腾讯外包员工信息安全系统管理系统要求规范.docx

1、腾讯外包员工信息安全系统管理系统要求规范腾讯控股集团管理标准 GL/YY 001-2013V1.0-L1外包员工信息安全管理规2013-1-4发布 2013-1-4实施腾讯控股集团 发布前 言本规系公司第一次发布，为规公司外包员工合理使用公司信息系统资源，制定外包员工信息安全管理措施提供依据，特制定本规。本标准由企业IT部和安全平台部负责起草、解释,自发布之日起实施。本标准主要起草人：wilsonwang(王森);chanche(车世华);veeqihe（何林如）;本标准主要审核人：robynliu(若潇); coolcyang(勇)本标准批准人：ponyma（马化腾）;Charles(一丹)

2、;ls(卢山);leon(郭凯天)本标准首次发布日期： 2013年1月4日本标准适用围：全公司1.目的 本管理规专为腾讯的外包员工设立，主要为了建立完善的外包员工信息安全管理制度，明确外包员工在场和离场需遵守的规，包括但不限于：机器使用规、使用规、场外接入规、离场规等。2.适用围本管理规适用全公司围所有外包员工。3.相关定义劳务派遣单位与劳动者建立劳动关系后，按照与用工单位订立的派遣协议将劳动者派到用工单位劳动，这类劳动者称之为外包员工：即企业将其非核心的业务外包出去，利用外部优秀专业团队承接业务，从而使其专注核心业务，达到降低成本、提高效率、增强企业核心竞争力和对环境应变能力的目的，这类服务

3、外包及项目外包的员工统称为外包员工。腾讯集团域：因投资并购等原因与腾讯构成合作关系的法人企业。在场外包员工：外包员工在腾讯公司自有或租用办公环境进行办公的称为在场外包员工。场外外包员工：外包员工在腾讯公司自有或租用办公环境外进行办公的称为场外外包员工。腾讯公司办公网主要包括三类：办公网 、开发网、 体验网，使用原则是“专网专用，专机专用”，相关定义如下：办公网：从事日常办公行为，如公文处理、访问部OA系统、访问授信互联网、使用RTX、使用Tencent域收发等。开发网：从事软件开发、测试等研发行为，如访问SVN代码管理系统、使用开发环境编写代码、对代码进行测试、访问运维接入平台等。体验网：从事

4、外部互联网产品体验行为，比如访问非授信互联网、访问非腾讯公司业务等。4. 在场外包员工信息安全管理4.1 责任人4.1.1外包员工在场办公必须使用腾讯公司提供的办公和开发主机。4.1.2外包员工本人对所使用的办公、开发主机和外包负直接责任，应尽到保全资产完整性以及合理使用的义务。4.1.3管理外包员工的腾讯员工对外包员工使用的办公、开发主机和外包负管理责任。4.2 办公主机使用管理外包员工通过办公或开发机接入腾讯公司部网络进行工作，须遵守公司办公PC使用管理规（见附录A）和防止办公网高危行为管理办法（见附录B）。4.2.1外包员工使用的办公或开发机必须满足以下要求，才允许接入腾讯部办公或开发网

5、：1） 必须安装腾讯指定的标准化操作系统；2） 安装腾讯指定办公安全接入软件；3） 安装腾讯指定的防病毒软件和办公安全接入软件。4.2.2严禁办公或开发机在接入网的同时接入其他网络，包括但不限于：1） 使用双网卡，在连接网的同时连接其他网络；2） 在连接网的同时，使用GPRS或3G；3） 在连接网的同时，使用拨号或专线的方式连接到公司外部网络。4.2.3 外包员工必须使用开发机接入开发网访问腾讯部研发资料。4.2.4禁止外包员工在办公和开发主机中安装任何类型的扫描、窃听或攻击性质的应用程序。4.3 和访问权限管理4.3.1网信息系统分级规定：安全级别信息系统一级RTX、部系统、互联网基础OA应

6、用系统（见附录C）二级源代码管理系统、文档系统、项目管理系统、业务管理系统三级VPN、跳板机、IDC生产系统4.3.2外包员工默认使用腾讯集团域办公，若有特殊需求，可申请腾讯公司部：以小写v开头，后跟下划线_和英文ID，如v_waibao。4.3.3外包员工须唯一对应一个外包员工，禁止外包员工共用。4.3.4外包员工默认不具有网信息系统访问权限，根据实际工作需要可申请一级和二级信息系统访问权限，申请方式如下：1) 源代码管理系统，权限申请：code.oa./workflow/home；2) 业务管理系统，权限申请：sec.cm./；3) 其它系统，需用人部门经理同意，并通过向IT负责人申请开通

7、，申请格式参照外包员工访问网系统权限申请表（见附录D）。4.3.5禁止外包员工使用开发电脑访问互联网。4.3.6禁止外包员工访问三级信息系统。4.3.7外包员工进出腾讯公司IDC机房，须由腾讯公司员工陪同，其它要求参照腾讯IDC出入管理规（见附录E）。4.4信息使用管理4.4.1外包员工禁止以任何形式对腾讯公司敏感信息进行未授权访问和处理。4.4.2禁止对敏感信息做如下处理：1）非工作缘由将敏感信息携带出腾讯公司；2）向非腾讯公司授权方公布敏感信息；3）未授权浏览、篡改敏感信息。4.4.3敏感信息包括：1）源代码信息，包括但不限于：开发测试代码、已发布产品代码、已下架产品代码等；2）未发布产品

8、信息，包括但不限于：产品属性、界面UI、功能和使用说明等；3）用户数据，包括但不限于：用户个人资料、产品使用记录等；4）人事信息，包括但不限于：薪酬、组织架构、职级等。5. 场外外包员工信息安全管理5.1 原则上要求所有外包工在腾讯公司提供的职场环境办公，默认不开放外网接入腾讯公司网系统进行办公的权限。如因实际工作需要，需从外网环境接入腾讯网，必须经企业IT部与安全平台部联合评审，由涉及的业务负责方通过发起评审，申请格式参照场外办公环境接入腾讯网申请表（见附录F）。5.2 对场外办公的外包员工开放的网系统，需与其它网系统实施隔离措施，隔离方案由企业IT部与安全平台部制定。5.3 对场外办公的外

9、包员工开放的网系统，不得对外提供如下信息：1）腾讯部的开发测试代码和IDC运营系统数据。2）腾讯部服务器运维操作权限。6.外包员工离场管理6.1外包员工离场前须配合腾讯公司完成文档、代码下载检查和访问权限回收工作。6.2外包员工离场流程、门禁使用等参照外包员工入场离场管理规（见附录G）。7.外包员工违规处罚7.1在场外包员工须遵守公司员工行为准则（见附录H）和员工奖惩制度（见附录I），若发现有违反本规或触及高压线等行为者，停止此外包员工相关工作，退回到外包公司，由外包公司根据商务合同进行处理，并保留追究相关外包员工法律责任的权利。7.2 管理外包员工的腾讯员工对外包员工的行为负管理责任。8.附

10、录附录A（规性附录）：办公PC使用管理规附录B（规性附录）：防止办公网高危行为管理办法附录C（规性附录）：基础OA应用系统附录D（规性附录）：外包员工访问网系统权限申请表附录E（规性附录）：腾讯IDC出入管理规附录F（规性附录）：场外办公环境接入腾讯网申请表附录G（规性附录）：外包员工入场离场管理规附录H（规性附录）：员工行为准则附录I（规性附录）：员工奖惩制度附录A（规性附录） 办公PC使用管理规附录B（规性附录） 防止办公网高危行为管理办法附录C（规性附录） 基础OA应用系统基础OA应用系统地址OA首页.oa.token平台token.oa.HR首页hr.oa.部论坛bbs.oa.考核系统

11、oliver.oa.个人工作台my.oa.招聘首页zhaoping.oa.8000首页8000.oa.供应链系统Scm.oa.流程门户Office.oa.安全确认平台it-web.oa.(myit.oa.)会议系统Meetingroom.oa.腾讯安全运营平台sec.itil.HR报表系统hrms.oa.费用管理系统cost.oa.公司发文policy.oa.部申诉系统ss.oa.QQ安全平台qq.oa.QQ安全中心st.oa.vpn申请跳转页面longon.oa.合同管理系统contract.oa.K2平台k2.oa.员工成长与发展trans.oa.营销活动管理系统mkt.oa.财经服务平台

12、fm.oa.流程维度维护bryony.oa.附录D（规性附录） 外包员工访问网系统权限申请表发件人: 管理外包员工的腾讯员工 收件人: 8000抄送: 外包用人方Leader主题: 【申请OA权限】容格式：申请容：需访问的系统名称和URL。申请原因：使用系统的用途和原因描述清晰。其它：申请使用的有效期等。附录E（规性附录） 腾讯IDC出入管理规附录F（规性附录） 场外办公环境接入腾讯网申请表发件人: 管理外包员工的腾讯员工 收件人: 企业IT部和安全平台部安全评估接口人抄送: 外包用人方Leader、管理外包员工的腾讯员工leader主题: 【XX场外办公环节接入腾讯网申请】容格式：申请容：需访问的资源名称或URL。申请原因：使用系统的用途和原因描述清晰。其它：申请使用的有效期等。附录G（规性附录） 外包员工入场离场管理规附录H（规性附录） 员工行为准则附录I（规性附录） 员工奖惩制度