第三方信息安全管理规定
总则
为规范科技发展部的第三方信息安全管理工作，有效控制第三方和第三方人员可能带来的信息安全风险，特制定本规定。
本规定适用于直接或间接为科技发展部提供产品和服务的第三方及第三方人员。
组织与职责
科技发展部风险管理组负责编写用于第三方人员的信息安全培训材料，监督和检查各部门第三方及第三方人员管理的执行情况。
各部门安全组负责监督和检查本部门第三方及第三方人员管理的执行情况。
各部门负责识别引入第三方所可能带来的风险，要求第三方指定安全责任人，指定第三方对口人员，实施对第三方及第三方人员的风险管控，建立并维护本部门《第三方驻场人员情况记录表》，对第三方人员进行信息安全培训并与之签订《第三方人员信息安全承诺书》，协助相关部门做好第三方的信息安全管理工作。
全体员工在日常工作中应保持对第三方人员的关注；仅允许第三方人员访问获得批准的信息资产，禁止向未签署保密承诺书的第三方人员提供涉及科技发展部秘密的信息；阻止第三方人员可能给科技发展部造成的损失的行为；当作为第三方对口人员时，应代表本部门对第三方人员进行严格管理，对进入重要区域的第三方人员进行现场全程跟踪。
合作前的管理
在引入新的第三方服务前，由第三方对口部门识别引入该第三方服务可能带来的信息安全风险。
第三方在为科技发展部提供产品与服务时，需要遵守本规定中有关第三方人员的管理要求。
各相关部门应向第三方提出保密相关要求，主要内容包括：
第三方应承诺不泄露科技发展部非公开信息；
第三方应承诺不进入科技发展部非授权区域；
第三方应明确在服务提供期间所涉及知识产权的归属；
第三方应明确违反保密要求的后果。
合作中的管理
第三方人员进入科技发展部前，需要提供有效身份证件，由门卫同对口部门确认无误后放行；对于没有携带有效身份证明的第三方人员，由对口部门填写《第三方人员确认担保表》。
第三方人员进场后，如需接触科技发展部非公开信息，必须同科技发展部签订《第三方人员信息安全承诺书》。
对于需要在科技发展部连续工作超过两天的第三方人员，由对口部门对其进行信息安全培训，并填写《第三方驻场人员信息安全培训表》。
第三方人员的物理访问权限及逻辑访问权限按最小访问原则来授予。
第三方人员不得擅自进入未得到授权的区域；第三方人员进出机房区域和重要区域，应由对口部门负责为其办理进出机房审批，并由对口人员全程陪同并办理登记手续。
第三方不得擅自接入（含远程接入）科技发展部生产系统或网络，确因工作原因需要实施接入，应向对口部门负责人提交申请，并按规定由相关负责人审批通过后，由对口人员监督第三方的接入过程直到连接断开。
第三方人员必须在已签订信息安全承诺书的前提下，经过对口部门负责人审批，并向相关部门提交访问申请，审批通过后才能使用科技发展部非公开的信息资产。
第三方人员应关注并及时向对口人员报告服务过程中发现的安全弱点或技术薄弱点。
第三方对口部门负责对第三方的日常管理和监督工作；当第三方服务变更时，应重新评估第三方及其人员的风险。
第三方设备严禁接入科技发展部办公网络，第三方人员如需使用接入办公网络的科技发展部设备，必须获得对口部门负责人审批。
合作终止后的管理
第三方人员不再为科技发展部提供服务后，对口部门应在其离开当天确保其所拥有的所有物理或逻辑访问权限得到及时清除。
当合同或协议结束时，第三方应及时归还其正在使用的一切科技发展部资产。
检查与监督
各部门应定期组织对第三方及其人员管理状况的自查，自查结果记入《第三方驻场人员管理情况自查表》。
科技发展部应定期对各部门的第三方信息安全管理工作进行监督检查，对于违反管理要求的部门或第三方提出整改要求。
附则
本规定由科技发展部负责制定、修订和解释。
本规定自发布之日起执行。
记录
《第三方驻场人员情况记录表》
《第三方人员信息安全承诺书》
《第三方