XX_3_HR_外包人员信息安全守则.doc

文档编号 XX_3_HR_外包人员信息安全守则 版 本 号 V1.0 密 级 内部公开 外包人员信息安全守则 XXX信息技术有限公司 文档信息 发布版本：V1.0 最后发布时间：XX 编写人：XX 审核人：XXX 文档编写目的 本文件的目标是明确外包人员在为XXX信息技术有限公司提供服务过程中的信息安全职责及在信息安全各个领域的安全要求，强化对外包安全风险的控制，保障XXX外包环境下的信息安全。 文档主要内容 本文件主要明确了外包人员的信息安全职责和外包人员通用信息安全规范要求，在此基础上分别针对非IT外包人员及IT外包人员的关键安全控制要求进行了规范，并制订了相应的罚则 文档适用范围 本文档适用于XXX信息技术有限公司。 版本控制 编号 修订人 修订时间 版本号 修订内容说明 1 2 3 第 2 页 共 13 页 目 录 1. 总则 5 2. 信息安全基本概念与相关定义 5 3. 外包人员信息安全职责 6 4. 外包人员通用信息安全规范要求 7 4.1. 总体要求 7 4.2. 终端使用 8 4.3. 网络使用安全 9 4.4. 电子邮件安全 9 4.5. 敏感信息保护 10 4.6. 物理区域与环境安全 10 5. 非IT外包人员安全规范要求 10 6. IT外包人员安全规范要求 11 6.1. 软件开发人员 11 6.2. IT运维人员 12 6.3. IT咨询顾问、IT审计员等专业服务人员 12 7. 罚则 13 8. 附则 13 第 3 页 共 13 页 1. 总则 本文件的目标是明确XXX信息技术有限公司（以下简称“XXX”）外包人员在为XXX提供服务过程中的信息安全职责及在各个领域的信息安全控制要求，强化对外包安全风险的控制，增强外包人员的信息安全意识，保障XXX外包环境下的信息安全，并为外包监管和考核提供有效的依据。 本文所指的外包人员是指受XXX委托、基于合同约定在一个持续时间段内为XXX提供业务/技术相关商业服务的外部组织人员。基于其服务内容的不同，具体可分为非IT外包人员和IT外包人员两大类，包括： n 非IT外包人员：指为XXX提供业务咨询、建议及具体业务操作服务的外包人员，主要包括外包文秘、业务咨询顾问等； n IT外包人员：指协助XXXIT部门提供信息化相关服务的外包人员，主要包括软件开发人员、IT运维人员、IT咨询顾问及IT审计人员（指为XXX提供审计服务的第三方商业机构审计人员）等。 本文件主要明确了外包人员的信息安全职责和外包人员通用信息安全规范要求，在此基础上分别针对非IT外包人员及IT外包人员的关键安全控制要求进行了规范，并制订了相应的罚则。 2. 信息安全基本概念与相关定义 信息安全涉及XXX工作的方方面面，在依靠制度规范和日常监督的同时，更需要外包人员在工作过程中通过自律的方式实现安全保障。本部分将针对XXX信息安全相关的基本概念进行定义和描述，以帮助外包人员更好地贯彻和落实本规范及其他安全相关要求。 （1） 信息资产：泛指XXX进行商业运作、开展业务和实施管理不可或缺的资源，包括计算机设备、应用软件、操作系统、基础设施、人员及品牌等有形的和无形的资产。 （2） 信息安全：本文件提及的信息安全是指保护XXX的信息资产，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保障信息资产的机密性、完整性和可用性，消减并控制风险，保证XXX业务能够连续、可靠、正常地进行。 （3） 信息安全三要素 n 机密性：确保信息资产在存储、使用、传输过程中不会泄漏给非授权用户或实体。 n 完整性：确保信息资产在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对其进行不恰当的篡改，保持内、外部表示的一致性。 n 可用性：确保授权用户或实体对信息资产的正常使用不会被异常拒绝，允许可靠而及时地访问。 （4） 物理安全区域：泛指XXX使用、租借或交换的用于日常工作、放置信息资产的场所及相关区域，包括各办公区、机房等。 （5） 桌面终端：泛指各种类型个人计算机，包括台式机、笔记本电脑等。 （6） 敏感信息：泛指对XXX的工作开展具有重要作用，一旦泄露会使XXX的信息安全、企业形象或经济利益遭受一定程度损害的信息；除XXX明确为公开信息的以外，其他外包人员工作期间接触到的XXX各类信息均视为敏感信息。 3. 外包人员信息安全职责 作为为XXX提供商业服务的外部组织人员，外包人员在服务过程中须严格遵照合同约定及XXX要求，履行信息安全相关的责任和义务，其信息安全职责具体包括以下几方面： （1） 自觉遵守与XXX的合同/协议、本文件及其他XXX制度规范对信息安全各个领域的要求。 （2） 参与XXX要求的信息安全相关培训，确保掌握了为XXX服务所必需的安全技能。 （3） 恪守职业道德，维护XXX利益，认真履行保密义务，自觉保护XXX的敏感信息，妥善保管、使用以及传输在工作中接触的各类XXX敏感信息的载体。 （4） 妥善保管和使用XXX提供的桌面终端、移动存储介质、门禁卡等信息资产，并在使用完毕后及时归还。 （5） 及时向XXX人员报告工作中发现的异常情况，包括病毒爆发、应用系统异常、网络异常等情况，协助/配合XXX人员进行信息安全事件的响应与处理。 4. 外包人员通用信息安全规范要求 4.1. 总体要求 （1） 所有XXX外包人员都必须签订《保密协议》，对自己所承担的信息安全保密责任进行承诺。 （2） 外包人员工作期间，须根据XXX要求提供详实的个人相关信息（如姓名、联络方式、参与项目名称、担任的角色、管理人、自带终端MAC地址、身份证号等），以便XXX对外包人员活动进行有效的监控和管理。 （3） 外包人员工作期间，须严格遵守XXX信息安全相关制度规范的要求，服从XXX外包主管部门及信息安全组织/部门的管理和指导，确保服务过程中的信息安全。 （4） 外包人员因完成工作或其他原因停止为XXX服务时，必须提前半个月以正式的方式通告XXX，严格依照双方的约定办理离任交接手续，并立即交回身份识别卡/门禁卡、XXX提供的桌面终端、存储介质等物品，退还相关的文档资料等；未经许可，不得私自复印保存XXX的资料。 （5） 外包人员在停止为XXX服务后，须严格遵循保密协议及其他与XXX合同条款中规定的保密要求履行相关的信息安全职责，并在必要时配合XXX的调查工作。 4.2. 终端使用 （1） 外包人员自带桌面终端必须安装正版的防病毒软件，且须通过每周病毒扫描等措施降低病毒感染风险，避免因病毒感染和传播影响XXX信息安全。 （2） 未经XXX许可，外包人员不得擅自在任何XXX桌面终端上进行操作。 （3） 外包人员因工作需要使用XXX桌面终端，须与XXX员工一样遵循XXX桌面终端使用安全要求，具体参见《员工信息安全守则》。 （4） 如使用XXX提供的桌面终端开展工作，则不得将非XXX桌面终端带入XXX办公场所或使用其处理XXX信息。 （5） 未经XXX许可，外包人员不得将任何XXX的桌面终端带离其原来所在的区域。 （6） 外包人员工作期间如需访问和使用XXX终端/系统，须严格遵循XXX用户帐户和密码安全要求，妥善保管分配的用户帐户和密码，严格遵循密码策略进行密码设定和管理，具体参见《员工信息安全守则》。 （7） 外包人员不得以任何形式探听、获取其授权范围外的XXX用户帐户和密码。 （8） 严禁利用XXX分配的用户帐户从事任何与工作无关的事项。 4.3. 网络使用安全 （1） 外包人员使用自带终端设备接入XXX网络时，须向XXX提供本机MAC地址和机器名称，以接受XXX对网络的监控和管理；未经XXX许可，不得更改所用桌面终端的MAC地址。 （2） 外包人员使用网络时，须严格遵循XXX网络使用的相关规范，不得利用XXX网络资源从事任何与工作无关或可能危害XXX网络安全的活动。 （3） 在XXX网络环境中，未经许可不得使用无线接入设备访问互联网或通过手机、电话以拨号方式访问互联网。 （4） 不得使用XXX的固定电话、IP电话等通信工具拨打与工作无关的电话；严禁利用XXX的固定电话、IP电话拨打声讯台、色情电话等违反国家法律或XXX规定的电话，或散布谣言，发布反动言论。 4.4. 电子邮件安全 （1） 外包人员因工作需要与XXX进行邮件沟通时，应使用外包人员所在公司的邮箱，且必须落实严格的控制措施，避免邮件及其附件被恶意代码感染。 （2） 外包人员不得利用邮件服务向XXX邮箱发送带有以下性质的邮件： n 包含骚扰性的、中伤他人的、恐吓性的、庸俗的、淫秽的以及其他违反法律法规和XXX规定的内容； n 包含电脑病毒、木马软件、间谍软件等可能危害XXX信息安全的恶意软件，干扰或破坏XXX网络系统的正常运行； n 其他与工作无关的邮件。 （3） 在向XXX邮箱发送邮件时，应避免在附件中直接添加各种可执行文件或脚本，如后缀名为EXE、COM、JS、DLL、VBS等的文件；如有特殊需要必须发送可执行程序或脚本，应使用压缩软件进行压缩后发送。 4.5. 敏感信息保护 （1） 外包人员在获取、访问、借阅XXX各种含有敏感信息的文档时应严格遵循XXX的规范要求；未经XXX允许严禁私自拷贝、复印或以其他方式将XXX的敏感信息带离XXX物理安全区域。 （2） 严禁以任何方式探听、获取、访问不属于授权知晓范围的XXX敏感信息；严禁将自己掌握的XXX敏感信息透露给未授权人员。 （3） 外包人员须妥善保管获得的XXX各类敏感信息，并在使用过程中严格遵守XXX关于敏感信息保护的要求。 4.6. 物理区域与环境安全 （1） 外包人员不得进入未经授权的物理安全区域，不得随意带领其他人员进入XXX物理安全区域。 （2） 外包人员必须妥善保管身份识别卡等，未经XXX许可不得借与他人使用。 （3） 外包人员工作期间，应严格遵循所在物理安全区域的环境控制要求，严禁携带任何可能威胁区域环境安全的物品进入。 5. 非IT外包人员安全规范要求 （1） 本部分主要明确了外包文秘、业务咨询顾问等非IT外包人员在信息安全方面的特殊要求。非IT外包人员应在符合本文件第4章“外包人员通用信息安全规范要求”的基础上，结合自己从事的工作内容，遵循本章节安全规范要求。 （2） 外包文秘在工作过程中须妥善保护处理的文档及其中的敏感信息，避免在文档处理过程中敏感信息的泄露；严禁将工作过程中涉及的XXX敏感信息泄露给未授权人员。 （3） 业务咨询顾问在为XXX提供业务咨询服务时，须严格遵循知识产权的相关法律规范，确保服务交付不会对他人的合法知识产权造成侵害，以免XXX陷入相关的法律纠纷。 （4） 业务咨询顾问在XXX工作期间须切实保护XXX的知识产权，未经XXX授权，严禁将XXX业务相关资料以及XXX拥有知识产权的交付成果用于非XXX工作相关的其他用途。 6. IT外包人员安全规范要求 本部分主要明确了软件开发人员、IT运维人员、IT咨询顾问及IT审计人员等IT外包人员在信息安全方面的特殊要求。IT外包人员应在符合本文件第4章“外包人员通用信息安全规范要求”的基础上，结合自己从事的工作内容，遵循本章节安全规范要求。 6.1. 软件开发人员 （1） 软件开发过程中，所有外包开发人员应遵循XXX软件开发相关安全规范及项目组的安全管理要求。 （2） 外包开发人员须使用XXX认可的、成熟的、正版应用开发软件。 （3） 避免在开发环境安装与应用系统开发无关的软件。 （4） 外包开发人员应对自己负责编写的代码进行必要的安全检查，尽可能避免代码中的安全漏洞；严禁以任何形式在开发软件中预留逻辑炸弹、后门或其他与软件自身功能无关的代码程序。 （5） 外包开发人员不得私自复制、外带有关系统开发相关的文档和代码，严禁泄露软件开发相关的文档和代码给非相关人员或外部组织。 6.2. IT运维人员 （1） 外包IT运维人员在为XXX提供IT运维服务的过程中，应严格遵循XXX权限管理的要求申请用户帐户权限，且仅限于申请时确定的人员使用；严禁将用户帐户交与其他人使用。 （2） 外包IT运维人员在使用分配的用户帐户（特别是特权帐户）过程中须严格遵照申请时确定的工作范围和内容进行操作；严禁利用分配的用户帐户从事任何与运维工作无关的事项。 （3） 外包IT运维人员在工作过程中须自觉接受XXX的安全监控和审计，并提供所需的协助和支持；严禁对操作日志进行修改、删除或调整。 （4） 外包IT运维人员不得通过互联网远程接入方式对XXX服务器、网络设备等进行运维和调试。如发生紧急情况，必须经XXX运维管理部门认可和授权，基于约定的时间和工作内容采取互联网远程接入的方式进行运维和调试，一旦工作完成须立即停止。 （5） 在机房工作的外包IT运维人员，须严格遵循XXX机房安全相关规范，保障机房内XXX信息资产的安全运行。 （6） 外包IT运维人员须严格遵循与XXX约定的工作内容开展信息安全相关工作，包括安全配置、日常监控、数据备份等，并及时向XXX汇报异常情况。 6.3. IT咨询顾问、IT审计员等专业服务人员 （1） IT咨询顾问在为XXX提供咨询服务时，须严格遵循知识产权的相关法律规范，确保服务的交付不会对他人的合法知识产权造成侵害，以免XXX陷入相关的法律纠纷。 （2） IT咨询顾问和IT审计人员均须妥善保管接触到的XXX资料（如网络架构、防火墙配置）；严禁利用掌握的敏感信息从事任何与工作无关、可能危害XXX信息安全的活动。 （3） IT审计人员在XXX进行上机操作和审计时，须遵循XXX相关系统的操作规程，并听取XXX人员对上机操作安全的建议，避免因误操作影响XXX信息系统的稳定运行。 （4） IT咨询顾问、IT审计人员等外包人员在XXX工作期间须切实保护XXX的知识产权，未经XXX授权，严禁将XXX业务相关资料以及XXX拥有知识产权的交付成果用于非XXX工作相关的其他用途。 7. 罚则 违反本守则及其他XXX信息安全相关规定的外部人员，将依据与外包供应商及其个人所签订安全协议中规定的条款进行处理，对于情节较为严重的，将要求外包供应商根据协议约定和损失情况向XXX提供赔偿，直至追究个人的法律责任。 8. 附则 （1） 本文件由XXX信息安全部负责解释。 （2） 本文件自发布之日起执行。 （3） 本文件将每年进行一次评审修订，并在重大信息安全事件发生后进行评审修订。 0 第 13 页 共 13 页