嵊泗县信息技术服务外包安全管理办法

目 录

第一章 总则                  2

第二章 适用范围           2

第三章 术语定义           2

第四章 组织职责          2

第五章 第三方选择要求 2

第六章 第三方合同要求 3

第七章 第三方服务交付管理 3

第八章 第三方信息传输 4

第九章 第三方变更管理 4

第十章 第三方出入管理 5

第十一章 信息系统使用 6

第十二章 违规处罚 7

第十三章 持续改进 7

第十四章 附则 7

第十五章 附录 7

       第一章 总则

第一条 为了加强对第三方的安全管理，明确定义第三方必须遵守的安全管理规定以及服务交付的安全要求等，特制定本文件。

第二章 适用范围

第二条 本文件适用于嵊泗县各机关单位和部门对第三方以及外包服务的安全管理。

      第三章 术语定义

第三条 本文件中第三方是指所有进入嵊泗县各机关单位和部门内部提供相关技术服务的非嵊泗县各机关单位和部门内部人员（包括但不限于供应商、合作厂商、服务商）。

第四章 组织职责

第四条 第三方管理部门或人员一般为信息系统相关外包服务项目管理部门或人员，职责：

(一) 按照权限最小的原则，负责第三方权限的申请工作。

(二) 按照单位的相关规定选择声誉良好，值得信赖的第三方服务商。(三) 负责对第三方的信息安全培训以及第三方人员现场工作的管理。

(四) 负责在协议或合同谈判阶段，与第三方签订保密协议以及确定服务安全的要求。

(五) 根据合同或服务协议对第三方服务交付进行管理，保证服务交付质量。

第五章 第三方选择要求

第五条 第三方选择基本要求：

(一) 准确理解需求原则：第三方必须对嵊泗县各机关单位和部门信息系统外包服务的需求有深刻的理解，凡不能准确理解需求或与需求相悖者不予选择。

(二) 技术能力：要求第三方具备所需的技术能力、工作经验和专业知识，或者能够合理地预期第三方最终会得到这些技术能力、工作经验和专业知识。

(三) 管理水平：第三方是否已经具备，或者能够合理地预期第三方最终能够开发出项目所需资源的管理能力。

(四) 财务能力：第三方是否已经具备，或能否合理地预期第三方能够具备项目所需的财力资源和财务能力。

第六条 资质要求：

(一) 按国家、行业、单位明确规定的服务资质要求考查第三方，如规定缺失， 则根据项目实际要求确定第三方资质要求。

(二) 按服务项目专业要求设定关键技术人员和管理人员的资质要求和具备相应资质的人员数量要求。

第六章 第三方合同要求

第七条 第三方需要对敏感的信息资产进行访问时，要签订保密协议或正式的合同，合同中有关的安全要求符合嵊泗县各机关单位和部门信息系统总体安全策略。

第八条 与第三方签署的合同中要考虑如下因素： (一) 合同双方各自的相关责任；

(二) 明确对第三方的保密要求；

(三) 明确保护信息资产的内容和要求； (四) 明确描述服务内容和服务标准；

(五) 人员的安全要求；

(六) 符合相关国家和地区的法律、法规要求； (七) 明确对知识产权的归属及保护；

(八) 必须声明嵊泗县各机关单位和部门所拥有的权力，包括：监督、限制第三方活动的权力；对合同权责进行监理或指定第三方监理的权力；

(九) 软、硬件安装和维护方面的责任； (十) 清晰具体的变更控制流程；

(十一) 用于安全事故和安全违规事件的报告、通知和调查程序。

      第七章 第三方服务交付管理

第九条 服务质量要求：

(一) 第三方必须依据合同或独立的服务协议中的关键指标提供服务；

(二) 在服务提供期间，嵊泗县各机关单位和部门信息系统项目管理部门或人员应该经常对第三方的人员资质进行确认，保证服务期间服务人员的稳定性；

(三)  制定对第三方服务的评价指标和测量体系，以确保第三方服务提供的质量。

第十条 服务的改进：

(一)  第三方在服务提供过程中，发现与服务的需求有较大差距时，双方必须对服务进行评估，如果是未达到服务合同或服务协议的要求，则责成第三方对服务进行改进；

(二)  如果第三方服务达到合同或服务协议的要求，但是还是不能满足服务的实际需求，则双方可以协商对合同或服务协议进行变更，提高关键指标以适应服务的实际需求。

第八章 第三方信息传输

第十一条 第三方必须按合同中规定的保密条款对服务过程中接触到的任何信息和数据进行保密。

第十二条 第三方在服务过程中必须保证数据的完整性和可用性，如果对数据的完整性和可用性会造成影响，必须事先申明，并取得相关部门的批准，才可以实施相关的操作。第十三条 如因业务需要向第三方提供含有嵊泗县各机关单位和部门保密信息的文件、资料或实物时，接待人应当获得相应的批准或授权，并与第三方签订保密协议后提供，提供时应开具清单请第三方签收。

第十四条 对第三方的工作人员因业务需要须在嵊泗县各机关单位和部门进行驻场工作时，应与其签订个人保密协议，明确保密制度,如需接触或查阅内部文件的，必须经过相关部门负责人签字批准，并由其本人填写查阅记录，未经许可不得复印。

第九章 第三方变更管理

第十五条 服务项目范围变更：

(一) 如果合同执行中，发现第三方的服务能力不能满足服务外包的需求，经双方协商，一般要求更换服务提供商。

(二) 如果合同执行中，发现服务需求的范围超过了合同里所约定的服务范 围，而这些需求与合同所规定的服务范围是相同的系统或设备，并且正好是第三方的服务能力范围之内，可以通过协商变更服务合同，增加服务范围。

(三) 服务项目变更必须经过所属项目管理部门的审批。 

第十六条 服务提供商变更：

(一) 在对第三方考评不合格时，给以书面的形式要求第三方提高服务质量， 并明确指出服务质量存在的具体问题和改进办法；

(二) 如果第三方服务能力不能满足服务要求，并造成系统运行不良影响时， 可以考虑对服务提供商进行变更，以保证信息系统的正常稳定运行。

第十章 第三方出入管理

第十七条 人员出入：

(一) 第三方人员进入嵊泗县各机关单位和部门各种场合禁止携带易燃、易爆物品，并在门卫处接受检查；

(二) 第三方人员进入嵊泗县各机关单位和部门时，必须在门卫处出示有效证件，按门卫或接待处的要求登记相关信息，登记内容必须包括进入及离开区域的日期与时间、第三方人员签名、访问事由等信息；

(三) 临时来访第三方必须由接待人全程陪同，告知有关安全管理规定，不得任其自行走动和未经允许使用嵊泗县各机关单位和部门计算机设备；

(四) 第三方人员进出机房等重要区域时，必须遵守该区域的进出管理规定；

(五) 临时第三方人员离开嵊泗县各机关单位和部门时应由接待人陪送，接待人应在登记表上签名，并签署确认离开时间及相关权限、物品、交接时间；接待人在无法陪送的情况下应委托本部门其他人陪送；

(六) 非临时第三方人员工作完成后，由所属项目管理部门或人员对第三方人员的工作进行安全检查和安全评估后方可离场。

第十八条 设备携入携出：

(一) 第三方人员携带设备（如笔记本电脑、计算机及配件、网络设备等）进入，必须进行登记；携带设备离开，必须经过按照事先登记的内容进行检查；

(二) 第三方人员携带的维修配件必须在进入维修区域前向接待人员出示，并登记；

(三) 第三方人员将维修设备的损坏配件携出嵊泗县各机关单位和部门信息系统的运行场所时，必须向嵊泗县各机关单位和部门信息系统设备的管理人员说明情况并在维护记录中登记；

(三) 第三方人员将好的配件换入维修设备时，必须向嵊泗县各机关单位和部门信息系统设备的管理人员说明情况，并在维修记录中记录。

第十九条 办公场所：

(一)  业务洽谈和技术交流应当在接待室、会议室或培训教室内进行，招标、谈判等正式洽谈和重大项目的会谈应当在专门的会议室进行，不得在办公室内进行；

(二)  必须指定非临时第三方人员的办公区域，只允许第三方人员在指定区域范围内进行业务活动。

第十一章 信息系统使用

第二十条 一般规定：

(一) 第三方人员不得越权使用信息系统的任何功能；

(二) 第三方人员不得私自拷贝信息系统中的任何数据和程序；

(三) 第三方人员将信息系统的软硬件携入与携出信息系统的运行场所必须遵守相关的管理规定；

(四) 第三方人员不得私自将含有密钥的设备（或配件）携出信息系统的运行场所；

(五) 第三方人员使用信息系统的操作记录应进行登记（附录一、第三方人员操作记录表）；

(六) 未经允许，第三方人员不得使用信息系统。

第二十一条 账号控制：

(一) 第三方人员使用信息系统必须遵守信息系统使用的账号管理规定；

(二) 第三方人员必须保证信息系统账号的安全，不能泄露给无关的第三方；

(三) 第三方人员在工作人员变动时，必须向项目管理部门或人员报告，由安全管理员对账号进行安全处理。

第二十二条 密码控制：

(一) 第三方人员必须保证密码不泄露，当不慎泄露密码时，应立即通知嵊泗县各机关单位和部门信息系统相关管理人员；

(二) 服务提供的密码由信息系统相关管理员定期更换，更换后信息系统相关管理人员向第三方人员通知密码。

第十二章 违规处罚

第二十三条 由于嵊泗县各机关单位和部门内部对第三方管理不到位造成的信息安全事件发生的相关人员，由嵊泗县各机关单位和部门根据内部相关管理规定进行处罚。

第二十四条 因第三方违反信息安全有关规定对安全生产造成影响的，由第三方负全责，嵊泗县各机关单位和部门有权终止其服务，如影响业务正常进行的，将根据影响程度保留进一步追究的权利。

第二十五条 对于违反国家法律法规的第三方人员，嵊泗县各机关单位和部门将会同违规人员所属单位将违规人员移交司法机关。并根据违规人员给嵊泗县各机关单位和部门造成的具体损失情况，由第三方负责赔偿。

第十三章 附则

第二十六条 本文件自发布之日起30日后执行。

第十四章 附录