39、信息安全外包运维管理制度

第一章总则1.1目的与依据为规范公司信息系统外包运维服务的管理，保障信息系统的安全、稳定、高效运行，保护公司信息资产安全，降低外包风险，依据国家相关法律法规及公司内部信息安全管理要求，特制定本制度。1.2适用范围本制度适用于公司所有涉及信息系统（包括硬件、软件、网络及数据等）外包运维服务的活动，涵盖外包商的选择、合同签订、服务交付、过程监控、信息安全管理、终止离场等各个环节。公司各部门及所有相关人员均须遵守本制度。1.3基本原则信息安全外包运维管理应遵循以下原则：1.安全优先原则：信息安全是外包运维的前提和基础，所有外包活动不得损害公司信息安全。2.审慎选择原则：对外包商的资质、能力、信誉等进行严格审查和评估，选择合格的合作伙伴。3.风险可控原则：对外包过程中的各类风险进行识别、评估和管控，确保风险处于可接受水平。4.权责明确原则：明确公司与外包商在信息安全方面的权利、义务和责任。5.监督审计原则：建立有效的外包服务监督和审计机制，确保外包服务质量和信息安全措施落实到位。第二章组织与职责2.1管理部门公司指定信息技术部门（或相应的信息安全管理部门，以下统称“IT部门”）作为信息安全外包运维的归口管理部门，负责本制度的组织实施、监督检查和持续改进。2.2IT部门职责1.组织制定和修订信息安全外包运维相关的制度和流程。2.负责外包商的选择、评估、准入和退出管理。3.组织或参与外包服务合同的谈判与签订，确保合同中包含必要的信息安全条款。4.监督外包商履行信息安全义务，对服务过程中的信息安全风险进行管理。5.组织对外包服务的质量和信息安全状况进行定期审计和评估。6.负责外包相关的信息安全事件的协调处理。7.负责外包人员的信息安全意识和技能培训的组织与监督。2.3业务部门职责1.根据业务需求提出外包运维服务申请。2.参与外包商的评估和选择过程，从业务角度提供需求和建议。3.在授权范围内配合外包商开展工作，并对其在本部门的活动进行监督。4.及时向IT部门反馈外包服务过程中发现的信息安全问题或隐患。5.负责本部门涉及外包运维的信息资产的管理和保护。2.4外包商职责外包商应按照合同约定及本制度要求，履行以下信息安全职责：1.建立健全自身的信息安全管理体系，确保有足够的资源和能力保障外包服务的信息安全。2.严格遵守公司的信息安全管理制度和相关规定，接受公司的监督和审计。3.对外包服务人员进行背景审查，并进行必要的信息安全培训。4.采取有效的技术和管理措施，保护在服务过程中接触到的公司信息资产的机密性、完整性和可用性。5.按照合同约定的安全要求进行服务交付，及时报告信息安全事件和隐患。6.配合公司进行信息安全事件的调查和处置。第三章外包商选择与准入管理3.1外包需求评估在决定外包前，IT部门应会同业务部门对信息系统运维外包的必要性、可行性、潜在风险及预期效益进行全面评估，明确外包的范围、内容、服务级别要求和安全目标。3.2外包商资质审查选择外包商时，应对其进行严格的资质审查，主要包括但不限于：1.营业执照、相关行业资质认证（如ISO____信息安全管理体系认证等）。2.技术实力、专业运维团队及相关技术认证情况。3.类似项目的成功案例和服务经验。4.信息安全管理制度和保障措施的健全性。5.信息安全事件应急响应能力。6.商业信誉和财务稳定性。3.3外包商安全评估IT部门应组织对通过资质审查的外包商进行专项信息安全评估，评估内容可包括其安全策略、安全组织、人员安全、物理安全、网络安全、系统安全、应用安全、数据安全等方面。必要时可邀请第三方专业机构参与评估。3.4准入审批通过评估的外包商，由IT部门提交准入申请，经公司相关领导审批后，纳入公司合格外包商名录。未通过评估或审批的外包商，不得承接公司信息安全外包运维业务。第四章服务合同与安全条款4.1合同签订外包服务必须签订正式的书面合同。合同应明确服务范围、服务内容、服务质量标准、服务期限、费用、双方权利义务、违约责任等基本条款。4.2安全条款合同中必须包含明确、具体的信息安全条款，至少应包括：1.信息安全目标和总体要求。2.外包商应遵守的公司信息安全管理制度。3.对服务人员的背景审查、保密要求和行为规范。4.信息资产保护的具体措施（如数据分类、加密、备份、访问控制等）。5.服务过程中的安全监控、日志记录与审计要求。6.信息安全事件的报告、响应和处置流程及责任。7.服务终止或合同到期时，信息资产的交接、归还与清除要求。8.公司对其实行监督、检查和审计的权利。9.违反信息安全条款的违约责任。10.保密协议（可单独签订或作为合同附件），明确外包商对接触到的公司敏感信息的保密义务及期限。第五章服务交付与过程管理5.1服务计划与方案外包商应在服务开始前，根据合同要求制定详细的服务交付计划和信息安全保障方案，报IT部门审核确认。5.2人员管理1.外包商应提供参与本项目的服务人员名单及背景资料，经IT部门审核备案。2.对需进入公司办公场所或接触敏感信息的外包人员，公司应进行必要的身份核实和登记，办理临时出入证件，并明确其活动范围和权限。3.外包人员在服务期间应遵守公司的各项规章制度，佩戴明显标识。4.外包商人员发生变动时，应提前通知IT部门，并履行相应的变更手续。5.3安全访问控制1.严格控制外包人员对公司信息系统和数据的访问权限，遵循最小权限和按需分配原则。2.为外包人员创建专用的、可审计的访问账户，并定期审查权限的合理性。3.严禁外包人员使用未经授权的账户、密码或绕过安全控制措施进行操作。4.远程访问公司信息系统必须通过指定的安全通道（如VPN），并启用强身份认证。5.4服务过程监控1.IT部门应建立对外包服务过程的常态化监控机制，定期检查外包商安全措施的落实情况。2.外包商应按照合同约定提交服务报告，包括但不限于运维记录、安全事件报告、漏洞扫描报告等。3.对关键信息系统的运维操作，应进行详细的日志记录，并确保日志的完整性和可追溯性。公司有权查阅相关日志。5.5变更管理涉及公司信息系统的任何变更（如硬件升级、软件版本更新、配置修改等），外包商必须提前向IT部门提交变更申请和变更方案，经审批同意后方可实施。变更过程应严格遵循公司的变更管理流程，并采取必要的风险控制和回滚措施。5.6应急响应1.外包商应制定针对各类信息安全事件（如病毒感染、系统入侵、数据泄露等）的应急响应预案，并报IT部门备案。2.发生信息安全事件时，外包商应立即启动应急预案，采取措施控制事态发展，减少损失，并按照合同约定的时限和方式向IT部门报告。3.配合公司进行事件调查、分析和处置，并提交事件调查报告。5.7保密管理外包商及其服务人员应对在服务过程中接触到的公司商业秘密、技术秘密、客户信息等所有敏感信息承担严格的保密义务，未经公司书面许可，不得向任何第三方泄露。保密义务在合同终止后仍然有效。第六章信息资产与数据保护6.1信息资产识别与分类IT部门应会同相关部门对外包服务过程中涉及的公司信息资产进行识别、分类和标记，明确保护级别和管理要求，并向外包商进行交底。6.2数据处理安全1.外包商在处理公司数据时，必须遵守国家数据保护相关法律法规及公司数据管理规定。2.涉及敏感数据的传输、存储和使用，必须采取加密等安全保护措施。3.严禁未经授权将公司数据带离工作环境或复制到外部存储介质。4.外包商不得利用公司数据进行与服务无关的任何活动。6.3资产归还与清除服务结束或合同终止时，外包商应立即归还所有属于公司的信息资产（包括纸质文档、电子数据、存储介质等），并彻底清除其自备设备中存储的所有公司信息，经IT部门验证确认后方可离场。第七章外包终止与离场管理7.1终止条件出现以下情况之一时，公司有权终止外包合同：1.外包商严重违反合同约定，尤其是信息安全条款，经指出后仍不改正的。2.外包商发生重大信息安全事件，造成公司严重损失的。3.外包商不再具备履行合同的资质或能力的。4.公司业务调整或战略变更，不再需要外包服务的。7.2离场流程外包服务终止时，IT部门应组织制定详细的离场计划，明确信息资产交接、系统环境清理、访问权限撤销、人员离场等具体步骤和要求，并监督外包商严格执行。1.撤销所有外包人员的系统访问权限，回收临时出入证件。2.检查并确认所有公司信息资产已归还或清除。3.对相关系统和数据进行安全状态检查，确保无安全隐患。4.办理外包商离场手续。第八章监督、审计与持续改进8.1日常监督IT部门应通过定期会议、现场检查、远程监控等方式，对外包商的服务质量和信息安全状况进行日常监督。8.2定期审计与评估1.IT部门应至少每年组织一次对外包商的全面信息安全审计和服务质量评估，也可根据需要进行专项审计。2.审计内容可包括外包商对合同条款的遵守情况、安全管理制度的执行情况、信息资产保护状况、事件响应能力等。3.审计结果应形成书面报告，反馈给外包商，并要求其对发现的问题及时整改。8.3绩效评价结合日常监督和定期审计结果，对其实行绩效评价，评价结果作为是否继续合作或续约的重要依据。8.4持续改进IT部门应根据监督、审计结果及公司信息安全管理的新要求，不断完善外包运维管理制度和流程，提升信息安全管理水平。同时，督促外包商持续改进其安全措施和服务质量。第九章责任与奖惩9.1公司内部责任公司相关部门及人员未履行本制度规定的职责，导致信息安全事件发生的，将按照公司相关规定追究其责任。9.2外包商责任外包商违反本制度或合同中的信息安全条款，给公司造成损失的，公司有权根据合同约定要求其承担相应的赔偿责任；情节严重的，将终止合同，并保留追究其法律责任的权利。9.3奖惩对在外包运维信息安全管理工作中表现突出、有效避免或减少损失的部门和个人，公司将给予适当奖励。第十章