外包供应商信息安全管理要求.docVIP

PAGE1 / NUMPAGES8 信息安全管理要求 概念定义 1、驻场/近岸：指业务场地由甲方拥有和管理。 2、离岸：指业务场地由乙方拥有和管理。 3、项目敏感信息：包括但不限于甲方的客户信息（例如：会员信息、签约商户信息等，以及本合同中约定的“保密信息”）以及甲方的业务数据。 4、甲方审批和报备: 指乙方根据甲方项目主管的要求提供相关资料用于甲方业务、技术及信息安全团队的审批和报备。 总体要求 1、乙方在合作期内应按照符合业界标准的信息管控要求执行信息安全管理，确保敏感信息在采集、处理、存贮、传输、分发、备份、恢复、清理和销毁等各环节的完整性（保护信息不被恶意篡改）、保密性（保护信息不被有意或无意地向未授权人员泄露）和可用性。 2、本要求提出了乙方需要遵循的强制性安全基本要求。乙方如不能达到本规定的要求，甲方可限制、甚至拒绝相关项目的执行。 信息安全管理规范 （一）管理职责 1、乙方必须指定安全接口人来负责本项目的信息安全管理。 2、乙方管理层应落实信息安全管理职能，包括建立信息安全计划和保持长效的管理机制，提高全体员工信息安全意识，并定期（至少每年一次）向甲方提交信息安全评估报告。 3、乙方的信息安全管理机制应包括信息安全标准、流程与规范体系，并至少每年更新以反映最新的安全需求。 4、乙方应建立管理用户认证和访问控制的流程。乙方人员对业务数据和系统的访问只限于相关业务能合法开展所要求的最低限度。乙方人员调动到新的工作岗位或离开时，应在系统中及时检查、更新或注销用户身份。 5、乙方应制定相关制度和流程，严格管理甲方敏感信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。 6、乙方应对所有员工进行必要的培训，使其充分掌握信息安全管理制度和流程，了解违反规定的后果，并对违反安全规定的行为采取零容忍政策。 7、乙方人员必须参加并通过所有甲方安排的安全相关考试，包括但不限于数据安全考试，廉政考试等。 （二）离岸场地环境要求 1、乙方应保证本项目工作场地与其它区域在物理上明显隔离：场地出入口有身份识别系统，对进出人员身份进行识别和控制防止非本项目人员进入。所有时段门禁保持关闭，人员进出必须刷卡，禁止尾随。门禁刷卡记录保存三个月以上。 2、工作场地出入口应有CCTV监控摄像系统，对进出人员进行监控，记录至少保存三个月。 3、项目的服务器和网络设备必须与办公区域隔离，并且上锁，非授权人员不得进入。 4、乙方对打印和复印必须严格管理，不允许随意打印或带出纸件文档。乙方必须在场地配置碎纸机，所有纸质项目文档使用过后必须用碎纸机销毁。 5、不允许与甲方项目无关人员进入工作场地，如有特殊要求，需要登记备案。访客记录（包括但不限于姓名、单位、携带设备，被访人员、访问目的、进入时间、离开时间、访客签字）保存六个月以上。 6、不允许第三方人员或机构参观项目场地。 （三）人员管理 1、乙方人员在入职或为甲方服务之前，乙方必须对其进行背景调查，避免利益冲突、竞业限制、信息泄露等可能危害甲方利益的情形。在此基础上，甲方可开展单独的入职风险评估，并有权根据入职风险评估结果拒绝该员工的入职。 2、入职培训需包括信息安全相关内容。乙方需要定期（一年至少一次）组织员工进行信息安全培训，并提供定期培训记录。 3、乙方必须与为甲方服务的员工签订保密协议，并且保密协议应明确规定在甲方项目中的工作参考资料和产出物（包括但不限于代码、文档、图片等项目敏感信息）均属于甲方资产，未经甲方允许，乙方不得以任何形式将上述甲方资产带出项目办公环境（包括但不限于打印件带出、拷贝到U盘或移动硬盘、上传到云盘、邮件外发、FTP上传等方式）。 4、乙方必须保证在与甲方的项目合同有效期间内，其在项目中的员工只能为甲方及其关联公司提供服务，不得同时服务于其他公司。 5、员工岗位调动或离职时，乙方应立即配合终止或删除该员工对甲方业务系统及信息的访问权限。乙方需指定员工负责管理、维护乙方人员信息，及时登记并定期（至少每个月）向甲方反馈人员岗位异动情况，以便双方及时回收账户、权限、数据及相关资产。 6、乙方应至少提前2周提供人员离场的信息预告，并保证人员在离场当天办完所有的手续（包括并不限于资产、权限、数据的回收），若乙方离场人员未在离场当天办完离场手续，甲方有权向乙方收取逾期违约金，从离场次日起算，第一天按500元计算，以后每逾期一天增加100元。 （四）IT风险管理 1、账号/口令安全 （1）乙方人员电脑的登陆密码长度至少8位，并且是字母，数字和特殊字符的组合。密码至少每90天变更一次，并不得通过任何渠道向任何人透露。 （2）默认情况下用户登陆账号不应具有本机管理员权限。禁止用户将各类登录用户名、密码保存于操作系统或者浏览器中。 2、主机安全 （1）近岸和离岸场地的所有设备接入甲方网络环