外包供应商信息安全管理要求

1/8信息安全管理要求一、概念定义1、驻场/近岸：指业务场地由甲方拥有和管理。2、离岸：指业务场地由乙方拥有和管理。3、项目敏感信息：包括但不限于甲方的客户信息（例如：会员信息、签约商户信息等，以及本合同中约定的“保密信息”）以及甲方的业务数据。4、甲方审批和报备:指乙方根据甲方项目主管的要求提供相关资料用于甲方业务、技术及信息安全团队的审批和报备。二、总体要求1、乙方在合作期内应按照符合业界标准的信息管控要求执行信息安全管理，确保敏感信息在采集、处理、存贮、传输、分发、备份、恢复、清理和销毁等各环节的完整性（保护信息不被恶意篡改）、保密性（保护信息不被有意或无意地向未授权人员泄露）和可用性。2、本要求提出了乙方需要遵循的强制性安全基本要求。乙方如不能达到本规定的要求，甲方可限制、甚至拒绝相关项目的执行。三、信息安全管理规范（一）管理职责1、乙方必须指定安全接口人来负责本项目的信息安全管理。2、乙方管理层应落实信息安全管理职能，包括建立信息安全计划和保持长效的管理机制，提高全体员工信息安全意识，并定期（至少每年一次）向甲方提交信息安全评估报告。3、乙方的信息安全管理机制应包括信息安全标准、流程与规范体系，并至少每年更新以反映最新的安全需求。4、乙方应建立管理用户认证和访问控制的流程。乙方人员对业务数据和系统的访问只限于相关业务能合法开展所要求的最低限度。乙方人员调动到新的工作岗位或离开时，应在系统中及时检查、更新或注销用户身份。2/85、乙方应制定相关制度和流程，严格管理甲方敏感信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。6、乙方应对所有员工进行必要的培训，使其充分掌握信息安全管理制度和流程，了解违反规定的后果，并对违反安全规定的行为采取零容忍政策。7、乙方人员必须参加并通过所有甲方安排的安全相关考试，包括但不限于数据安全考试，廉政考试等。（二）离岸场地环境要求1、乙方应保证本项目工作场地与其它区域在物理上明显隔离：场地出入口有身份识别系统，对进出人员身份进行识别和控制防止非本项目人员进入。所有时段门禁保持关闭，人员进出必须刷卡，禁止尾随。门禁刷卡记录保存三个月以上。2、工作场地出入口应有CCTV监控摄像系统，对进出人员进行监控，记录至少保存三个月。3、项目的服务器和网络设备必须与办公区域隔离，并且上锁，非授权人员不得进入。4、乙方对打印和复印必须严格管理，不允许随意打印或带出纸件文档。乙方必须在场地配置碎纸机，所有纸质项目文档使用过后必须用碎纸机销毁。5、不允许与甲方项目无关人员进入工作场地，如有特殊要求，需要登记备案。访客记录（包括但不限于姓名、单位、携带设备，被访人员、访问目的、进入时间、离开时间、访客签字）保存六个月以上。6、不允许第三方人员或机构参观项目场地。（三）人员管理1、乙方人员在入职或为甲方服务之前，乙方必须对其进行背景调查，避免利益冲突、竞业限制、信息泄露等可能危害甲方利益的情形。在此基础上，甲方可开展单独的入职风险评估，并有权根据入职风险评估结果拒绝该员工的入职。2、入职培训需包括信息安全相关内容。乙方需要定期（一年至少一次）组织员工进行信息安全培训，并提供定期培训记录。3、乙方必须与为甲方服务的员工签订保密协议，并且保密协议应明确规定在甲方项目中的工作参考资料和产出物（包括但不限于代码、文档、图片等项目敏感信息）均属于甲方资产，未经甲方允许，乙方不得以任何形式将上述甲方资产带出项目办公环境（包括但不限于打印件带出、拷贝到U盘或移动硬盘、上传到云盘、邮件外发、FTP上传等方式）。4、乙方必须保证在与甲方的项目合同有效期间内，其在项目中的员工只能为甲方及其关联公司提供服务，不得同时服务于其他公司。3/85、员工岗位调动或离职时，乙方应立即配合终止或删除该员工对甲方业务系统及信息的访问权限。乙方需指定员工负责管理、维护乙方人员信息，及时登记并定期（至少每个月）向甲方反馈人员岗位异动情况，以便双方及时回收账户、权限、数据及相关资产。6、乙方应至少提前2周提供人员离场的信息预告，并保证人员在离场当天办完所有的手续（包括并不限于资产、权限、数据的回收），若乙方离场人员未在离场当天办完离场手续，甲方有权向乙方收取逾期违约金，从离场次日起算，第一天按500元计算，以后每逾期一天增加100元。（四）IT风险管理1、账号/口令安全（1）乙方人员电脑的登陆密码长度至少8位，并且是字母，数字和特殊字符的组合。密码至少每90天变更一次，并不得通过任何渠道向任何人透露。（2）默认情况下用户登陆账号不应具有本机管理员权限。禁止用户将各类登录用户名、密码保存于操作系统或者浏览器中。2、主机安全（1）近岸和离岸场地的所有设备接入甲方网络环境，必须安装甲方提供的阿里郎软件。（2）乙方人员电脑无论是甲方资产还是乙方资产必须是台式机。如有特殊场景，经过甲方审批和报备后可以使用笔记本或其他移动设备办公。未经甲方书面许可，乙方人员不得将项目相关移动设备带出办公环境。（3）乙方人员电脑必须在BIOS里设置管理员密码，防止用户私自修改BIOS设置。并禁止第三方设备启动电脑。（4）乙方人员电脑必须开启自动锁屏，解锁需要输入登陆密码，锁屏等待时间不得大于10分钟。（5）离岸情况下的乙方人员电脑必须从物理上或以技术手段限制数据端口（包括但不限于USB口、串/并口、蓝牙、红外等）的使用。如果有特殊需求，必须经过甲方审批和报备。3、互联网访问安全（1）乙方须对Internet的访问应该做白名单控制，仅开放受限的Internet访问权限（例如：默认仅允许访问工作所需的web工作平台，旺旺，和特定的网站等）。禁止访问具有数据上传功能的网站（例如Webmail，网盘等），并限制用户从Internet下载数据/软件等。4、内部网络应用安全（1）乙方人员必须使用甲方指定的及时通讯工具或邮箱与甲方交换信息。如有特殊情况，4/8必须经过甲方审批和报备。（2）禁止用户自行更改计算机名和网络配置或将私人计算机接入工作网络。（3）默认情况下不开通用户的网络打印机连接权限，如需使用网络打印机，需向IT管理员申请获的相关业务部门主管审批后开启，并最终在信息安全部门备案。5、网络边界安全(1)离岸工作网络应与乙方其他网络进行有效的安全隔离，限制网络对其他网络资源以及其他网络对网络资源的非授权访问（包括有线和无线）。(2)乙方人员不得以任何形式（包括但不限于WI-FI共享、自建AP等）将甲方网络暴露和共享到无线环境中。(3)禁止用户在非工作网络通过远程访问（如VPN，RDP等）的方式，访问工作环境。6、日常使用/物理安全（1）乙方对甲方配发的终端和设备有保管义务，如果损毁或丢失，乙方必须按市价赔偿；如果由于终端或设备丢失导致甲方信息泄露，甲方将根据双方约定、受损程度追究乙方法律责任。（2）对于因项目结束或离职等原因离开项目的乙方人员，乙方必须确保甲方配发的所有固定资产（包括但不限于电脑、工牌、令牌等）退场当天或提前归还给甲方。（3）工作时间应该禁止进行非工作相关的网上聊天、娱乐、炒股、或者收发非工作邮件。7、软件的安装和使用（1）乙方人员电脑必须安装正版操作系统和文档处理软件，并确保安全补丁及时更新。不得安装盗版软件、破解软件、反编译、远程控制类软件、翻墙类软件、云存储类客户端软件（包括但不限于云笔记、云盘、网盘等）以及其他未经甲方备案的软件。（2）乙方人员电脑不得安装除甲方指定之外的即时通讯软件，如有例外，必须经过甲方审批和报备。（3）乙方人员电脑不得开启文件共享功能。8、病毒、安全防护（1）电脑终端必须安装正版杀毒软件，并设置特征库至少每周更新一次。不允许安装百度、腾讯、360的桌面和安全产品。（2）乙方在离岸场地必须同时有技术和管理手段来发现和防止内部员工进行破坏信息安全的行为，包括但不限于入侵他人工计算机、盗用他人账号、散播病毒和木马、攻击服务器和网络设施等。5/8（五）权限与操作风险管理1、乙方人员所具备的权限与自身业务相关，赋权必须“必需知道”和“最小授权”原则，且只能在工作场地进行使用。2、乙方应实现甲方敏感信息与乙方其他客户资料的有效隔离。3、乙方人员安装软件的版权由乙方负责，不得侵犯甲方及第三方知识产权。4、系统、应用账号需“一人一号”，账号不得相互借用，并对账号和密码负有保密义务，不得共享给其他任何人。如业务上存在共享账号的需求，须提前获得甲方信息安全部的审批与备案。5、服务结束后，员工办公电脑上的数据须进行格式化或多次写入等操作进行销毁。（六）项目敏感信息的使用1、乙方不得以任何理由和目的擅自使用敏感信息，只在为甲方提供相关合同约定的服务时使用相应敏感信息。2、乙方应建立内部信息安全措施及保密管理制度，按照甲方的要求保管敏感信息，确保不被泄漏。3、乙方不得出售、利用、复制、传播或擅自修改敏感信息，不得在任何场合以任何方式公开和转移甲方项目的相关信息。4、自合同终止生效日时起，乙方应立即停止使用所有保密信息，乙方不得私自保留与项目相关的文件、代码、图片等的拷贝，并全部交还甲方，或在甲方监督下进行销毁。对于私自保留敏感信息产生的一切后果，乙方承担所有责任。5、乙方应要求所有相关员工遵守保密规定。（七）安全事件报告机制1、发生信息安全事件时，乙方有义务立即通知甲方项目经理或信息安全部，相关情况包含但不限于：(1)甲方的会员、商户与业务等敏感信息与交易数据发生篡改、泄漏、丢失和破坏；(2)网络与系统被攻击；(3)病毒与蠕虫等恶意代码感染；(4)计算机、令牌或其他资产的丢失；(5)物理环境或设施遭受破坏；(6)其它可疑隐患或预警等。2、对须采取应急方案的，乙方应根据甲方的意见及时报告处理情况和整改措施。6/8四、自评估1、乙方应定期（至少每年一次）对本项目的信息安全管理的情况进行自查，范围包括但不限于信息系统安全状况、本安全规定及措施的落实情况等。安全状况未达到本规定要求的，乙方应当制定方案进行整改。2、乙方应及时将自评估报告及相应的整改方案提交甲方信息安全部及项目经理。3、自评估可委托甲方或国家认可的第三方评估机构执行并出具评估报告。相关费用由乙方自行承担。五、监督与检查1、甲方有权对乙方的信息安全管理及管控效果进行检查。甲方将定期和不定期对驻场、近岸、离岸项目进行信息安全评估与审计。2、评估与审计过程中，乙方应提供配合并确保甲方能够对本项目相关的环境、人员、硬件、软件、文档和数据等对象进行检查；乙方不应故意隐瞒事实或阻挠审计检查。3、乙方应根据甲方出具的评估意见或审计报告提出整改计划，并在规定的时间内实施整改。4、甲方有权禁止风险较高的乙方继续提供相关服务，相关情况包含但不限于：(1)窃取、泄露甲方敏感信息，情节严重或存在违法违规行为的；(2)因管理过失，发生敏感数据损毁、丢失、泄露等重大信息安全事件的；(3)对于评估和检查发现的问题，逾期仍未整改的。7/8六、违约责任（一）乙方信息安全事件违约责任1、如果因为信息安全管控不力导致信息安全事件的，将导致违约。按照给甲方、甲方关联公司或甲方的合作伙伴造成损失或影响的程度，将违约和责任分成A、B和C三个类别，定义和要求详见下表：事件级别事件性质安全违约责任A类（重大）给甲方、甲方关联公司或甲方的其它合作伙伴造成如下重大损失或重大影响的，情况包含但不限于：系统关键数据、安全防护手段的保密性、完整性、可用性遭到人为严重破坏,并引发诉讼的；给甲方网络恢复系统正常运行和消除安全负面影响所需付出的代价十分巨大（时间超过2个星期或投入超过50万）的情况；一年内2次B类违规。立刻终止与乙方的项目合作。B类（普通）给甲方、甲方关联公司或甲方的其它合作伙伴造成重大损失或重大影响的，情况包含但不限于：使业务安全造成潜在危害，造成系统安全防护级别降低的情况；其他恢复系统正常运行和消除安全负面影响所需付出的代价较大的（时间超过5个工作日或投入超过10万）情况；一年内2次C类违规。乙方不得为甲方其它项目提供服务。C类（轻微）其他影响和干扰甲方、甲方关联公司或甲方的合作伙伴系统效率，使信息系统业务处理能力