周口文理职业学院外包服务信息安全管理办法
日期:2022-07-13  作者:网络与信息中心 来源:  浏览量:110

第一章  

第一条  为加强对外包服务的信息安全管理,明确管理责任和管理要求,抵御外来风险,提高信息安全管理水平,《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求(GB/T22239-2019)》《关于境内企业承接服务外包业务信息保护的若干规定》等国家、省、市有关法规政策和学校管理制度,结合学校实际,制定本办法。

第二条  本办法适用于学校所有信息系统。本规定所指外包包括外包服务公司、外包服务人员、第三方信息系统和第三方终端。

(一)外包服务公司( 以下简称“外包公司”)是指以签订项目合同方式,提供网络安全和信息系统技术开发、系统运维、安全检查、等保测评、应急处置等服务的外部公司或部门。

(二)外包服务人员(以下简称“外包人员”)是指上述外包公司委派的工作的人员。

(三)第三方信息系统(以下简称“第三方系统”)是指外包公司为提供服务需要所部署的信息系统。

(四)第三方终端是指外包人员携带并在校园网内部使用的信息通信终端。

第三条   应遵循“合规性、预防性、有限授权、监督制约” 的原则,加强外包服务信息安全管理。

第二章 组织机构和职责

第四条   网络与信息中心负责外包服务信息安全管理的领导和统筹工作。

第五条  网络与信息中心负责对外包服务信息安全管理进行合同备案和监督检查。

第六条  各部门、各单位(以下简称“各单位”)负责外包服务的基本情况调查、合同签订和服务管理等,并将外包服务合同提交网络与信息中心备案。

第三章 外包公司安全管理

第七条   各单位与外包公司签订的合同中应包含保密协议(见附件一),保密协议的条款中应明确相关信息安全的要求及处罚要求。

第八条  应在合同中明确外包公司在信息安全方面的职责和合同终止后的有效期限。

第九条  外包公司应在技术和管理方面均具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确。

第十条  外包公司在学校以往的服务项目中出现过重大的信息安全违规事件,不得再引入该合作公司。

第四章 外包人员安全管理

第十一条   各单位应与外包人员签署《保密承诺书》(见附 件二),明确保密范围、保密责任、违约责任、有效期限等内容。

第十二条   外包人员开设账户访问系统需提交《信息系统 账号开通申请表》(见附件三),各单位审批后由专人开设账户、分配权限、并登记备案,服务结束后应及时清除其所有的访问权限。

第十三条   外包人员的账号口令必须满足信息系统管理规定,必须使用8位以上的复杂口令。外包人员的账号、认证、授权管理和安全审计应纳入系统集中管控。

第十四条   禁止外包人员在未授权的情况下通过远程方式接入,因特殊情况需要通过远程登录,须经网络与信息中心审批授权后,临时开通远程登录功能,用毕及时撤销。

第十五条   外包人员离岗时,各单位应及时完成外包人员的账号撤销、设备安全检查审核、技术资料移交等工作。

第十六条   外包人员在学校以往的服务项目中出现过重大的安全违规事件,该人员不得再继续为学校提供服务。

第五章  第三方系统安全管理

第十七条   第三方系统需与内部系统互联时,应提交《信息系统接入申请表》(见附件四),经网络与信息中心审核通过后进行连接。

第十八条   第三方系统在入网前必须通过安全评估和安全测试,确保第三方系统符合内部系统安全技术要求。

第十九条   外包公司应妥善保存第三方系统所有系统信息、客户信息、操作日志等,保存期限不少于6个月。

第六章  第三方终端安全管理

第二十条   第三方终端如需接入学校网络或服务器,其终端应符合下述要求:

(一)必须安装病毒库更新至最新的杀毒软件,且终端经查 杀后,没有病毒。

(二)必须将系统补丁更新至最新。

(三)除业务需要,不得安装任何漏洞扫描软件或手工对学校网络进行探测。

(四)不得安装任何监控软件对学校网络数据进行捕捉和分析。

第二十一条  第三方终端需与内部系统互联时,应提交《信息系统接入申请表》,经网络与信息中心审核通过后进行连接。网络与信息中心应对第三方终端进行安全审核、检查。

第七章  检查和监督

第二十二条  网络与信息中心应定期检查外包服务涉及的网络链路、安全设备、网络设备和服务器等的运行状况,审查外包服务涉及的安全策略、审计数据、恶意代码、补丁升级等安全相关事项的工作情况。

第二十三条  网络与信息中心根据不同时期及重大活动阶段,依据网络安全关注重点对外包服务进行专项的信息安全检查和审查,确保外包服务的可用性和数据的可靠性。

第八章     

第二十四条  本办法由网络与信息中心负责解释。

    第二十五条  本办法自发布之日起施行。

收藏本页