關(guān)于印發(fā)《廣州市服務(wù)外包企業(yè)信息安全保護(hù)實(shí)施辦法》的通知

發(fā)布時(shí)間：2012-05-07

穗外經(jīng)貿(mào)法〔2012〕7號

市服務(wù)外包領(lǐng)導(dǎo)小組成員單位，各區(qū)、縣級市外經(jīng)貿(mào)、科技和信息化、知識產(chǎn)權(quán)主管部門，天河軟件園、黃花崗科技園管委會，各有關(guān)企業(yè)：

根據(jù)《關(guān)于境內(nèi)企業(yè)承接服務(wù)外包業(yè)務(wù)信息保護(hù)的若干規(guī)定》（商務(wù)部令2009年第13號），為促進(jìn)我市承接服務(wù)外包業(yè)務(wù)企業(yè)妥善保護(hù)保密信息，維護(hù)公平競爭環(huán)境，優(yōu)化服務(wù)外包產(chǎn)業(yè)投資和發(fā)展環(huán)境，現(xiàn)將《廣州市服務(wù)外包企業(yè)信息安全保護(hù)實(shí)施辦法》印發(fā)給你們，請遵照執(zhí)行。

市外經(jīng)貿(mào)局         市科信局        市知識產(chǎn)權(quán)局

二〇一二年四月二十四日

廣州市服務(wù)外包企業(yè)信息安全保護(hù)實(shí)施辦法

第一條 為促進(jìn)承接服務(wù)外包業(yè)務(wù)的廣州市企業(yè)（以下稱接包方）妥善保護(hù)保密信息，維護(hù)公平競爭環(huán)境，優(yōu)化服務(wù)外包產(chǎn)業(yè)投資和發(fā)展環(huán)境，根據(jù)《中華人民共和國合同法》、《關(guān)于境內(nèi)企業(yè)承接服務(wù)外包業(yè)務(wù)信息保護(hù)的若干規(guī)定》（商務(wù)部令2009 年第13號）等，結(jié)合我市情況，制定本辦法。

第二條 本辦法所稱的承接服務(wù)外包業(yè)務(wù)是指接包方根據(jù)簽訂合同向境內(nèi)外的企業(yè)、機(jī)構(gòu)、組織或個(gè)人（以下稱發(fā)包方）提供的信息技術(shù)外包服務(wù)、技術(shù)性業(yè)務(wù)流程外包服務(wù)、知識流程外包服務(wù)等服務(wù)的行為。

第三條 本辦法所稱保密信息是指符合以下條件的業(yè)務(wù)資料或數(shù)據(jù)：

（一）接包方在承接服務(wù)外包業(yè)務(wù)過程中從發(fā)包方所獲?。?/span>

（二）發(fā)包方采取了保密措施且不為公眾知悉；

（三）接包方根據(jù)合同約定應(yīng)當(dāng)承擔(dān)保密義務(wù)。

第四條 接包方及其股東、董事、監(jiān)事、經(jīng)理和員工不得違反服務(wù)外包合同的約定，披露、使用或者允許他人使用其所掌握的發(fā)包方的保密信息。

第五條 接包方應(yīng)通過與員工，特別是涉密人員簽訂保密協(xié)議、競業(yè)禁止協(xié)議，以及與涉密的第三方人員簽訂保密協(xié)議等措施確保信息安全。

第六條 接包方應(yīng)加強(qiáng)對員工的信息安全培訓(xùn)，增強(qiáng)員工的保密意識，避免泄漏保密信息事故的發(fā)生。

第七條 接包方應(yīng)成立信息保護(hù)機(jī)構(gòu)或指定專職人員負(fù)責(zé)制定和完善本企業(yè)的信息保護(hù)規(guī)章制度，對保密信息采取合理的、具體的、有效的保密措施，包括但不限于：

（一）限定涉密人員范圍，限制涉密人員與其他員工交流涉密信息；

（二）對配方含量和程序步驟等重要信息加密保存或保存于受限區(qū)域；

（三）對保密信息的記錄載體使用密鑰管理并進(jìn)行分級管理；

（四）對保密信息載體及其存儲場所采取技術(shù)物理控制，限制來訪者或者對他們提出保密要求，有效阻隔可容納信息的電子產(chǎn)品，以避免信息被他人不當(dāng)訪問或獲取；

（五）對存有保密信息的計(jì)算機(jī)建立有效的網(wǎng)絡(luò)安全管理和數(shù)據(jù)保護(hù)措施，建立嚴(yán)格的身份認(rèn)證和訪問授權(quán)體系，采用完善的系統(tǒng)備份和故障恢復(fù)手段，定期進(jìn)行安全補(bǔ)丁和病毒庫的升級；

（六）制定保密信息安全應(yīng)急處置預(yù)案；

（七）鼓勵(lì)購買通過國家信息安全認(rèn)證的信息安全保護(hù)軟件和備份系統(tǒng)；

（八）接包方與發(fā)包方約定的其他措施。

第八條 接包方應(yīng)積極開展對內(nèi)部信息安全管理體系的檢查及維護(hù)，持續(xù)改進(jìn)企業(yè)內(nèi)部信息安全體系。

第九條 接包方接受境外發(fā)包方委托，應(yīng)以合法及公平的方式收集、處理涉及境外商業(yè)及個(gè)人資料，嚴(yán)格遵守合同涉及地區(qū)法律法規(guī)監(jiān)管要求，做好信息資料和安全和保護(hù)。

第十條  接包方應(yīng)當(dāng)與發(fā)包方明確約定對合同所涉及的保密信息的使用主體、使用方式、使用范圍以及保密信息的保存時(shí)間。接包企業(yè)受委托的商業(yè)及個(gè)人資料保存時(shí)間應(yīng)嚴(yán)格依照合同約定，資料保存時(shí)間不得超過合同約定時(shí)間。

合同沒有約定或者約定不明確的，接包方應(yīng)當(dāng)依照有利于保護(hù)保密信息的原則使用、保存保密信息。

第十一條 接包方對受委托的商業(yè)和個(gè)人資料的處理，除非獲得發(fā)包方同意，受委托的商業(yè)和個(gè)人資料只可用于委托時(shí)述明的用途或與其直接相關(guān)的用途。

第十二條 接包企業(yè)必須制訂并采取切實(shí)可行的步驟，以確保受委托處理的商業(yè)和個(gè)人資料受保障，不受未獲準(zhǔn)或以外的查閱、處理、刪除或其他使用所影響。

第十三條  接包企業(yè)不得利用受委托的商業(yè)及個(gè)人資料開展促銷、出售和披露等。

第十四條 鼓勵(lì)接包方積極借鑒國內(nèi)外信息安全認(rèn)證要求、行業(yè)最佳實(shí)踐來制定企業(yè)內(nèi)部信息安全管理體系，并獲取國內(nèi)、國際信息安全認(rèn)證。

第十五條 對通過信息安全管理（ISO27001/BS7799; ISO/IEC27001;GB/T22080-2008/ISO/IEC27001:2005）等與信息安全有關(guān)的國際認(rèn)證的服務(wù)外包企業(yè)，按照相關(guān)規(guī)定給予政策支持。

第十六條  廣州服務(wù)外包行業(yè)協(xié)會定期發(fā)布和通報(bào)境內(nèi)外服務(wù)外包行業(yè)信息安全發(fā)展現(xiàn)狀與趨勢，發(fā)布和通報(bào)廣州服務(wù)外包行業(yè)信息安全發(fā)展?fàn)顩r，并根據(jù)發(fā)包方需要了解和通報(bào)接包方信息安全和保密情況?！?/span>  

第十七條 接包方違反與發(fā)包方之間的保密協(xié)議或服務(wù)外包合同中的保密條款，發(fā)包方可以根據(jù)保密協(xié)議或服務(wù)外包合同的約定提起仲裁或向有管轄權(quán)的法院起訴。

第十八條 接包方應(yīng)與發(fā)包方明確約定接包方在為發(fā)包方提供服務(wù)、履行信息保密義務(wù)的過程中所產(chǎn)生的知識產(chǎn)權(quán)或技術(shù)成果的歸屬及權(quán)益分配方案。

第十九條 接包方不得侵犯發(fā)包方依法享有的商標(biāo)、專利、著作權(quán)等知識產(chǎn)權(quán)權(quán)利。

第二十條 本辦法自發(fā)布之日起施行，有效期五年。有關(guān)政策法規(guī)依據(jù)變化或有效期屆滿，根據(jù)實(shí)施情況依法評估修訂。