网络与信息安全责任条款（工程及维护）.docVIP

　　网络与信息安全责任条款 　　甲方： 　　乙方： 　　本条款适用于为甲方通信网、业务网、支撑系统提供软硬件产品或工程建设、集成、售后服务、维保服务的乙方。 　　本条款所称“保密信息”是指：甲方网络与业务发展情况、网络拓扑、设备信息、系统帐号、用户数据和信息等。包括但不限于：任何甲方不欲公开的观点、发现、发明、公式、程序、计划、图表、模型、参数、数据、标准和专有技术秘密，和/或其中的任何知识产权。 　　本条款所称“第三方组件”是指：乙方在应用软件开发过程中所引入的第三方的代码、控件、组件、库文件与应用产品等。应用服务器、数据库、中间件与操作系统不在本办法所称的第三方组件范畴内。 　　1.对因提供服务需在甲方现场长期派驻人员的情况，乙方应在派驻现场设立专职信息安全管理人员，负责开展派驻现场的安全管理；指导和监督派驻现场人员的信息安全，确保不发生违规行为；接受甲方的监督和考核等。 　　信息安全管理人员发生变更时，乙方应在变更前1周内将有关变更信息报送甲方对口主管部门。 　　2.对因提供服务而能接触到甲方保密信息的乙方员工，乙方应与其签订保密协议，明确其保密责任以及违约罚则，并定期对其进行信息安全意识教育和安全培训。 　　3.乙方应严格遵守甲方相关信息安全管理制度和要求以及中国移动客户服务“五条禁令”要求和规定。 　　4.对于在甲方现场长期派驻的乙方人员转岗或离岗前，乙方需向甲方对口主管部门提交人员转岗或离岗申请，由甲方对口主管部门牵头完成乙方人员帐号回收并签署转岗或离岗审批意见后，乙方人员方可正式转岗或离岗。 　　5.对因提供服务需进入甲方生产区域或登录甲方系统进行操作的情况，乙方应严格遵守甲方相关信息安全管理制度和要求。 　　6.对于由乙方负责安装、调试的相关设备或售后服务、维护服务范围内的相关设备： 　　1）乙方应保证相关设备安全配置符合《中国移动设备通用安全功能和配置规范》的要求。 　　2）乙方应保证相关设备已安装中国移动总部发布的补丁列表中所要求的安全补丁，关闭与业务无关端口，无关进程和服务，按照最小化的原则进行授权，并无重大安全漏洞、后门或者感染病毒。 　　3）乙方应用软件中程序帐号所使用的口令应便于在维护中定期修改并以加密方式保存，不可固化在软件里。 　　4）对于甲方发现的相关设备的重大安全漏洞、后门或者病毒感染，乙方应按甲方要求进行修补、清除或者采用其他手段消除安全隐患。 　　5）乙方必须具备所提供应用软件版本的独立实验环境。当操作系统、数据库、应用软件需安装安全补丁时，乙方应在甲方规定的时间内在实验环境内进行兼容性测试、提供测试结果，并协助甲方进行补丁安装，提供现场支持服务。 　　6）在系统投入运行直至退网期间，乙方应及时将通过各种途径发现的自主研发应用软件在软件代码、功能或配置方面的安全漏洞告知甲方，并无偿提供修补方案和实施修补；或者在甲方发现漏洞后，在甲方规定的时间内无偿提供修补方案和实施修补。 　　7）当操作系统、数据库、应用软件安全补丁安装失败时，乙方有责任协助甲方对补丁加载失败原因进行分析、测试；当加载的安全补丁与乙方所提供的应用系统存在冲突时，乙方应在规定时间内对应用系统进行升级改造。 　　8）对于乙方提供的运行在Windows操作系统的应用软件，版本应在Win2000（含）以上，不能使用家用版。同时，乙方必须承诺与趋势科技（TrendMicro）、赛门铁克（Symantec）以及NAI公司等主流网络版防病毒软件或其中之一兼容。 　　9）如果出现未知原因的攻击导致相关设备异常，乙方有责任配合甲方查找原因，给出解决方案。同时，乙方需建立必要的测试环境，对于各类安全解决方案进行及时测试，并给出可行的现网实施办法。 　　7.对于涉及第三方组件的由乙方自主开发的相关应用软件或售后服务、维护服务范围内的相关应用软件，乙方应履行以下义务和职责： 　　1）乙方应有第三方组件的原作者或厂商授权，出现专利纠纷或侵权使用等责任问题时由乙方负责。 　　2）乙方应保证引入的第三方组件的安全质量，调研待引入的版本是否有已知安全漏洞。对开源的第三方组件，应进行源代码安全分析，防止出现系统漏洞与后门。乙方应对使用第三方组件而引入的信息安全风险负责。 　　3）乙方应满足第三方组件选用、入网、版本管理、登记等管理要求，并符合第三方组件基础安全功能和配置要求。 　　4）在产品投入运行直至退网期间，乙方应及时地、无偿的向甲方发布第三方组件相关安全漏洞及应急处置措施，在实验环境内对补丁及加固配置进行兼容性测试、提供测试结果，并协助甲方进行补丁升级和配置加固等工作。 　　5）当发现第三方组件存在零日安全漏洞时，乙方应制定临时补救措施或联系第三方组件开发商索取安全补丁，并在经过甲方审核后进行整改。 　　8.乙方应确保有足够的资源来保障信息安全工作