jìn)行格式化或多次寫(xiě)入等操作進(jìn)行銷(xiāo)毀。（六）項(xiàng)目敏感信息的使用1、乙方不得以任何理由和目的擅自使用敏感信息，只在

13、為甲方提供相關(guān)合同約定的服務(wù)時(shí) 使用相應(yīng)敏感信息。2、乙方應(yīng)建立內(nèi)部信息安全措施及保密管理制度，按照甲方的要求保管敏感信息，確保不 被泄漏。3、乙方不得出售、利用、復(fù)制、傳播或擅自修改敏感信息，不得在任何場(chǎng)合以任何方式公 開(kāi)和轉(zhuǎn)移甲方項(xiàng)目的相關(guān)信息。4、自合同終止生效日時(shí)起，乙方應(yīng)立即停止使用所有保密信息，乙方不得私自保留與項(xiàng)目 相關(guān)的文件、代碼、圖片等的拷貝，并全部交還甲方，或在甲方監(jiān)督下進(jìn)行銷(xiāo)毀。對(duì)于私自 保留敏感信息產(chǎn)生的一切后果，乙方承擔(dān)所有責(zé)任。5、乙方應(yīng)要求所有相關(guān)員工遵守保密規(guī)定安全事件報(bào)告機(jī)制&1、發(fā)生信息安全事件時(shí)，乙方有義務(wù)立即通知甲方項(xiàng)目經(jīng)理或信息安全部，相關(guān)情況包含 但

14、不限于：甲方的會(huì)員、商戶與業(yè)務(wù)等敏感信息與交易數(shù)據(jù)發(fā)生篡改、泄漏、丟失和破壞；網(wǎng)絡(luò)與系統(tǒng)被攻擊；病毒與蠕蟲(chóng)等惡意代碼感染；計(jì)算機(jī)、令牌或其他資產(chǎn)的丟失；物理環(huán)境或設(shè)施遭受破壞；其它可疑隱患或預(yù)警等。2、對(duì)須采取應(yīng)急方案的，乙方應(yīng)根據(jù)甲方的意見(jiàn)及時(shí)報(bào)告處理情況和整改措施。四、自評(píng)估1、乙方應(yīng)定期(至少每年一次)對(duì)本項(xiàng)目的信息安全管理的情況進(jìn)行自查，范圍包括但不 限于信息系統(tǒng)安全狀況、本安全規(guī)定及措施的落實(shí)情況等。安全狀況未達(dá)到本規(guī)定要求的， 乙方應(yīng)當(dāng)制定方案進(jìn)行整改。2、乙方應(yīng)及時(shí)將自評(píng)估報(bào)告及相應(yīng)的整改方案提交甲方信息安全部及項(xiàng)目經(jīng)理。3、自評(píng)估可委托甲方或國(guó)家認(rèn)可的第三方評(píng)估機(jī)構(gòu)執(zhí)行并出具評(píng)

15、估報(bào)告。相關(guān)費(fèi)用由乙方 自行承擔(dān)。五、監(jiān)督與檢查1、甲方有權(quán)對(duì)乙方的信息安全管理及管控效果進(jìn)行檢查。甲方將定期和不定期對(duì)駐場(chǎng)、近 岸、離岸項(xiàng)目進(jìn)行信息安全評(píng)估與審計(jì)?！?、評(píng)估與審計(jì)過(guò)程中，乙方應(yīng)提供配合并確保甲方能夠?qū)Ρ卷?xiàng)目相關(guān)的環(huán)境、人員、硬件、 軟件、文檔和數(shù)據(jù)等對(duì)象進(jìn)行檢查；乙方不應(yīng)故意隱瞞事實(shí)或阻撓審計(jì)檢查。3、乙方應(yīng)根據(jù)甲方出具的評(píng)估意見(jiàn)或?qū)徲?jì)報(bào)告提出整改計(jì)劃，并在規(guī)定的時(shí)間內(nèi)實(shí)施整改。4、甲方有權(quán)禁止風(fēng)險(xiǎn)較高的乙方繼續(xù)提供相關(guān)服務(wù)，相關(guān)情況包含但不限于:(1)竊取、泄露甲方敏感信息，情節(jié)嚴(yán)重或存在違法違規(guī)行為的；因管理過(guò)失，發(fā)生敏感數(shù)據(jù)損毀、丟失、泄露等重大信息安全事件的;對(duì)于評(píng)

16、估和檢查發(fā)現(xiàn)的問(wèn)題，逾期仍未整改的。六、違約責(zé)任（一）乙方信息安全事件違約責(zé)任1、如果因?yàn)樾畔踩芸夭涣?dǎo)致信息安全事件的，將導(dǎo)致違約。按照給甲方、甲方關(guān)聯(lián)公司或甲方的合作伙伴 分成A、B和C三個(gè)類(lèi)別，定義和要求詳見(jiàn)下表：事件級(jí)別事件性質(zhì)A類(lèi)（重大）給甲方、甲方關(guān)聯(lián)公司或甲方的其它合作伙伴造成如下重大損失或重大影響的，情況包含但不限于：系統(tǒng)關(guān)鍵數(shù)據(jù)、安全防護(hù)手段的保密性、完整性、可用性遭到人為嚴(yán)重破壞，并引發(fā)訴訟的；給甲方網(wǎng)絡(luò)恢復(fù)系統(tǒng)正常運(yùn)行和消除安全負(fù)面影響所需付出的代價(jià)十分巨大（時(shí)間超過(guò)2個(gè)星期或投入超過(guò)50萬(wàn)）的情況；一年內(nèi)2次B類(lèi)違規(guī)。B類(lèi)（普通）給甲方、甲方關(guān)聯(lián)公司或甲方的其它合作

17、伙伴造成重大損失或重大影響的，情況包含但不限于：使業(yè)務(wù)安全造成潛在危害，造成系統(tǒng)安全防護(hù)級(jí)別降低的情況；其他恢復(fù)系統(tǒng)正常運(yùn)行和消除安全負(fù)面影響所需付出的代價(jià)較大的（時(shí)間超過(guò)5個(gè)工作日或投入超過(guò)10萬(wàn)）情況；一年內(nèi)2次C類(lèi)違規(guī)。C類(lèi)（輕微）其他影響和干擾甲方、甲方關(guān)聯(lián)公司或甲方的合作伙伴系統(tǒng)效率，使信息系統(tǒng)業(yè)務(wù)處理能力受到影響的情況；或造成 其他潛在影響的情況。（二）乙方人員違規(guī)行及處理1、若乙方人員未能遵守本規(guī)范定義的行為規(guī)范，將導(dǎo)致違規(guī)。違規(guī)行為級(jí)別定義及處理要求詳見(jiàn)下表:違規(guī)級(jí)別違規(guī)行為定義一級(jí)包含但不限于如下違規(guī)行為：違反國(guó)家法律法規(guī)，且被追究刑事責(zé)任或被采取刑事強(qiáng)制措施的行為；非業(yè)務(wù)需求的情況下，查詢或獲取項(xiàng)目敏感信息；計(jì)算機(jī)系統(tǒng)賬號(hào)或業(yè)務(wù)系統(tǒng)賬號(hào)未經(jīng)甲方許可而互相借用；竊取、盜賣(mài)項(xiàng)目敏感信息；向第三方或不相關(guān)人員透露甲方會(huì)員、商戶及甲方合作伙伴敏感信息、公司經(jīng)營(yíng)信息、業(yè)務(wù)規(guī)劃信息、對(duì)外項(xiàng)目 合作信息等敏感信息，造成嚴(yán)重影響。未經(jīng)許可，在微博、微信等第三方媒介以及各種媒體、公眾場(chǎng)合公開(kāi)發(fā)表發(fā)布甲方內(nèi)部信息或言論，造成嚴(yán)重影響；未經(jīng)正常流程，私自授予本人或他人系統(tǒng)權(quán)限；不得通過(guò)各種途徑且不得因?yàn)槿魏卧虿?/p>