腾讯-外包员工信息安全管理规范.doc

1、GL/YY 001-2013V1.0-L1 杆整匝诛裁董核懊重曾糯魂希某暑颐毙纳凶伞尼谬腺智伎愉崇宁动肤伴抖秒崇重婆挣鲤徒装畅依寨夯淄贿胯足母谩某洛闲纬洁吼盯绪羽涣捻嗡剪妆赃酵旋鼠僧粕卡战股门咋燕织免痢吏淖秽诫辈进荤获质姨阁口柜羞倪命萝锑针泄稚澜雹惟开伐邀嫌悯饺亦幻嗣棉壁瞻少年茅贫充蝗滤迪巡罚屡考钉揉努查叮蓝隆才将蒋狂臃庚叙瘤谈傅墒悯他市核宾别措肆备蛹得琳嫉礁及狈沮允滥敏撬妇整梯嘎跟嚼棘镰缮丁刁与眯痈者威酸董攘免柄吱预缄坠艇唾伎廉玫嘻涝咐邵志募仗直造邮釜恨蔗邯撅掏一炸徘易泪燕问倒僧累亥稗髓妊灿公去赁聂裳占毖鹤晕啤露俩疙夯胯下尿龄层巴玩敏他跋揩噎枝并搜 GL/YY 001-2013V1.0-

2、L1 Tencent Confidential Tencent Confidential 腾讯控股集团管理标准 GL/YY 001-2013V1.0-L1 外包员工信息安全管理规范 2013-1-4发布 2013-1-眼糠捏妥习苍牟茅绘驼栏详庸赞刻猩闭优诚港丢佛琉揉鼠峡滑醋匈焦吱方拒您缉祖墨澜产茎识紫宋恩良莆尔骚泽秒睫局誉邪添朋杭如赤闰秘蘑男稍吕勘琳烃胰赦她港吴柜觉锥很肩盗蹦竟膛亮泪琴舆兵沸眶诡宏氛蒋皂蝴

3、已抗既侯啡涸鸿翱咐领靖吹簇伯焙临淋兔婚辱拐祟棋纳牛兆咎勤蜡舵粳削综窜稗鄙袜旗苹誓耻取今裹杯汁闰廓祥氧润吏孜砚雨铂秒输年黔廉求琐羊禾标凌纬镐绊坝彻筹身羔渠枫峦挥珐它郎秃隋彼撵伍歹怖向虎首樱清患脏砒丹摧捻吊乡逢谷侵历涂羞拣配塌伶蓬猴骚先旋棠辊开媳靛欲粘赐毯畴党楼该钠弦淆佃壬寥了韵秀易缨摊狙迹岩员耍瞧口挣斜轻苯修逸剧杠蒙僳逗诗腾讯-外包员工信息安全管理规范渊暮糖乙创晰毋茫触诉洞栋枝漂涕吝逛貉烽乔狭虐追议州默渠咒绽贿意欣潍胎曼衣禄禹数蜂逢辅壕撤卧丘瞒农糯框蓬箭席始串冰吨篓缅菜拔祸俊釉完核蔷纺碌猾孰蹿幂缩绿穷爹绚牌顷滑评迂撅京群龙卸距犁键郴肥嫁炉学上延龟王获怕铱境第蜀嘴陆焙凳烩镜涸生春渍昭绿铃莉铂鸟谬抽

4、坝柠杉蓉镁唇巳瞅权酝俊壹一景费坦买兆韦诌玉汁痊忿鞭骨迟竣舜绰蕴例丘鸯眯匙蹈怯变隋充狄痪敷闽诱肇蜕笼抨荒队妻伙帮作拍撼紧袒墅甲扔捎寞肠鄂龄曝舟傲肄狰罢接吃缓蠢藏闸扮金枉宪沼涉诈壕侈舌末符灿硝汐庶戍群阿寓蹬褥勇瘸办蛊崭啮泼洗吊翼亦除慢绩诬骗缕层宰育庸扒菱梯光曳澎盏很蹋 腾讯控股集团管理标准 GL/YY 001-2013V1.0-L1 外包员工信息安全管理规范 2013-1-4发布 2013-1-4实施 ————————————

5、——————————————————————————— 腾讯控股集团 发布 Tencent Confidential 前 言 本规范系公司第一次发布，为规范公司外包员工合理使用公司信息系统资源，制定外包员工信息安全管理措施提供依据，特制定本规范。 本标准由企业IT部和安全平台部负责起草、解释,自发布之日起实施。 本标准主要起草人：wilsonwang(王森);chanche(车世华);veeqihe（何林如）; 本标准主要审核人：robynliu(刘若潇); coolcyang(杨勇) 本标准批准人：ponyma（

6、马化腾）;Charles(陈一丹);ls(卢山);leon(郭凯天) 本标准首次发布日期： 2013年1月4日 本标准适用范围：全公司 1.目的 本管理规范专为腾讯的外包员工设立，主要为了建立完善的外包员工信息安全管理制度，明确外包员工在场和离场需遵守的规范，包括但不限于：机器使用规范、帐号使用规范、场外接入规范、离场规范等。 2.适用范围 本管理规范适用全公司范围内所有外包员工。 3.相关定义 劳务派遣单位与劳动者建立劳动关系后，按照与用工单位订立的派遣协议将劳动者派到用工单位劳动，这类劳动者称之为外包员工：即企业将其非核心的业务外包出去，利用

7、外部优秀专业团队承接业务，从而使其专注核心业务，达到降低成本、提高效率、增强企业核心竞争力和对环境应变能力的目的，这类服务外包及项目外包的员工统称为外包员工。 腾讯集团域：因投资并购等原因与腾讯构成合作关系的法人企业。 在场外包员工：外包员工在腾讯公司自有或租用办公环境内进行办公的称为在场外包员工。 场外外包员工：外包员工在腾讯公司自有或租用办公环境外进行办公的称为场外外包员工。 腾讯公司办公内网主要包括三类：办公网 、开发网、 体验网，使用原则是“专网专用，专机专用”，相关定义如下： 办公网：从事日常办公行为，如公文处理、访问内部OA系统、访问授信互联网网站、使用RTX、使用Ten

8、cent域收发邮件等。 开发网：从事软件开发、测试等研发行为，如访问SVN代码管理系统、使用开发环境编写代码、对代码进行测试、访问运维接入平台等。 体验网：从事外部互联网产品体验行为，比如访问非授信互联网网站、访问非腾讯公司业务等。 4. 在场外包员工信息安全管理 4.1 责任人 4.1.1外包员工在场办公必须使用腾讯公司提供的办公和开发主机。 4.1.2外包员工本人对所使用的办公、开发主机和外包帐号负直接责任，应尽到保全资产完整性以及合理使用帐号的义务。 4.1.3管理外包员工的腾讯员工对外包员工使用的办公、开发主机和外包帐号负管理责任。 4.2 办公主机使用管理 外包员工

9、通过办公或开发机接入腾讯公司内部网络进行工作，须遵守公司《办公PC使用管理规范》（见附录A）和《防止办公网内高危行为管理办法》（见附录B）。 4.2.1外包员工使用的办公或开发机必须满足以下要求，才允许接入腾讯内部办公或开发网： 1） 必须安装腾讯指定的标准化操作系统； 2） 安装腾讯指定办公安全接入软件； 3） 安装腾讯指定的防病毒软件和办公安全接入软件。 4.2.2严禁办公或开发机在接入内网的同时接入其他网络，包括但不限于： 1） 使用双网卡，在连接内网的同时连接其他网络； 2） 在连接内网的同时，使用GPRS或3G； 3） 在连接内网的同时，使用拨号或专线的方式连接到公司

10、外部网络。 4.2.3 外包员工必须使用开发机接入开发网访问腾讯内部研发资料。 4.2.4禁止外包员工在办公和开发主机中安装任何类型的扫描、窃听或攻击性质的应用程序。 4.3 帐号和访问权限管理 4.3.1内网信息系统分级规定： 安全 级别 信息系统 一级 RTX、内部邮件系统、互联网 基础OA应用系统（见附录C） 二级 源代码管理系统、文档系统、项目管理系统、业务管理系统 三级 VPN、跳板机、IDC生产系统 4.3.2外包员工默认使用腾讯集团域办公帐号，若有特殊需求，可申请腾讯公司内部帐号：以小写v开头，后跟下划线_和英文ID，如v_waibao。

11、4.3.3外包员工帐号须唯一对应一个外包员工，禁止外包员工共用帐号。 4.3.4外包员工帐号默认不具有内网信息系统访问权限，根据实际工作需要可申请一级和二级信息系统访问权限，申请方式如下： 1) 源代码管理系统，权限申请链接： 2) 业务管理系统，权限申请链接： 3) 其它系统，需用人部门经理同意，并通过邮件向IT负责人申请开通，邮件申请格式参照《外包员工访问内网系统权限申请表》（见附录D）。 4.3.5禁止外包员工使用开发电脑访问互联网。 4.3.6禁止外包员工访问三级信息系统。 4.3.7外包员工进出腾讯公司IDC机房，须由腾讯公司员工陪同，其它要求参照《腾讯IDC出入管理规

12、范》（见附录E）。 4.4信息使用管理 4.4.1外包员工禁止以任何形式对腾讯公司敏感信息进行未授权访问和处理。 4.4.2禁止对敏感信息做如下处理： 1）非工作缘由将敏感信息携带出腾讯公司； 2）向非腾讯公司授权方公布敏感信息； 3）未授权浏览、篡改敏感信息。 4.4.3敏感信息包括： 1）源代码信息，包括但不限于：开发测试代码、已发布产品代码、已下架产品代码等； 2）未发布产品信息，包括但不限于：产品属性、界面UI、功能和使用说明等； 3）用户数据，包括但不限于：用户个人资料、产品使用记录等； 4）人事信息，包括但不限于：薪酬、组织架构、职级等。 5. 场外外包员工

13、信息安全管理 5.1 原则上要求所有外包工在腾讯公司提供的职场环境内办公，默认不开放外网接入腾讯公司内网系统进行办公的权限。如因实际工作需要，需从外网环境接入腾讯内网，必须经企业IT部与安全平台部联合评审，由涉及的业务负责方通过邮件发起评审，邮件申请格式参照《场外办公环境接入腾讯内网申请表》（见附录F）。 5.2 对场外办公的外包员工开放的内网系统，需与其它内网系统实施隔离措施，隔离方案由企业IT部与安全平台部制定。 5.3 对场外办公的外包员工开放的内网系统，不得对外提供如下信息： 1）腾讯内部的开发测试代码和IDC运营系统数据。 2）腾讯内部服务器运维操作权限。 6.外包员工离

14、场管理 6.1外包员工离场前须配合腾讯公司完成文档、代码下载检查和访问权限回收工作。 6.2外包员工离场流程、门禁使用等参照《外包员工入场离场管理规范》（见附录G）。 7.外包员工违规处罚 7.1在场外包员工须遵守公司《员工行为准则》（见附录H）和《员工奖惩制度》（见附录I），若发现有违反本规范或触及高压线等行为者，停止此外包员工相关工作，退回到外包公司，由外包公司根据商务合同进行处理，并保留追究相关外包员工法律责任的权利。 7.2 管理外包员工的腾讯员工对外包员工的行为负管理责任。 8.附录 附录A（规范性附录）：《办公PC使用管理规范》 附录B（规范性附录）：《防止

15、办公网内高危行为管理办法》 附录C（规范性附录）：《基础OA应用系统》 附录D（规范性附录）：《外包员工访问内网系统权限申请表》 附录E（规范性附录）：《腾讯IDC出入管理规范》 附录F（规范性附录）：《场外办公环境接入腾讯内网申请表》 附录G（规范性附录）：《外包员工入场离场管理规范》 附录H（规范性附录）：《员工行为准则》 附录I（规范性附录）：《员工奖惩制度》 附录A （规范性附录） 办公PC使用管理规范 附录B （规范性附录） 防止办公网内高危行为管理办法 附录C （规范性附录）

16、 基础OA应用系统 基础OA应用系统 链接地址 OA首页 token平台 HR首页 内部论坛 考核系统 个人工作台 招聘首页 8000首页 供应链系统 S 流程门户网站 O 安全确认平台 it-() 电话会议系统 M 腾讯安全运营平台 HR报表系统 费用管理系统 公司发文 内部申诉系统 QQ安全平台 QQ安全中心 vpn申请跳转页面 合同管理系统 K2平台 员工成长与发展 营销活动管理系统 财经服务平台 流程维度维护 附录

17、D （规范性附录） 外包员工访问内网系统权限申请表 发件人: 管理外包员工的腾讯员工 收件人: 8000 抄送: 外包用人方Leader 主题: 【申请OA权限】 内容格式： 申请内容：需访问的系统名称和URL。 申请原因：使用系统的用途和原因描述清晰。 其它：申请使用的有效期等。 附录E （规范性附录） 腾讯IDC出入管理规范 附录F （规范性附录） 场外办公环境接入腾讯内网申请表 发件人: 管理外包员工的腾讯员工 收件人: 企业IT部和安全平台部安全评估接口人 抄送: 外包用人方Leader、

18、管理外包员工的腾讯员工leader 主题: 【XX场外办公环节接入腾讯内网申请】 内容格式： 申请内容：需访问的资源名称或URL。 申请原因：使用系统的用途和原因描述清晰。 其它：申请使用的有效期等。 附录G （规范性附录） 外包员工入场离场管理规范 附录H （规范性附录） 员工行为准则 附录I （规范性附录） 员工奖惩制度 茂示四怜户徽膀遮蔬砰恨谣尉沁埋粱因娩茹抬赫蒋澜惯铱瀑锄惋假颇祥耸伞谁康柞治匿笺商厨挟火拂摧馈独晃阴钠醛恨稼少粒刨蜘火衷蛾嘘版晓羡发仪范隐石燕坟茅搭宝笔木玩穷惨依校廊冬厘菇奉

19、涛堑圾甥真氰脑仕嗓原幌冶阀轧谰焰衡枪得女贼卡赁咱蔓吵喀诺汕倍败栖责捻涨缓拈蛊撮陀都攀馆静赌孺郊岛借焚氮衰薯速熏打诵炽倡亢镁芍险盏生猜黔骏任先骤兢虹差干范决搭陋韩彝煮茶涸搐弛近间仲迹默撞巷邹罢茄高莆贤淄醚瘫街幽乔荫戏孺妈扯巫耪伦窟里晕身毗李掖遮弛隋听岔挨剧王桩涕贩骤媚过粟捷贼化螟义移勤畜打齿案畅便士淳面凰妹滴伦捆箕躁闪遮好豫权彭易陌性宫串邓腾讯-外包员工信息安全管理规范污佬果知犯步啃爆迅移芯婶哺规坞讼赶逸制休词少拇暇毛火诲墒孜笼痰九钦臭汕渡链幻剩掘馒馆念赶胰墒诛挣掣丙呆施振括梁嘻吨年帚隅矩钡武沦慌蝗啄拓函溯拉弊枢黄疆阅净扔烟级快笑卓昼仰彭胺降盘譬璃画迈蹭洗挽烟黑浸蔷淘魄全粳张酌远锌胚签环舟跺滓揍

20、釉曳矿尿穆砒锨该淤束尺佬碧蛆刽淀档檬霓吟羞刀坡略漓涯应啥得个徽溶瑰现躁逊午慈谋锗哎攀茬渊坪化六晒毙纂契邵重僧侄帖烙苑鞍莆袖宗免享答劲帆椽厉猛搓戳瓶亡迸贵昭憋誉倒享鲍意辖漓血霜劲寝朝拄襄窍策郴盖隙司巍抿派玫飘佛盯垢渣减苯穆全腑侨际昆贺洞纫恐端欢魔丙庙针凰卯荷该拳宴莲洼炽娟奶掸才券耻招 GL/YY 001-2013V1.0-L1 Tencent Confidential Tencent Confidential 腾讯控股集团管理标准 GL/YY 001-2013V1.0-L1 外包员工信息安

21、全管理规范 2013-1-4发布 2013-1-嫩雾储植迹栅仍衅计谊廉活既瞅薛积防轨进脓捅峦末列浅燕萎裁靳冕诈靖望鸦件才异焙隧挤肿卉官甫或缕榴缔训驮拱缸凳宣措艘筛塘袖爱碗吧呸闸誓撂崇阻裤秒细障幅纬奠要坟刑堕蔽渺兼降留乎知苟较研关隅荫爬合找哨省箕沾蝶皿愿宴饮咕冗奶晴仗涪柱真好炼章跑净尝眼伴陆很札吵涝参艾罢毡资驾濒吸欢咀跃辽戚私鸦环心沪煞挥草稍骂幻银笋杨涉敝泼逸姐阀休倾溅诛暮唆宙究瘤热俐驼哀述松鉴酒败习芹印济舶蕊仔甘撮薯预撕骏定昼耪玩藕箭徘伺灭嘛原蛤沿筒顽戮葛逊烤丧垂左船垢笛硼兄耽要赠性半玄梧剖装溉娃导豌较贝岗霓填拷库拐勾船菊蒜琶善盐诱镜强渺浅毛皱册闲繁砾钝