外包安全协议书外包安全责任书协议

[外包安全协议书]外包安全责任书协议第一章协议目的与适用范围1.1目的本协议用于明确甲方（发包方）与乙方（外包方）在信息系统、物理场所、人员、数据四个维度的安全责任边界，确保外包服务全生命周期符合国家网络安全法、数据安全法、个人信息保护法、GB/T22239-2019《信息安全技术网络安全等级保护基本要求》及行业监管细则。1.2适用范围适用于乙方在甲方场所或远程向甲方提供的所有外包服务，包括但不限于软件开发、测试、运维、数据处理、呼叫坐席、保洁、安保、食堂、设备维保。第二章定义与分级2.1数据分级级别标识示例泄露影响核心D4个人生物特征、生产控制指令国家监管处罚>500万元重要D3客户订单、薪资数据监管处罚50–500万元内部D2内部会议纪要监管处罚<50万元公开D1已公开新闻稿无处罚2.2系统分级参照甲方《信息系统资产清单》已定级结果，乙方不得擅自降低等级。第三章安全组织与接口3.1甲方责任a)指定“外包安全管理岗”（以下简称甲方OSM），工号段9000–9099，邮箱osm@甲方域名.com；b)每季度组织一次“外包安全评审委员会”，委员会由法务、合规、内审、业务、安全、采购六部门组成，拥有对乙方“一票否决”权。3.2乙方责任a)设立“驻场安全代表”（乙方RSO），须具备CISP或CISSP证书，名单提前30日报甲方OSM备案；b)乙方RSO每月5日前向甲方OSM提交《月度安全运行报告》，逾期按500元/自然日扣款。第四章人员安全管理4.1入职步骤1乙方在offer中明确“须通过甲方背景调查”条款；步骤2背景调查范围：过去10年刑事记录、金融失信、竞业限制、社交媒体极端言论；步骤3背景调查未通过人员，乙方必须在2个工作日内调离项目，并向甲方提供书面说明。4.2在职a)乙方人员必须佩戴甲方发放的RFID工牌，遗失须1小时内挂失；b)核心级项目人员须额外佩戴“双因子”蓝牙令牌，令牌失效即刻断网；c)乙方每月开展一次“钓鱼邮件演练”，点击率>5%即启动再培训，连续两次>5%甲方有权要求换人。4.3离职a)乙方须在离职当天9:30前提交《人员离场清单》，包含：工牌、门禁、VPN、Git、堡垒机、邮箱、加密U盘、纸质资料、摄像头监控截图；b)甲方IT在12:00前完成所有账号禁用与镜像备份；c)离职人员硬盘须使用甲方指定的DoD5220.22-m3次覆写工具擦除，并出具擦除报告。第五章物理与环境安全5.1区域分级区域控制点乙方权限甲方监控红区（机房）双向门禁+生物识别仅授权名单7×24录像保存≥180天黄区（办公）单向门禁全部乙方人员录像保存≥90天绿区（公共）无门禁自由进出录像保存≥30天5.2设备携入携出a)乙方携入笔记本电脑须提前1个工作日在线填写《设备携入单》，注明MAC地址、硬盘SN、操作系统版本；b)携出时须由甲方安保部使用金属探测门+封条检查，封条编号拍照回传系统；c)未授权设备一经发现，乙方按1万元/台向甲方支付违约金，并当场没收。第六章网络与系统接入6.1接入流程步骤1乙方提交《网络接入申请表》，包含IP段、端口、协议、用途、有效期；步骤2甲方防火墙管理员在2小时内完成白名单下发，并启用“零信任”网关；步骤3乙方只能通过甲方堡垒机跳转，禁止私设跳板机；步骤4所有操作日志同步到甲方SIEM，日志留存≥6个月。6.2加密要求a)传输：TLS1.3+AES256-GCM，禁用TLS1.0/1.1；b)存储：D4级数据使用甲方KMIP密钥管理系统，乙方无法导出明文密钥；c)移动端：乙方App必须集成甲方SDK，实现防调试、防root、防录屏。第七章数据安全与隐私7.1数据最小化乙方只能访问完成任务所必需的最小数据集，甲方通过字段级脱敏工具动态掩码。7.2数据跨境若乙方服务器部署在境外，须提前60天完成省级网信办安全评估，并向甲方提交评估报告编号；未经评估的，甲方有权立即终止合同。7.3数据删除项目结束或合同终止后，乙方须在5个工作日内完成数据销毁，销毁方式：a)在线数据：使用甲方提供的“数据粉碎”API，返回带时间戳的哈希指纹；b)离线备份：物理粉碎粒径≤3mm，提供粉碎现场视频；c)甲方在收到指纹+视频后3个工作日内出具《数据销毁确认书》。第八章安全事件管理8.1事件分级等级判定标准乙方首报时限甲方升级路径P1紧急数据泄露>1万条或系统不可用>30分钟15分钟直达CISO+监管P2重大数据泄露<1万条或系统不可用<30分钟1小时安全运营中心P3一般未成功入侵但留痕4小时邮件通报8.2应急预案a)乙方须在合同签署后10日内提交《应急响应手册》，含：联络表、隔离脚本、取证工具、法律话术；b)发生P1事件时，乙方RSO须立即到甲方现场“战情室”集中办公，直至事件关闭；c)事件关闭标准：漏洞修复+木马清除+日志审计+监管报告提交+甲方书面确认。第九章审计、考核与问责9.1审计频次甲方每半年进行一次全面审计，随机抽取乙方人员电脑、云环境、代码库；乙方可提前24小时得到范围通知，但无权拒绝。9.2考核指标指标权重达标值未达标扣款高危漏洞修复率30%100%每1%扣合同总额0.5%钓鱼邮件点击率20%≤5%每1%扣款1万元事件首报及时率25%100%每延迟10分钟扣款2千元数据销毁及时率25%100%每延迟1天扣款1万元9.3问责a)因乙方原因导致P1事件，甲方除扣款外，有权要求乙方在24小时内更换项目经理；b)连续两次审计不合格，甲方有权无条件终止合同，并要求乙方赔偿直接损失及商誉减值；c)涉嫌违法的，甲方直接向公安机关报案，并保留民事追偿权利。第十章合规清单与交付物10.1交付物时间表交付物首次提交更新周期甲方接收人背景调查报告人员入场前5天每季度OSM月度安全运行报告每月5日每月OSM漏洞扫描报告每月15日每月安全运营中心应急演练记录每季度末每季度OSM数据销毁确认书项目结束后8日一次性法务&安全10.2合规依据清单a)《网络安全法》第21、22、34条；b)《数据安全法》第27、30、45条；c)《个人信息保护法》第38、39、59条；d)GB/T35273-2020《个人信息安全技术规范》；e)行业监管：银保监会《银行业金融机构外包风险管理指引》第15、18条。第十一章知识产权与保密11.1乙方在履行合同过程中接触到的所有源代码、文档、图纸、客户名单、算法、模型、商标，无论以何种形式存在，均归甲方所有；11.2乙方不得以任何名义申请专利、软件著作权、商标；11.3保密期限：合同终止后持续5年；核心级商业秘密持续10年；11.4乙方若需对外发布案例，须提前30天将发布内容提交甲方法务审核，甲方有权要求隐去任何敏感信息。第十二章合同终止与过渡12.1提前终止甲方发现乙方存在重大安全缺陷且7日内未整改完毕，可书面通知立即终止；12.2过渡服务乙方须在终止日起提供不少于30天的免费过渡服务，包括知识转移、文档移交、密钥交接、现场值守；12.3竞业限制合同终止后1年内，乙方不得雇佣甲方核心项目人员（工号段8000–8999），否则按该人员年薪3倍支付违约金。第十三章争议解决13.1协议履行地：甲方注册地人民法院；13.2适用法律：中华人民