中量大〔2024〕32号

关于印发中国计量大学网络、信息系统外包

服务信息安全管理办法的通知

各学院、各部门：

为加强对学校网络、信息系统外包服务的信息安全管理，明确管理责任和管理要求，抵御外来风险，提高信息安全管理水平，根据相关法律法规并结合我校实际情况，制订了《中国计量大学网络、信息系统外包服务信息安全管理办法》，现予以印发实施。

中国计量大学

2024年2月27日

中国计量大学网络、信息系统外包服务信息

安全管理办法的通知

第一章总则

第一条为加强对学校网络、信息系统外包服务的信息安全管理，明确管理责任和管理要求，抵御外来风险，提高信息安全管理水平，《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律法规及《中国计量大学信息系统项目建设管理办法》、《中国计量大学网络信息技术安全管理办法》、《中国计量大学数据安全与个人信息保护管理办法》等学校管理办法，结合学校实际，制定本办法。

第二条本办法适用于学校所有网络及信息系统。本规定所指外包包括外包服务公司、外包服务人员、第三方信息系统和第三方终端。

（一）外包服务公司（以下简称“外包公司”）是指以签订项目合同方式，提供网络安全和信息系统技术开发、系统运维、安全检查、等保测评、应急处置等服务的外部公司或部门。

（二）外包服务人员（以下简称“外包人员”）是指上述外包公司委派的工作的人员。

（三）第三方信息系统（以下简称“第三方系统”）是指外包公司为提供服务需要所部署的信息系统。

（四）第三方终端是指外包人员携带并在校园网内部使用的信息通信终端。

第三条应遵循“合规性、预防性、有限授权、监督制约”的原则，加强外包服务信息安全管理。

第二章组织机构和职责

第四条网络安全和信息化领导小组（简称“领导小组”）是外包服务信息安全管理的领导机构。

第五条信息技术中心负责对外包服务信息安全管理进行监督检查。

第六条各部门、各单位（以下简称“各单位”）负责外包服务的合同签订和服务管理等。

第三章外包公司安全管理

第七条各单位与外包公司签订的合同中应包含“网络与数据安全承诺书”（见附件一），合同条款中应明确相关信息安全的要求及责任要求。

第八条应在合同中明确外包公司在信息安全方面的职责和合同终止后的有效期限。

第九条外包公司应在技术和管理方面均具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明确。

第十条外包公司在学校以往的服务项目中出现过重大的信息安全违规事件，不得再引入该合作公司。

第四章外包人员安全管理

第十一条各单位应与外包人员签署“网络与数据安全个人承诺书”（见附件二），明确保密范围、保密责任、违约责任、有效期限等内容。

第十二条外包人员涉及学校相关访问账号等信息，服务结束后，系统建设单位应及时清除其所有的访问权限。

第十三条禁止外包人员在未授权的情况下通过远程方式接入，需要系统建设单位确认同意后，才能远程登录。

第十四条外包人员离岗时，各单位应及时完成外包人员的账号撤销、设备安全检查审核、技术资料移交等工作。

第十五条外包人员在学校以往的服务项目中出现过重大的安全违规事件，该人员不得再继续为学校提供服务。

第五章检查和监督

第十六条信息技术中心应定期检查外包服务涉及的网络链路、安全设备、网络设备和服务器等的运行状况，审查外包服务涉及的安全策略、审计数据、恶意代码、补丁升级等安全相关事项的工作情况。

第十七条信息技术中心根据不同时期及重大活动阶段，依据网络安全关注重点对外包服务进行专项的信息安全检查和审查，确保外包服务的可用性和数据的可靠性。

第八章附则

第十八条本办法由信息技术中心负责解释。

第十九条本办法自发布之日起施行。

附件：1.网络与数据安全责任书

2.网络与数据安全个人承诺书

中国计量大学办公室2024年2月29日印发

附件1网络与数据安全责任书.docx

附件2网络与数据安全个人承诺书.docx