《信息安全协议》.docx
《《信息安全协议》.docx》由会员分享,可在线阅读,更多相关《《信息安全协议》.docx(78页珍藏版)》请在冰豆网上搜索。
《信息安全协议》
表单编号:
版本:
信息安全协议
甲方:
法定代表人:
住所:
乙方:
法定代表人:
住所:
鉴于双方正在探求建立或已经建立长期合作关系,双方在合作过程中将相互了解到对方经甲乙双方沟通,乙方在向甲方提供外包交付服务过程中,应切实遵守甲方及甲方客户对乙方的信息安全相关规定。
为进一步明确对乙方的信息安全责任要求,以及乙方在违反信息安全相关规定后的赔偿责任,经甲乙双方友好协商,就信息安全相关事宜达成如下协议:
1、乙方应根据甲方要求建立信息安全保障体系,定期自检,并定期将自检报告发给甲方,同时须加强对员工的信息安全培训和宣导。
2、甲方或经甲方授权的第三方有权对乙方的信息安全保障体系及执行情况进行审计。
3、乙方应与所有参与甲方外包交付的内部工作人员签署《信息安全承诺函》,并就乙方员工违反《信息安全承诺函》的行为向甲方承担违约责任。
4、乙方人员或合作场地必须符合甲方及甲方客户信息安全相关规定,如有违反,依据甲方及甲方客户规定的信息安全规范和标准认定、处理:
4.1信息安全违规等级认定为四级,乙方承担违约金1万元人民币;
4.2信息安全违规等级认定为三级,乙方承担违约金10万元人民币;
4.3信息安全违规等级认定为二级,乙方承担违约金30万元人民币;
4.4信息安全违规等级认定为一级,乙方承担违约金50万元人民币;
4.5信息安全违规认定为保密项目违规的,每起泄密事件乙方应赔偿甲方200万元人民币的违约金。
第1页,共13页
表单编号:
版本:
5、乙方不符合甲方信息安全规定要求的适用处罚等级常见举例及遵从标准,详见附件一:
《合作方常见违规行为及其适用处罚等级举例》;附件二:
《供应商ODC信息安全遵从标准
(细则)》,包括但不限于这些常见适用等级举例和遵从标准。
6、甲方有权向乙方发警示函并限期整改,在乙方未完成整改之前,甲方有权按领域或地
域或产品线暂停对乙方的新项目发包;如对甲方造成损失的,乙方除了承担上述违约金外,
甲方根据具体情况要求乙方给予赔偿,乙方应承担赔偿责任,具体金额由双方协商确定;若
因乙方的下游供应商造成泄密,乙方应对此负责,由乙方按照本协议约定赔偿甲方因此所遭
受的所有损失并向甲方支付相应的违约金;甲方依法保留追究乙方法律责任的权利。
7、本协议为甲乙双方签署的《采购合同》的有效组成部分,本协议未尽事宜,按双方已经签署
的采购合同或其他协议的相关条款执行。
如甲乙双方签署的其他协议关于信息安全相关的规定与本协
议有冲突的,以本协议约定为准,未冲突的内容法律效力不受影响。
8.本协议自双方授权代表签字或公司盖章之日起生效,本协议有效期与《采购合同》有效期相同,在甲乙双方业务合作期间持续有效。
9.本协议一式二份,甲乙双方各执一份,具有同等法律效力。
(以下无正文)
甲方(盖章):
乙方(盖章):
法定代表人或授权代表:
法定代表人或授权代表:
第2页,共13页
表单编号:
版本:
附件一:
《合作方常见违规行为及其适用处罚等级举例》
一、保密项目的违规包括但不限于以下行为:
1.保密项目泄密;
2.保密样机未按要求管理,造成保密样机丢失、违规带出、被拍照等;
3.私自拆除保密样机保护壳或封条。
二、以下行为属于一级违规:
1.向XX竞争对手泄密XX及其客户保密信息。
2.将XX及其客户保密信息出卖到、泄露到任何第三方。
3.未经批准,将XX及其客户秘密级及以上信息泄露到私人的存储介质或信息系统(拷贝、打印、Email外发等)。
4.未经批准,通过拍照、摄像、录音等方式获取XX及其客户保密信息。
5.编制或故意运行、传播黑客、病毒程序,攻击ODC场地接入的XX或其客户网络或信息系统。
6.窃取他人帐户盗取XX及其客户保密信息、篡改系统数据等。
7.对于使用安装有XX及其客户安全控制系统的设备,破解、攻击、绕过安全控制系统或传播破解、攻击方法。
8.未经批准,删除XX及其客户IT系统的日志。
9.在涉及XX及其客户信息安全违规事件调查过程中,存在销毁证据、拒不承认、不配合调查等行为。
10.对于ODC场地上存在的不合规的风险问题未及时整改,造成XX及其客户秘密级或以上信息泄密。
三、以下行为属于二级违规:
1.未经批准,将XX及其客户内部公开信息泄露到任何第三方。
2.未经批准,将XX及其客户秘密级信息泄露到私人的存储介质或信息系统。
3.未经批准,将非ODC场地的电脑、移动硬盘、U盘、设备等带入并访问XX及其客户ODC信息系统。
4.隐藏、伪造个人身份使用XX及其客户信息系统,如假冒他人邮件账户发送邮件。
5.对于ODC场地上存在的不合规的风险问题未及时整改,造成XX及其客户内部公开信息泄密。
四、以下行为属于三级违规:
1.未经批准,将XX及其客户内部公开信息泄露到私人的存储介质或信息系统。
2.未经批准,拆除设备封条或安全机箱。
3.未经批准,将XX及其客户ODC场地上的故障硬盘带出维修。
4.未经批准,对XX及其客户ODC场地的网络进行抓包、嗅探、压力测试等。
5.未经批准,系统管理人员私自改变生产环境中设施、设备、系统的用途。
6.未经批准,搭建无线网络或使用无线路由器、交换机等网络设备,并接入到XX及其客户办公网络。
第3页,共13页
表单编号:
版本:
7.ODC场地上检查出的每例不合规的高风险问题,未按要求限期整改并关闭。
五、以下行为属于四级违规:
1.未经批准,配置固定IP地址。
2.未经批准,转借XX及其客户信息系统个人账户。
3.未经批准,在XX及其客户办公网络配置固定IP地址。
4.未经批准,在XX及其客户办公网络设置WWW、FTP以及BBS、NEWS、DNS、Wins、DHCP等。
5.未经批准,散布病毒疫情(例如群发未经XX及其客户核实的病毒公告、补丁公告等)
6.用于XX及其客户业务的计算机(或系统)感染病毒并攻击其它计算机,IT通知其整改后,在三个工作日内不整改。
7.ODC场地上检查出的每例不合规的中风险问题,未按要求限期整改并关闭。
说明:
1.上述适用等级举例从签订信息安全合作协议开始正式生效(包括但不限于以上举例),解释权归XX公司,未涵盖的违规行为参照以上举例进行定级。
2.上述适用等级举例中提到的ODC场地高、中风险问题的遵从标准,参考附录b《ODC场地信息安全遵从标准(细则)》,实际处理以XX或其客户发布的最新要求进行定义。
术语:
名称
定义
XX及其客户保密信息根据其重要性、泄密产生的影响及适合公开的范围,分为四
保密信息
个密级:
内部公开、秘密、机密和绝密。
保密产品XX及其客户定义为高密级保护的产品。
XX及其客户保密产品正式发布之前,如果在网络上或其他媒体和公开渠道中出现保密项目泄密XX及其客户保密产品的产品规格、性能参数、产品特性、外观件设计图片、外观
件实物图片、整机、结构件、配件及内部堆叠的图片等均视为保密项目泄密。
保密样机
XX及其客户保密产品对应的样机,包括手板、研发样机、beta机等。
是一个由人、计算机及其它外围设备等组成的能进行信息的收集、传
信息系统
递、存贮、加工、维护和使用的系统。
是指存储数据的载体。
比如软盘、光盘、DVD、硬盘、闪存、U盘、CF
存储介质
卡、SD卡、MMC卡、SM卡、记忆棒(MemoryStick)、xD卡等。
私人的存储介
个人所有的存储介质,包含但不限于:
由私人使用、保存的存储介质。
质
第三方本文中的第三方特指除XX及其客户、合作方公司之外的其它个人或组织。
限期整改是指现场检查出的问题经合作方认定并承诺按计划时间完成整改。
关闭是指检查的问题限期完成整改并保证同类型的问题不重复出现。
第4页,共13页
表单编号:
版本:
附件二:
XX外包供应商ODC信息安全遵从标准(细则)
互联网ODC场地:
序号
检查
检查内容
风险
备注
项目
等级
1
高层
是否指定一位高层领导负责信息安全工作
高
负责XX及其客户业务领导
参与
接口
该人员应保持稳定,必须接
2
是否指定信息安全总接口人
高
受岗位信息安全规范培训后
组织
才能上岗
3
场地
是否指定场地信息安全责任人
高
接口
4
认证
外包供应商是否获得ISO27001认证
高
关键信息资产只能存放在XX及其客户网络
5
内,仅允许目标版本和测试数据等非关键资产
高
信息
传递至研发ODC场地
关键信息资产不能在ODC场地的任何存储设备
6
资产
高
或介质上保存
管理
ODC场地内的计算机必须部署XX及其客户统
7
一的监控软件,对用户的网络共享拷贝、读写
中
USB口等操作进行监控
8
外发Email邮件要抄送外包方项目经理和XX
中
项目经理
9
员工转岗应及时回收与新岗位不相关的信息资
中
产和IT系统/应用的访问权限
员工离职应及时回收所有信息资产权限,删除
10
权限
ODCIT系统/应用访问权限,并通知XX项目
中
经理清除IT应用访问权限
11
不可安装非XX及其客户提供或未得到第三方
中
授权的软件
对于场内有单步调试业务的员工,可为其开通
12
USB映射权限。
开通了USB映射的人员,黄云
中
上必须安装ICPM
13
数据
是否制定数据清理方案,项目结束后及时清除
中
清理
服务器和客户端与该项目相关的数据
机要
如:
维护机要人员清单上
14
是否建立ODC机要人员管理制度
中
岗前检查在职期间有信息安
人员
全违规记录
15
保密
是否制定保密制度,约束员工不扩散保密信
中
如:
与员工签署保密协议
协议
息,并符合相关法律法规
1、进入黄区ODC场地办公
16
宣传
是否制定ODC场地员工信息安全培训和宣传计
中
的供应商员工须通过XX及
培训
划,计划至少覆盖半年
其客户相关信息安全考试
2、定期组织对员工进行信息
第5页,共13页
表单编号:
版本:
安全相关的流程和制度的培
训,提高员工信息安全意
识,培训记录至少保留六个
月
17
违规
建立正式的违规处理流程,对违规的员工进行
低
处理
相应处理,处理记录至少保留六个月
1、员工转岗应及时回收与新
岗位不相关的信息资产和IT
系统/应用的访问权限
权限
2、员工离职应及时回收所有
18
是否制定员工离职、离岗权限回收机制
中
信息资产权限,删除ODCIT
回收
系统/应用访问权限,并通知
XX项目经理清除IT应用
访问权限(包括所有IT账
号、门禁等)
19
卡证
是否制定员工离职、离项卡证回收机制
中
员工离职、离项应及时回收
回收
场地工卡及门禁卡。
20
ODC场地为XX专用,有明确物理安全边界
高
(障碍物,如墙)。
21
场地出入口不要有XX及其客户log及相关信
高
息,外人在场地门口无法识别场地用途
区域
标识牌不要有XX及其客户
安全
22
ODC场地入口处粘贴标准的蓝区标识牌
低
log,标识牌应明确场地管理
要求(如物品人员进出)
23
ODC场地出入口须设置安全岗
高
24
ODC场地与开放区等其它区域已实现物理隔离
高
25
ODC场地内监控全覆盖。
实验区域、机房、监
中
摄像头支持夜间模式、图像
控室、机要室须CCTV监控无死角全覆盖
清晰能分辨
26
ODC场地出入口须安装门禁和CCTV监视器;
高
门无法常闭的情况必须设置身份识别器
平时不使用的出入口应封闭,并贴上封条,安
27
装CCTV监视器,无法封闭的出入口须安装报
高
警器,每日巡检
28
ODC场地在一楼的窗户应有防范措施(如封闭、
中
安装防盗网、安装电子栅栏等)
29
门禁须接入XX及其客户门禁管理系统进行管
高
门禁权限更改需XX审批
理,门禁权限由门禁管理员审批。
出入
机房门禁权限仅限供应商网络运维IT人员和
30
控制
高
安全岗消防卡
31
监控室门禁权限仅限XX信息安全专员、供应
高
商信息安全专员和安全岗消防卡
32
CCTV监控数据由XXIT部进行监管。
查看、
中
拷贝监控数据需经XXIT部门审批。
33
CCTV监控数据可保存6个月。
低
个人便携(含公司便携)、个人PC禁止带入
办公场地;单板、公司PC、公司便携等机要设
34
备和存储介质需带入场地需XX项目经理审
高
批,并由指定机要人员进行加封等安全处置,
并保留存档记录6个月
第6页,共13页
表单编号:
版本:
安全处置:
1、从ODC场地到XX场地
单板、公司PC、公司便携等机要设备和存储介
时,设备可不做格式化,但
35
质需带出场地需XX项目经理审批,并由指定
高
需加封电源端口,在到达万
机要人员进行加封等安全处置。
并保留存档记
魔场地时由XX项目经理检
录6个月
查并拆封电源端口
2、从ODC场地到其他场地
时,设备需做格式化处理
外来人员须在前台安全岗进行身份识别登记、
外来人员接待要填写外来人
36
中
员接待电子流,设备进出要
设备进出须审批登记
填写携物出门电子流
37
ODC场地大网使用PC接桌面云办公。
高
ODC实验室内单板、PC等机要设备和介质的所
38
有端口须有安全管控措施,(如网口安全盒加
高
封、封条加封、限制网络访问资源等),特殊
使用的端口需有审批
ODC合作方所有加域设备(包括ODC场地内和
39
场地外的PC、便携,都须记录台账、备案,做
高
设备
到账实一致。
新增设备加域需XX项目经理审
安全
批、备案。
40
ODC场地内不允许部署打印机
高
41
机要设备应安装XX及其客户要求的防病毒软
高
件和安全软件(如:
ACC、SPES等)
场地撤销时,原ODC场地的PC等机要设备与
42
存储介质是否已经全部格式化清场(如清场搬
高
适用场地撤销
回XX黄区,可不格式化)
43
场地撤销时,需由XX项目经理发起并验收
高
样机进场:
仅有公司样机才能作为测试样机进
44
场,进场时需由安全岗对存储及SIM卡槽进行
加封,加封前需对样机内带有的SIM卡及外加
SD卡进行登记
样机台账:
进出场样机需有台账登记(推荐
EXCEL类电子台账),台账需清楚显示当前场
45
内有哪些样机。
哪些样机入场后已离场。
台账
高
必须登记的信息有IMEI号、型号、使用人、
样机
项目组、是否离场。
46
管理
样机盘点:
样机需根据台账定期盘点,盘点记
高
录保存1年
样机拆封:
场内样机如需拆加封,需由项目指
47
定人员进行登记后操作。
必须的登记信息有,
高
拆封样机IMEI号、旧封条号、新封条号
样机出场:
样机出场需恢复出厂设置,如因业
48
务需要不恢复出厂设置带出样机,需经XX项
高
目经理邮件审批。
审批可授权,管理责任不可
转移
测试
进场:
仅有项目测试SIM卡/存储介质经场内