文档编号 F4-C-研发服务体系-005-V1.0 外包业务信息安全规范要求 序号1信息安全要求规范 信息安全政策 1.1 通过ISO27001信息安全管理体系认证 根据ISO27001的规定制定信息安全方面的相关标准， 政策和流程（包括但 不限于人员安全、物理和环境安全、网络和通信安全、访问控制、系统开发 和维护安全、业务连续性管理等），并定期进行更新、维护，对执行情况进 行评估改进。 1.2 对员工进行信息安全培训，提高员工信息安全意识，明确各员工的职责。所 有培训均需保留记录备查。 1.3 1.4 1.5 1.6 1.72 对于外包现场及专用数据间的相关管理规范 根据数据安全管理标准所要求的数据安全管理体系,建立安全管理制度、流程 等文件。 完善的计算机设备（包括存储介质）报废、维护或销毁制度或程序，并确保 程序得以落实 建立相关程序版本管理制度或程序，以确保程序的安全发布及管理 公司人员管理 2.1 2.2 人力资源招聘流程 签订员工保密协议，并且处理批量客户数据的员工必须是正式员工3 用户权限控制 制定用户权限管理规定，对各系统的新增、变更和删除等需求需指定有权人 进行审核，由指定人员配置权限，并对所有需求进行登记存档。 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 按岗位职能、安全级别以及权限最小化进行权限安全管理 每季度至少对用户权限进行一次审查，包括远程登录用户、门禁系统用户等 。 相关人员的职责或工作状态改变后（如调岗、离职或工程结束），相关用户 权限必须在提出申请后半个工作日内进行相应的变更或删除，并对所有变更 或删除进行登记存档。 员工须得到本公司管理层的授权，才能接触业主的存储和处理其信息的信息 系统 员工都必须使用自己的用户ID和密码接触业主存储的信息系统 限制无线网络的使用，禁止使用无线网络接入办公及生产网络 限制互联网的使用，涉及存储信息的计算机应与办公网络隔离，不得连接互 联网或其他外部网络。 限制企业内部电子邮件的使用，储存保密信息的计算机上不得使用内部及外 部电子邮件；可连接到生产网络上的计算机禁止使用内部即时通信软件和局 域网聊天工具。 制定移动介质管理规定，严格移动存储设备（如光盘刻录机, ZIP驱动器, 移动 硬盘、MP3、MP4和U盘等存储装置）的使用和管理。未经允许，移动存储 设备不得带入专用数据间等涉及处理、传输和存贮客户信息的生产和办公环 境。 3.10 3.11 3.124 系统禁止批量手工导出、批量查询功能。 应对涉及数据访问权限的人员进行严格控制，并定期将涉及数据访问权限的 人员名单报备给业主 保密性和完整性 4.1 4.2 4.3 4.4 涉密信息的文件传输必须采用加密传输。 必须采用业主要求的信息传输方式及信息传输保密方式，对合作数据进行传 输和加密。（数据专线加密传输且在传输过程中不落地存储） 对处理信息的硬件、软件、数据和文档，实物资产和服务（应包括系统服务 ，如：FTP等），须制定一份详细的资产清单，每季度进行一次检查和更新 。 对于资产清单上的物资，应建立相应的管理制度，对于这些物资的收发、使 用、清退、销毁，应进行专门的登记，并指定专人负责处理，并定期将登记 记录交甲方备查。 所有不再具备使用价值的信息的介质都必须在其失效后一个工作日内销毁， 使之无法复原和再被使用。所有的删除的操作必须建立相应文档并进行记录 备案，以便查核。（纸质文档应采用符合保密要求的碎纸机进行销毁）。 4.5 数据处理的设备另作它用或更换存储介质时，必须在安全人员监督下删除所 有数据，并做好记录。 4.6 4.7 数据处理的设备报废时，必须物理销毁设备中的存储介质，并做好记录。 所有对数据的处理、操作均必须双人监督进行，所有的操作需详细记录，并 进行备案，以便备查。 4.8 数据使用完毕，对服务器、终端机、电脑设备上存贮的数据进行删除，删除 应为不可恢复性删除，并由双人操作，建立删除记录。 4.9 只有因工作需要的员工才可访问数