第一章 目的

第一条 加强教育技术中心IT维护外包的安全管理工作，规范第三方服务单位IT维护行为和安全责任。

第二章 范围

第二条 本文件适用于教育技术中心信息系统安全保护工作。

第三章 概述

第三条 本文详细阐述了信息系统相关活动中，第三方单位/人员的信息安全相关规范性要求。

第四章 角色与职责

第四条 信息安全管理部门

（一） 制定并落实安全维护管理制度；

（二） 监督和管理各IT系统第三方单位服务；

（三）对第三方人员进行安全教育或考核。

第五条 第三方单位

（一） 定期签署安全保密协议；

（二） 遵循教育技术中心有关安全要求和操作规范，接受安全教育和考核；

（三） 负责合同约定的IT系统或设施日常运行维护；

（四） 负责安全事件发生时协助进行应急响应。

第六条 按工作职能及不同岗位具体可分为:

（一）IT运维相关

（1） 网络运行维护岗

负责网络系统、网管系统的日常运维，定期提交网络运行报告；

负责网络安全策略和网络参数安全配置的实施，维护网络安全正常运行；

负责监控网络关键设备、网络端口、脆弱性研究、日志审计、网络物理线路，防范黑客入侵；

负责制定网络设备的应急响应方案，及时向维护部门和安全部门报告IT安全事件并协助IT安全事件的处理。

（2）主机运行维护岗

负责制定小型机、存储、PC服务器硬件的相关作业指导书；

负责小型机、存储、PC服务器硬件的日常运维管理；

负责小型机、存储、PC服务器硬件的运行监控和安全维护，包括安全策略配置，系统升级、加固、漏洞扫描、日志审计等；

负责定期提交小型机、存储、PC服务器硬件的运行和安全报告；

负责制定小型机、存储、PC服务器硬件的应急响应方案，及时向维护部门和安全部门报告IT安全事件并协助IT安全事件的处理。

（3） 数据库运行维护岗

负责制定数据库、中间件和操作系统相关制度及作业指导书；

负责数据库、中间件和操作系统日常运维管理，包括：用户权限管理、系统安装、维护、配置和检查数据库数据的完整性和可用性，发现并及时排除系统故障，做好系统恢复；

负责数据库、中间件和操作系统的运行监控、安全状态监控，包括升级、日志审计等；

负责定期提交数据库、中间件和操作系统的运行和安全报告；

负责制定数据库、中间件和操作系统的应急响应方案，及时向维护部门和安全部门报告IT安全事件并协助IT安全事件的处理。

（4）存储、备份系统维护岗

负责制定存储系统和备份系统等管理制度和作业指导书；

负责存储、备份系统的日常运维管理，包括软、硬件的运行状态监控、系统升级、日志审计等。

IT数据备份策略的实施，定期检查备份策略执行情况，安全保管存储介质，配合IT数据备份恢复和测试工作；

负责定期提交存储、备份系统的运行和安全报告；

负责制定存储、备份系统的应急响应方案，及时向维护部门和安全部门报告IT安全事件并协助IT安全事件的处理。

（5）机房日常运行维护岗

负责制定机房管理制度、机房巡检作业指导书；

负责机房内的日常管理工作，包括物理环境巡检；

负责机房物理环境的安全管理；

负责制定机房的专项应急响应方案并组织演练，及时向维护部门和安全部门报告IT安全事件并协助事件的处理。

（6）应用系统运行维护岗

负责制定所管辖应用系统的安全管理制度、作业指导书和日常运维；

负责制定应用系统的安全策略，应用系统的用户权限设置以及系统安全配置；

负责排除应用系统运行中发生的系统故障、安全事件，关注应用系统存在的隐患，收集业务用户的信息安全问题反映，及时报告安全部门和业务主管部门；

负责定期提交应用系统的运行和安全报告；

负责制定应用系统的应急响应方案，及时向维护部门和安全部门报告IT安全事件并协助IT安全事件的处理。

第七条 应用开发外包单位

（一） 负责按照教育技术中心信息系统安全开发相关制度进行系统代码开发。

（二）负责对所开发的信息系统进行系统功能测试和安全测试。

（三）负责对所开发环境、开发计算进行安全配置检查。

第八条 其他第三方单位/人员

（一）其他第三方单位/人员的相关安全管理工作应参考本细则要求。

（二） 针对其他第三方单位/人员的特殊条款及要求应在合同等协议附件中进行明确。

第五章 安全服务管理

第九条 安全风险识别

（一） 在与第三方组织签订服务合同时应明确第三方管理部门，该部门应指定第三方接口人负责相应第三方的日常管理工作。以下为第三方可能带来的安全风险：

物理访问引起的设备、资料失窃；

误操作导致各种软硬件故障；

资料、信息外传导致泄密；

对IT系统的滥用和越权访问；

给IT系统、软件留下后门；

对IT系统的恶意攻击。

（二） 第三方接口人员负责识别第三方进入带来的IT安全风险，应特别注意：

分析第三方的引入是否适应教育技术中心的信息化战略、总体风险控制，其是否有能力满足教育技术中心对监管义务的要求；

第三方是否允许教育技术中心对其实施有效的监督和控制；

对第三方进行风险评估，考查第三方的设施和能力是否足以弥补潜在的风险；

考虑任何可能存在的集中风险，如与几家公司共用一家第三方可能带来的潜在业务连续性风险。

（三） 针对其他第三方可能引入的IT安全风险，各部门可根据具体情况制定对应的管理控制措施。

第十条 合作前期准备

（一）在第三方与公司合作或者进入教育技术中心前，接口部门负责对第三方进行调查，包括公司资质、人员背景等，并填写第三方调查表。

（二）第三方厂商负有对其为教育技术中心提供服务的关键岗位的第三方人员进行人员背景调查的职责，出于背景调查目的收集、处理被调查人员信息时，不得违反相关的法律法规。

（三） 第三方接口人员需确保第三方人员在合作前，在岗位描述或任用条款条件中明确说明其应履行的IT安全职责，确认人员理解其IT安全职责，确认人员承担的角色符合教育技术中心的IT安全要求，并定期对第三方人员进行安全教育与培训，以降低设施被盗窃、滥用和误用的风险。

（四）对于第三方人员的安全角色和职责，应按照教育技术中心的IT安全要求进行定义，在合同签订时清晰地传达给相关人员，安全职责应包括但不限于以下要求：

遵守教育技术中心 IT安全方面的各项规章制度；

按照教育技术中心的要求实施各项安全措施控制；

按照要求组织、参与或配合教育技术中心的各项IT安全检查活动；

保护教育技术中心的信息资产免受非授权访问、泄露、修改和破坏；

积极参加各项IT安全培训；

报告安全事件、潜在安全事件、以及其他可能引发安全风险的事件。

（五） 在与第三方进行合作前，接口人员应确认第三方已签订保密协议，保密条款或保密协议具有法律效力，保密协议或包含保密条款的合同在签订前，应经过教育技术中心相关部门的合规性审查，以避免法律法规风险。保密的要求包括且不限于：

在可接受的时间段里不得泄露教育技术中心的非公开信息；

遵守教育技术中心现有的各种IT安全管理规定；

明确知识产权的归属；

违反保密协议或保密合同的后果。

（六）对于教育技术中心涉及国家机密的计算机IT系统建设项目，第三方合作单位资质必须符合国家保密机关的有关要求。

第十一条 合作期间

（一） 第三方人员进出机房区域需获取授权，并由专人负责陪同，进出机房需进行登记。

（二）应为第三方设立独立的办公区域和网络接入区域，未经许可第三方人员不得随意出入其他工作区域或在其他网络区域接入教育技术中心网络。

（三）第三方服务人员在现场或远程服务时，必须明确相关内容，包括时间、地点、联系人、工作安排和预期结果等，并填写第三方工作记录单。

第十二条 第三方操作要求

（一） 应由专人负责第三方的安全管理，第三方人员使用的任何设备必须经维护部门的正式认可。

（二）第三方人员使用的机器不得直接接入教育技术中心 IT网，应单独组网。

（三）第三方人员如有需要使用网络资源，必须向接口人员提交申请，遵循教育技术中心相关管理规定进行处理，应对第三方现场或者远程的访问进行监管，避免系统的异常中断和敏感信息的泄露。

（四）第三方人员应确保教育技术中心各类设施资源的完好。

（五）长期驻场第三方人员在教育技术中心工作时，接口部门或接口人员应制定相应的管理细则，以切实保障教育技术中心 IT资产的安全。

（六）临时第三方人员访问教育技术中心重要安全区域（如机房区域等）需要有专人陪同并进行登记，登记内容必须包括进出日期与时间、第三方人员签名、访问事由等信息。

（七）第三方人员对所有系统的运维操作必须经过安全管控平台，并保留详细的审计记录。

（八）第三方人员因工作需要需使用教育技术中心敏感信息前，应向接口人员提交申请并经相关领导审批，数据信息使用应有明确期限和清除（交还）要求并及时归还。

第十三条 第三方账号使用

（一）第三方人员为完成其工作，需要对教育技术中心 IT系统进行访问操作的，需严格遵守教育技术中心公司相关账号安全管理规定。

（二） 第三方人员如需开通网络或IT系统账号需要按照教育技术中心规定流程进行申请，并报接口部门、维护部门等部门领导审批。

（三） 应当对第三方人员的逻辑访问权限实施“最小权限”访问原则，严禁第三方人员拥有教育技术中心 IT系统的超级权限账号。

（四）若在发生故障或其他特殊情况下需给予第三方人员超级账号授权，应经过相应部门领导的审批，严禁共享账号。

（五）应建立第三方人员账号管理清单由专人负责管理，接口人员应每季度对第三方人员账号权限进行审核、清理和注销。

第十四条 合作变更和终止

（一）合作变更与终止职责

（1）应清晰地定义在与第三方厂商的合作变更或合作终止时其相应的IT安全职责。

（2）变更或终止应传达IT安全要求和法律法规职责，必要时，在与第三方厂商的合同、保密协议中应包含在合作终止后仍然有效的IT安全职责和义务内容。

（3） 第三方厂商的合作变更或终止由接口部门及相关业务部门负责处理。

第十五条 资产归还

（一）在与第三方厂商终止合作合同或协议时，第三方人员应归还其使用的所有教育技术中心资产，包括计算机设备、来访出入证、纸质文件资料和存储于电子介质中的文档、数据等。

（二）第三方人员在教育技术中心工作期间，利用教育技术中心 IT资产产生信息及其知识产权，除另有约定外，属于教育技术中心所有。

第十六条 变更、撤销访问权限

（一）第三方人员对信息和IT系统的访问权限应在岗位发生变更时进行调整或在合作终止时注销或删除。

（二） 应注销或删除或改变访问权的内容包括物理访问授权、逻辑访问授权。

第十七条 临时第三方安全管理

进入教育技术中心工作的临时第三方人员除了要遵守以上所有规定外，还应当符合下列规定：

（一） 临时第三方人员进入生产系统进行系统安装、测试时，必须由教育技术中心接口部门或接口人员所在部门相关人员全程陪同并进行监督，其使用过的账号必须在安装、测试工作完成后进行删除或进行口令变更。

（二） 临时第三方人员所涉及的系统含有敏感信息时，需要由敏感信息管理部门领导进行评估，根据敏感信息的级别采取必要的控制措施。

（三） 开发、测试和检查过程中产生或获取的数据与资料，未经授权不得带出现场。

（四） 进入机房及其他生产测试环境的临时第三方人员，应遵守教育技术中心机房管理及办公场所的有关规定。

（五）未经授权，临时第三方人员不得使用教育技术中心的IT资产，不得对教育技术中心的网络进行漏洞扫描和渗透测试，不得把移动介质带入机房及其他生产测试环境。

（六）临时第三方人员不得利用工作之便，私自搜集、复制、传播、泄露教育技术中心敏感信息。

第十八条 安全服务检查

（一） 第三方接口人员应负责监督、管理和检查第三方服务交付物的质量，至少每半年对第三方厂商进行一次评审，以保证第三方厂商服务及交付物的质量和安全性，评审结果记入第三方服务评审表中。

（二）在实施对第三方厂商的IT安全检查过程中，可根据第三方厂商服务性质和内容的实际情况，第三方IT安全管理检查列表中所列的项进行，并对该检查表中的不适用项给予明确的解释和说明。

（三） 对于外包开发商交付的软件，应同时参照教育技术中心其他相关文件要求进行软件安全性的评估。

（四） 第三方接口人应对第三方厂商进行IT安全检查，每年至少一次，以确保本规定和相关保密协议得到有效遵循和执行。

（五）对于不符合本规定要求的情况，第三方接口人应责令第三方厂商采取整改措施，并及时向维护部门汇报；情节严重时，应根据合同或者协议采取相应处罚，直至终止与第三方厂商的合作。

（六）第三方接口人应关注第三方服务的变更，谨慎评估由第三方服务变更所带来的影响，并采取相应的风险控制措施。

第六章 附则

第十九条 本规定自发布之日起执行，条文由教育技术中心负责解释。