信息技术服务外包人员安全管理细则

信息技术服务外包人员安全管理细则

信息技术服务外包人员安全管理细则1.总则1.1目的本管理细则旨在规范本公司对外包服务人员的信息安全管理工作，明确相关部门和人员职责，使信息技术外包服务纳入制度化、规范化管理。1.2适用范围本规范适用于《名称》管理服务中心对外包服务商及外包服务人员的管理。2.术语和定义供方为需方提供开发、应用信息技术的服务，以及供信息技术服务方以信息技术为手段提供支持需方业务活动的服务。一般包括咨询服务、设计与开发服务、信息系统集成实施服务、运行维护服务、数据处理和存储服务、运营服务、数据内容服务及其他信息技术服务。服务外包以签订合同的方式，委托其他机构承担信息技术服务的商业行为。外包服务商服务外包中承担信息技术服务的机构。外包服务人员提供信息技术服务的外包服务商人员。外包服务责任人负责管理外包服务人员或协调外包项目相关事务的任人对接人员。3.外包安全管理基本原则在信息技术服务外包活动中，应遵循以下信息安全管理基本原则：一)责任延展原则。信息安全管理责任不随服务外包而转移，无论《名称》数据和业务是位于自身信息系统还是外包服务商的信息系统上，公司都是信息安全的最终责任人。二)领导决策原则。信息技术外包应获得《名称》服务外包主管领导的支持、批准和授权。三)风险控制原则。责任人员应始终关注信息技术服务外包可能带来的信息安全风险，并能够及时应用风险控制措施。四)监督检查原则。运维部应对信息技术服务活动进行监管，并接受信息安全主管部门的监督检查。五)数据归属关系不变。公司提供给外包服务服务商的数据、设备等资源，以及外包服务过程中收集、产生、存储的数据和文档等资源属公司所有。外包服务商应保障公司对这些资源的访问、利用、支配，未经公司授权，外包服务商和任何第三方不得访问、修改、披露、利用、转让、销毁。4.角色与职责4.1主管领导公司领导小组担任信息技术外包服务信息安全管理的最高管理机构，承担外包活动的信息安全管理总职责，对外包活动中的信息安全相关事项具有一票否决权。主管领导具有以下职责：一)根据公司的信息安全管理总体框架，批准服务外包信息安全管理策略。二)授权并支持相应的服务外包接口人具体管理外包活动的信息安全。三)提供并保障服务外包信息安全管理所需要的资源。4.2外包服务责任人针对不同的外包类型和项目，主管领导可以设置多个外包服务责任人，他们负责具体的外包项目管理活动，主要职责包括：一)向信息安全主管领导汇报服务外包信息安全管理情况和信息技术服务外包信息安全执行情况。二)根据本规定要求管理外包服务人员，监督外包服务基本信息安全控制措施的执行情况，并及时制止外包服务人员的非安全行为。三)协调本单位业务部门和外包服务商之间的沟通工作。四)管理外包服务人员，包括签订保密协议、管理外包服务人员信息数据网接入、创建和移除外包服务人员权限、管理外包服务人员的变更等。五)承担外包服务信息安全管理的直接责任。4.3外包服务人员外包服务人员必须严格遵守本规定中的相关要求。5管理规定5.1合同签订外包服务商应与XX公司签署服务外包合同，合同内容应包括但不限于以下内容：一)承担的外包服务的信息安全目标和保障措施。二)在服务过程中不泄露我方重要敏感信息的信息安全承诺。三)不得未经XX公司授权将服务进行分包的承诺。四)接受XX公司信息安全管理部门监督检查的义务。五)外包服务合同终止后对服务内容和信息的保密承诺。5.2外包服务人员管理5.2.1服务前外包服务责任人在服务开始前应通过以下措施对外包服务人员进行安全管理：一)对于能接触到XX公司敏感信息的外包服务人员，应与其签订《外包服务人员保密协议》（附件一），协议签订后方可接触XX公司的敏感信息。二)对外包服务人员进行适当的岗位描述、任用要求和其应履行的信息安全职责要求，以降低资源被盗窃、滥用和误用的风险。三)要求外包服务商提供本单位外包服务人员的背景调查信息，并要求外包服务商为背景调查的结果负责。四)要求外包服务人员承诺不使用含有恶意代码的产品、有缺陷的产品或假冒产品进行相关服务工作。5.2.2服务中外包服务责任人在服务过程中应通过以下措施对外包服务人员进行安全管理：一)对外保服务人员进行信息安全意识和相关管理制度的培训，告知外包服务人员相关的安全责任和要求，并对培训结果进行考核。外包服务责任人应实施物理环境的访问控制措施，确保只有经过授权的人员才能进入安全区域。外包服务人员应遵守安全区域内的规定，不得私自携带设备或物品进入或离开安全区域，不得随意更改安全区域内的设备或布局。如有必要，外包服务人员需事先向责任人申请，经批准后方可进入安全区域进行工作。2.应要求外包服务人员取得上岗证，确保持证上岗。3.外包服务人员应保守工作中接触到的敏感资源，严禁提供给他人或上传到网络中。4.当外包服务人员职责变更或离职时，外包服务商应提前一个月向责任人申请，并安排接替人员进行一个月的交接与熟悉。接替人员需获得责任人认可后，方可核准职责变更或离职申请，并要求外包服务商收回信息资产，禁止向外传播。5.2.3服务变更或中止后，应归还相关设备，办理资源归还手续，并移除外包服务人员的相关权限。5.3外包服务人员的访问权限和设备接入应按照“必需知道”和“最小授权”原则进行授权。自带设备需进行安全检查后方允许使用。禁止使用黑客工具及与工作无关的软件，不得进行安全攻击或信息窃取。5.4.1外包服务责任人应规划物理和环境安全，将重要敏感信息及设备控制在安全区域内，并确保该区域有清晰的安全边界标识，防止非授权人员接触重要敏感信息。外包服务人员需在指定区域内活动，不得随意进出其他办公区域。5.4.2外包服务责任人应实施物理环境的访问控制措施，确保只有经过授权的人员才能进入安全区域。外包服务人员需遵守安全区域内的规定，不得私自携带设备或物品进出安全区域，不得更改设备或布局。如有必要，需事先向责任人申请，经批准后方可进入安全区域进行工作。为确保应急处置计划的有效性，外包服务商应定期进行应急演练，包括：一)模拟各种安全事件的发生情况，测试应急处置计划的可行性和有效性；二)检查应急处置计划中所列资源和管理支持的可用性；三)评估应急演练的结果，及时修订应急处置计划。5.8监督检查为确保外包服务商按照合同约定提供信息安全服务，应建立监督检查机制，包括：一)定期对外包服务商的信息安全管理制度、安全技术措施、应急处置计划等进行检查；二)对外包服务商的信息安全服务进行抽查，检查其合规性和有效性；三)对外包服务商的信息安全事件进行调查，评估其应急处置的效果。建议外包服务商定期向业务部门和高层管理层报告信息安全服务的运营情况和风险评估结果，以便及时发现和解决问题，保障业务连续性和安全性。OutsourcingXXXresponsemethodsbasedontheresultsofthedrills.Intheeventofannsecurityincident。outsourcingXXXmechanism。reporttotheoutsourcingserviceresponsibleperson。andinitiatethecorrespondingemergencyresponseplan.Ifoutsourcingservicepersonnellatetheabovens。theoutsourcingserviceresponsiblepersonofXXcompanyhast