1、Tencent Confidential腾讯控股集团管理标准 GL/YY 001-2013V1.0-L1外包员工信息安全管理规范2013-1-4 发布 2013-1-4 实施腾讯控股集团 发布GL/YY 001-2013V1.0-L1Tencent Confidential前 言本规范系公司第一次发布,为规范公司外包员工合理使用公司信息系统资源,制定外包员工信息安全管理措施提供依据,特制定本规范。本标准由企业 IT 部和安全平台部负责起草、解释,自发布之日起实施。本标准主要起草人:wilsonwang(王森);chanche(车世华);veeqihe(何林如);本标准主要审核人:robynli
2、u(刘若潇); coolcyang(杨勇)本标准批准人:ponyma(马化腾);Charles(陈一丹);ls(卢山);leon(郭凯天)本标准首次发布日期: 2013 年 1 月 4 日本标准适用范围:全公司GL/YY 001-2013V1.0-L1Tencent Confidential1.目的本管理规范专为腾讯的外包员工设立,主要为了建立完善的外包员工信息安全管理制度,明确外包员工在场和离场需遵守的规范,包括但不限于:机器使用规范、帐号使用规范、场外接入规范、离场规范等。2.适用范围本管理规范适用全公司范围内所有外包员工。3.相关定义劳务派遣单位与劳动者建立劳动关系后,按照与用工单位订立
3、的派遣协议将劳动者派到用工单位劳动,这类劳动者称之为外包员工:即企业将其非核心的业务外包出去,利用外部优秀专业团队承接业务,从而使其专注核心业务,达到降低成本、提高效率、增强企业核心竞争力和对环境应变能力的目的,这类服务外包及项目外包的员工统称为外包员工。腾讯集团域:因投资并购等原因与腾讯构成合作关系的法人企业。在场外包员工:外包员工在腾讯公司自有或租用办公环境内进行办公的称为在场外包员工。场外外包员工:外包员工在腾讯公司自有或租用办公环境外进行办公的称为场外外包员工。腾讯公司办公内网主要包括三类:办公网 、开发网、 体验网,使用原则是“专网专用,专机专用” ,相关定义如下:办公网:从事日常办
4、公行为,如公文处理、访问内部 OA 系统、访问授信互联网网站、使用 RTX、使用 Tencent 域收发邮件等。开发网:从事软件开发、测试等研发行为,如访问 SVN 代码管理系统、使用开发环境编写代码、对代码进行测试、访问运维接入平台等。体验网:从事外部互联网产品体验行为,比如访问非授信互联网网站、访问非腾讯公司业务等。4. 在场外包员工信息安全管理4.1 责任人GL/YY 001-2013V1.0-L1Tencent Confidential4.1.1 外包员工在场办公必须使用腾讯公司提供的办公和开发主机。4.1.2 外包员工本人对所使用的办公、开发主机和外包帐号负直接责任,应尽到保全资产完
5、整性以及合理使用帐号的义务。4.1.3 管理外包员工的腾讯员工对外包员工使用的办公、开发主机和外包帐号负管理责任。4.2 办公主机使用管理外包员工通过办公或开发机接入腾讯公司内部网络进行工作,须遵守公司办公 PC 使用管理规范 (见附录 A)和 防止办公网内高危行为管理办法 (见附录 B) 。4.2.1 外包员工使用的办公或开发机必须满足以下要求,才允许接入腾讯内部办公或开发网:1) 必须安装腾讯指定的标准化操作系统;2) 安装腾讯指定办公安全接入软件;3) 安装腾讯指定的防病毒软件和办公安全接入软件。4.2.2 严禁办公或开发机在接入内网的同时接入其他网络,包括但不限于:1) 使用双网卡,在
6、连接内网的同时连接其他网络;2) 在连接内网的同时,使用 GPRS 或 3G;3) 在连接内网的同时,使用拨号或专线的方式连接到公司外部网络。4.2.3 外包员工必须使用开发机接入开发网访问腾讯内部研发资料。4.2.4 禁止外包员工在办公和开发主机中安装任何类型的扫描、窃听或攻击性质的应用程序。4.3 帐号和访问权限管理4.3.1 内网信息系统分级规定:安全级别 信息系统一级 RTX、内部邮件系统、互联网基础 OA 应用系统(见附录 C)二级 源代码管理系统、文档系统、项目管理系统、业务管理系统GL/YY 001-2013V1.0-L1Tencent Confidential三级 VPN、跳板
7、机、IDC 生产系统4.3.2 外包员工默认使用腾讯集团域办公帐号,若有特殊需求,可申请腾讯公司内部帐号:以小写 v 开头,后跟下划线_和英文 ID,如 v_waibao。4.3.3 外包员工帐号须唯一对应一个外包员工,禁止外包员工共用帐号。4.3.4 外包员工帐号默认不具有内网信息系统访问权限,根据实际工作需要可申请一级和二级信息系统访问权限,申请方式如下:1) 源代码管理系统,权限申请链接:http:/ 业务管理系统,权限申请链接:http:/ 其它系统,需用人部门经理同意,并通过邮件向 IT 负责人申请开通,邮件申请格式参照外包员工访问内网系统权限申请表 (见附录 D) 。4.3.5 禁
8、止外包员工使用开发电脑访问互联网。4.3.6 禁止外包员工访问三级信息系统。4.3.7 外包员工进出腾讯公司 IDC 机房,须由腾讯公司员工陪同,其它要求参照腾讯 IDC 出入管理规范 (见附录 E) 。4.4 信息使用管理4.4.1 外包员工禁止以任何形式对腾讯公司敏感信息进行未授权访问和处理。4.4.2 禁止对敏感信息做如下处理:1)非工作缘由将敏感信息携带出腾讯公司;2)向非腾讯公司授权方公布敏感信息;3)未授权浏览、篡改敏感信息。4.4.3 敏感信息包括:1)源代码信息,包括但不限于:开发测试代码、已发布产品代码、已下架产品代码等;2)未发布产品信息,包括但不限于:产品属性、界面 UI
9、、功能和使用说明等;3)用户数据,包括但不限于:用户个人资料、产品使用记录等;GL/YY 001-2013V1.0-L1Tencent Confidential4)人事信息,包括但不限于:薪酬、组织架构、职级等。5. 场外外包员工信息安全管理5.1 原则上要求所有外包工在腾讯公司提供的职场环境内办公,默认不开放外网接入腾讯公司内网系统进行办公的权限。如因实际工作需要,需从外网环境接入腾讯内网,必须经企业 IT 部与安全平台部联合评审,由涉及的业务负责方通过邮件发起评审,邮件申请格式参照场外办公环境接入腾讯内网申请表(见附录 F) 。5.2 对场外办公的外包员工开放的内网系统,需与其它内网系统实
10、施隔离措施,隔离方案由企业 IT 部与安全平台部制定。5.3 对场外办公的外包员工开放的内网系统,不得对外提供如下信息:1)腾讯内部的开发测试代码和 IDC 运营系统数据。2)腾讯内部服务器运维操作权限。6.外包员工离场管理6.1 外包员工离场前须配合腾讯公司完成文档、代码下载检查和访问权限回收工作。6.2 外包员工离场流程、门禁使用等参照外包员工入场离场管理规范 (见附录 G) 。7.外包员工违规处罚7.1 在场外包员工须遵守公司员工行为准则 (见附录 H)和员工奖惩制度(见附录 I) ,若发现有违反本规范或触及高压线等行为者,停止此外包员工相关工作,退回到外包公司,由外包公司根据商务合同进
11、行处理,并保留追究相关外包员工法律责任的权利。7.2 管理外包员工的腾讯员工对外包员工的行为负管理责任。GL/YY 001-2013V1.0-L1Tencent Confidential8.附录附录 A(规范性附录):办公 PC 使用管理规范附录 B(规范性附录):防止办公网内高危行为管理办法附录 C(规范性附录):基础 OA 应用系统附录 D(规范性附录):外包员工访问内网系统权限申请表附录 E(规范性附录):腾讯 IDC 出入管理规范附录 F(规范性附录):场外办公环境接入腾讯内网申请表附录 G(规范性附录):外包员工入场离场管理规范附录 H(规范性附录):员工行为准则附录 I(规范性附录
12、):员工奖惩制度GL/YY 001-2013V1.0-L1Tencent Confidential附录 A(规范性附录)办公 PC 使用管理规范办 公 PC使 用 管 理 规范 .doc附录 B(规范性附录)防止办公网内高危行为管理办法防 止 办 公 网 内 高 危行 为 管 理 办 法 .doc附录 C(规范性附录)基础 OA 应用系统基础 OA 应用系统 链接地址OA 首页 token 平台 HR 首页 内部论坛 考核系统 个人工作台 招聘首页 8000 首页 供应链系统 S流程门户网站 O安全确认平台 it-()电话会议系统 M腾讯安全运营平台 HR 报表系统 费用管理系统 公司发文 内
13、部申诉系统 QQ 安全平台 QQ 安全中心 vpn 申请跳转页面 合同管理系统 K2 平台 员工成长与发展 GL/YY 001-2013V1.0-L1Tencent Confidential营销活动管理系统 财经服务平台 流程维度维护 附录 D(规范性附录)外包员工访问内网系统权限申请表发件人: 管理外包员工的腾讯员工 收件人: 8000抄送: 外包用人方 Leader主题: 【申请 OA 权限】内容格式:申请内容:需访问的系统名称和 URL。申请原因:使用系统的用途和原因描述清晰。其它:申请使用的有效期等。附录 E(规范性附录)腾讯 IDC 出入管理规范腾 讯 IDC出 入 管 理 规范 .
14、ppt附录 F(规范性附录)场外办公环境接入腾讯内网申请表发件人: 管理外包员工的腾讯员工 收件人: 企业 IT 部和安全平台部安全评估接口人抄送: 外包用人方 Leader、管理外包员工的腾讯员工 leader主题: 【XX 场外办公环节接入腾讯内网申请】内容格式:申请内容:需访问的资源名称或 URL。申请原因:使用系统的用途和原因描述清晰。其它:申请使用的有效期等。附录 G(规范性附录)外包员工入场离场管理规范外 包 员 工 入 场 离 场管 理 规 范 .docxGL/YY 001-2013V1.0-L1Tencent Confidential附录 H(规范性附录)员工行为准则员 工 行 为 准 则 .docx附录 I(规范性附录)员工奖惩制度员 工 奖 惩 制 度 .docx
