MHWJW11-第三方安全管理规范-V1.1-ok.doc

1、第三方安全管理规范文档信息制度编号: 生效日期: 分发范围: 解释部门: 版次:Ver1.1 页数: 11制定人: 审核人: 批准人: 传阅 阅后执行并存档 保密 保密等级 外部公开版本记录版本号 版本日期 修改者 说 明 文件名第三方安全管理规范第三方安全管理规范XX 单位第三方安全管理规范1 总则1.1 目的 为了加强对第三方合作伙伴、人员、系统的安全管理，防止引入第三方给XX单位带来的安全风险，特制定本管理办法。1.2 范围 本规范适用于 XX单位在信息安全管理过程中对外来人员和第三方人员的行为规范管理。1.3 职责XX单位第三方信息安全管理由信息中心负责，并应按照本办法严格落实。2 管

2、理细则2.1 解释（1） 本办法所指第三方包括第三方公司、第三方系统、第三方人员：（2） 第三方公司是指向 XX单位提供设备、产品、服务的外部公司。第三方安全管理规范（3） 第三方系统是指为 XX单位服务或与 XX单位合作运营的系统。这些系统可能不在 XX单位机房内，但能通过接口与 XX单位的系统发生数据交互。（4） 第三方人员是指为 XX单位提供开发、测试、运维等服务或参与合作运营系统管理的非 XX单位人员。（5） 对第三方公司的信息安全管理应遵循如下原则： “谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。2.2 总体要求（1） 对于与卫计委开展合作运营的第三方公司，信息中

3、心要求其按照 XX单位网络与信息安全的管理规定，严格落实信息安全责任，建立日常安全运维、检查制度，确保不发生信息泄密、重大安全漏洞。（2） 信息中心需要求在卫计委开展现场长期服务的第三方公司，在派驻现场设立专职人员，其主要职责包括：负责按照国家及 XX单位的信息安全管理要求，开展派驻现场的安全管理，指导和监督派驻现场人员的信息安全，确保不发生违规行为；接受卫计委的监督和考核等。（3） 第三方公司信息安全管理人员发生变更时，应在变更前 1周将有关变更信息报送 XX单位信息中心。（4） 信息中心要督促指导第三方公司及人员遵循 XX单位的安全管理制度和规范，将安全要求作为考核内容，纳入双方合作协议，

4、定期组织对第三方安全检查。2.3 第三方公司及人员管理（1） 第三方公司必须与 XX单位签订保密协议，在协议中明确第三方公司的保密责任以及违约罚则；第三方公司应与其员工签订保密协议，在协议中明确第三方公司员工的保密责任以及违约罚则。（2） 第三方公司必须严格遵守 XX单位服务的要求和规定。第三方安全管理规范（3） 第三方公司在合作过程中，如不可避免地接触到 XX单位数据资料、经营信息等各类敏感信息及商业秘密（下面简称敏感信息），应保证不损害敏感信息的保密性、完整性、可用性、真实性、可核查性、可靠性、防抵赖性。（4） 第三方人员管理的范畴包括临时人员和长期人员：临时人员指因业务洽谈、技术交流、提

5、供短期和不频繁技术支持服务的人员；长期人员指因从事合作开发、参与项目工程建设、提供技术支持或顾问服务的人员。（5） 由第三方公司参与开发并提供服务的业务系统或软件程序，如系统或程序能接触到客户敏感信息，应要求将第三方系统开发文档提交信息中心留档，文档应注明分发范围，并要求开发人员、测试人员、项目管理人员严格遵守分发控制要求。（6） 第三方公司参与或独立开发的业务系统或软件程序，应落实版本管理工作，并主动在上线验收前向信息中心提交其源代码或代码审计报告、以及安全测试报告，信息中心进行备案存档。（7） 第三方公司应对其参与或独立开发的业务系统或软件程序源代码进行妥善保管，严格控制第三方人员访问权限

6、，避免代码泄漏。2.4 第三方安全域及防护要求（1） 根据 XX单位网络与系统的安全域划分技术要求，与第三方公司相关联的安全域应设置为：核心业务区、第三方用户接入区（系统开发接入区、系统维护接入区）。（2） 数据核心区安全级别最高，放置重要的设备和系统，包含但不限于提供关键应用的应用服务器、保存机密信息的数据库服务器，以及具有管理权限的管理控制台和服务。（3） 第三方用户接入区是第三方人员（包含但不限于第三方维护人员、第三方开发人员等）终端接入的区域。第三方接入区不能直接访问数据核心安全区，需经批准后通过堡垒主机严格控制。第三方安全管理规范2.5 第三方接入管理（1） 第三方人员进入 XX单位

7、核心区域或者登录 XX单位各业务系统操作时，应严格遵守 XX单位的各项安全管理制度和规范。（2） 第三方人员工作区域与 XX单位的业务、内部办公、维护区域分离，在安全域中划分独立的第三方用户接入区，如系统开发接入区、系统维护接入区等，并应采用更严格的访问控制策略和管控手段。（3） 第三方用户接入区部署的常驻终端，应有严格的接入认证，并满足XX单位相关终端安全合规性检查标准。（4） 第三方用户接入区内的非常驻终端，需按照相应申请审批流程向信息中心申请，并按照 XX单位终端相关安全合规性标准进行检查，获得授权后方可接入，信息中心应将申请审批记录备案。（5） 信息中心应组织对现场服务的第三方人员终端

8、进行安全审核、检查，不定期抽查。（6） 禁止第三方人员在未授权的情况下通过远程方式接入第三方用户接入区，如第三方人员因特殊情况需要通过远程登录，须经过信息中心审批授权后，临时开通远程登录功能，并及时撤销。远程登录必须通过堡垒机系统等进行集中认证、授权和审计，应遵循权限最小化原则，控制用户访问的系统及权限。2.6 第三方帐号及权限管理（1） 第三方人员需与所属公司签订保密协议，报备信息中心后，方可申请相关系统帐号（不含超级帐号和系统帐号管理员帐号）、接入或访问 XX单位内部的生产系统以及其他相关信息系统。（2） 第三方人员申请新增或变更帐号时，必须符合专人专号原则、权限最小化原则。帐号申请应经过

9、信息中心审核并批准方可生效，帐号申请授权书应约定使用者、权限、使用期限等事项。第三方安全管理规范（3） 信息中心授权的第三方人员临时远程接入帐号，其帐号及权限有效期最长不能超过 3天，帐号到期或者接入任务完成后，应及时删除临时帐号并审核。（4） 第三方人员的帐号口令不得使用弱密码。帐号口令必须是在必要时间或次数内不循环使用。口令不得以任何形式明文存放于可公共访问的设备或物理界面上，保证帐号口令在传输和存储时的安全。（5） 在运维和运营环节，由于工作需要在一定时间段内频繁接触敏感信息的第三方人员，必须提前获得信息中心授权，经审批通过后方可被授予相应权限，信息中心应备案申请审批记录及事后审计。（6

10、） 第三方人员访问 XX单位信息系统时，第三方人员的帐号、认证、授权管理和安全审计应纳入堡垒机系统集中管控。3 附件附 1：第三方人员保密协议第三方人员保密协议甲方：乙方：为了保护甲乙双方在商业和技术合作中涉及的专有信息（如本协议第 2 条所定义的内容），经友好协商，甲乙双方签订如下协议：1、签约责任人：双方就专有信息的传授和接受事宜而协调的首要责任人。（1）甲方责任人：（2）乙方责任人：2、专有信息的定义：第三方安全管理规范本协议所称的“专有信息”是指所有商业秘密、技术秘密、通信或与该产品相关的其他信息，无论是书面的、口头的、图形的、电磁的或其它任何形式的信息，包括（但不限于）数据、模型、样

11、品、草案、技术、方法、仪器设备和其它信息，上述信息必须以如下形式确定：（1）对于书面的或其它有形的信息，在交付接收方时必须标明专有或秘密。（2）对于口头信息，在透露给接收方前必须声明是专有信息，进行书面记录。3、保密义务：（1）乙方同意严格控制和保护甲方所透露的专有信息。（2）乙方保证采取一定的保护方法、措施和手段对甲方提供的专有信息进行保密，避免非授权透露、使用或复制甲方专有信息。（3）乙方保证不向任何第三方透露本协议的存在或本协议的任何内容。4、使用方式和不使用的义务：（1）乙方同意如下内容： 乙方只能为下述目的而使用专有信息：使用目的：除乙方的高级职员和直接参与本项工作的普通职员之外，不

12、能将专有信息透露给其它任何人；不能将此专有信息的全部或部分进行复制或仿造。（2）乙方应当告知并以适当方式要求其参与本项工作之雇员遵守本协议规定，若参与本项工作之雇员违反本协议规定，乙方应承担连带责任。5、例外情况：（1）乙方保密和不使用的义务不适用于下列专有信息：有书面材料证明，甲方在未附加保密义务的情况下公开透露的信息；第三方安全管理规范有书面材料证明，在未进行任何透露之前，乙方在未受任何限制的情况下已经拥有的专有信息；有书面材料证明，该专有信息已经被乙方之外的第三方公开；有书面材料证明，乙方通过合法手段从第三方在未受到任何限制的情况下获得该专有信息。（2）如果乙方的律师通过书面意见证明：乙

13、方对专有信息的透露是由于法律、法规、判决、裁定（包括按照传票、法院或政府处理程序）的要求而发生的，乙方应当事先尽快通知甲方，同时，乙方应当尽最大的努力帮助甲方有效地防止或限制该专有信息的透露。6、专有信息的交回：（1）当甲方以书面形式要求乙方交回专有信息时，乙方应当立即交回所有书面的或其他有形的专有信息以及所有描述和概括该专有信息的文件。（2）没有甲方的书面许可，乙方不得丢弃和处理任何书面的或其他有形的专有信息。7、 否认许可：除非甲方明确地授权，乙方不能认为甲方授予其包含该专有信息的任何专利权、专利申请权、商标权、商业秘密或其它的知识产权。8、救济方法：如果发生乙方违约，双方同意如下内容：（

14、1）乙方应当按照甲方的指示采取有效的方法对该专有信息进行保密，所需费用由乙方承担。（2）乙方应当赔偿甲方因违约而造成的所有损失，包括（但不限于）：法院诉讼费用、合理的律师酬金和费用、所有损失或损害等等。9、适用法律：本协议受中华人民共和国法律管辖，并在所有方面依其进行解释。第三方安全管理规范10、争议的解决：由本协议产生的一切争议由双方友好协商解决。协商不成，双方约定本协议纠纷的管辖法院为甲方归属地人民法院。11、生效及其它事项：本协议一式两份，甲乙双方各执一份。甲方： 乙方：签字： 签字：盖章： 盖章：日期： 日期：第三方安全管理规范附 2：第三方接入访问申请表第三方访问申请表使用人 所属单

15、位XX单位接口部门 联系电话申请类型 （ 仅访问机房 访问业务内网 应用系统具体权限）申请内容（详述）接口部门领导意见年 月 日信息中心领导审批 年 月 日注：以下内容仅访问内网和具体应用系统时有信息中心配合人员填写访问时段 长期 临时( )申请人确认 如在网络内做违规操作，占用带宽、感染病毒并传播至业务服务器等影响业务运行或访问与工作无关网站，占用他人 IP地址等违规操作，入网权限将被回收且对我公司内做通报，追究相关负责人责任。申请人签字：年 月 日第三方安全管理规范开通记录新增 IP： 操作内容： 负责人员：_ 年 月 日第三方安全管理规范附 3：第三方访问登记表第三方人员访问登记表注：该表单由当日机房值班员（第三方人员进入机房）或负责第三方人员接入网络的配合人员填写。访问人 访问地点/内容 陪同人（系统访问不适用） 访问时间 批准人