腾讯-外包员工信息安全管理规范.doc

腾讯控股集团管理标准 GL/YY 001-2013V1.0-L1 外包员工信息安全管理规范 2013-1-4发布 2013-1-4实施 ——————————————————————————————————————— 腾讯控股集团 发布  前 言 本规范系公司第一次发布，为规范公司外包员工合理使用公司信息系统资源，制定外包员工信息安全管理措施提供依据，特制定本规范。 本标准由企业IT部和安全平台部负责起草、解释,自发布之日起实施。 本标准主要起草人：wilsonwang(王森);chanche(车世华);veeqihe（何林如）; 本标准主要审核人：robynliu(刘若潇); coolcyang(杨勇) 本标准批准人：ponyma（马化腾）Charles(陈一丹);ls(卢山);leon(郭凯天) 本标准首次发布日期： 2013年1月4日 本标准适用范围：全公司  1.目的 本管理规范专为腾讯的外包员工设立，主要为了建立完善的外包员工信息安全管理制度，明确外包员工在场和离场需遵守的规范，包括但不限于：机器使用规范、帐号使用规范、场外接入规范、离场规范等。 2.适用范围 本管理规范适用全公司范围内所有外包员工。 3.相关定义 劳务派遣单位与劳动者建立劳动关系后，按照与用工单位订立的派遣协议将劳动者派到用工单位劳动，这类劳动者称之为外包员工：即企业将其非核心的业务外包出去，利用外部优秀专业团队承接业务，从而使其专注核心业务，达到降低成本、提高效率、增强企业核心竞争力和对环境应变能力的目的，这类服务外包及项目外包的员工统称为外包员工。 腾讯集团域：因投资并购等原因与腾讯构成合作关系的法人企业。 在场外包员工：外包员工在腾讯公司自有或租用办公环境内进行办公的称为在场外包员工。 场外外包员工：外包员工在腾讯公司自有或租用办公环境外进行办公的称为场外外包员工。 腾讯公司办公内网主要包括三类：办公网 、开发网、 体验网，使用原则是“专网专用，专机专用”，相关定义如下： 办公网：从事日常办公行为，如公文处理、访问内部OA系统、访问授信互联网网站、使用RTX、使用Tencent域收发邮件等。 开发网：从事软件开发、测试等研发行为，如访问SVN代码管理系统、使用开发环境编写代码、对代码进行测试、访问运维接入平台等。 体验网：从事外部互联网产品体验行为，比如访问非授信互联网网站、访问非腾讯公司业务等。 4. 在场外包员工信息安全管理 4.1 责任人 4.1.1外包员工在场办公必须使用腾讯公司提供的办公和开发主机。 4.1.2外包员工本人对所使用的办公、开发主机和外包帐号负直接责任，应尽到保全资产完整性以及合理使用帐号的义务。 4.1.3管理外包员工的腾讯员工对外包员工使用的办公、开发主机和外包帐号负管理责任。 4.2 办公主机使用管理 外包员工通过办公或开发机接入腾讯公司内部网络进行工作，须遵守公司《办公PC使用管理规范》（见附录A）和《防止办公网内高危行为管理办法》（见附录B）。 4.2.1外包员工使用的办公或开发机必须满足以下要求，才允许接入腾讯内部办公或开发网： 必须安装腾讯指定的标准化操作系统； 安装腾讯指定办公安全接入软件； 安装腾讯指定的防病毒软件和办公安全接入软件。 4.2.2严禁办公或开发机在接入内网的同时接入其他网络，包括但不限于： 使用双网卡，在连接内网的同时连接其他网络； 在连接内网的同时，使用GPRS或3G； 在连接内网的同时，使用拨号或专线的方式连接到公司外部网络。 4.2.3 外包员工必须使用开发机接入开发网访问腾讯内部研发资料。 4.2.4禁止外包员工在办公和开发主机中安装任何类型的扫描、窃听或攻击性质的应用程序。 4.3 帐号和访问权限管理 4.3.1内网信息系统分级规定： 安全 级别 信息系统 一级 RTX、内部邮件系统、互联网 基础OA应用系统（见附录C） 二级 源代码管理系统、文档系统、项目管理系统、业务管理系统 三级 VPN、跳板机、IDC生产系统 4.3.2外包员工默认使用腾讯集团域办公帐号，若有特殊需求，可申请腾讯公司内部帐号：以小写v开头，后跟下划线_和英文ID，如v_waibao。 4.3.3外包员工帐号须唯一对应一个外包员工，禁止外包员工共用帐号。 4.3.4外包员工帐号默认不具有内网信息系统访问权限，根据实际工作需要可申请一级和二级信息系统访问权限，申请方式如下： 源代码管理系统，权限申请链接：/workflow/home； 业务管理系统，权限申请链接：/； 其它系统，需用人部门经理同意，并通过邮