关于印发《广州市服务外包企业信息安全保护实施办法》的通知
发布时间:
穗外经贸法〔2012〕7号
市服务外包领导小组成员单位,各区、县级市外经贸、科技和信息化、知识产权主管部门,天河软件园、黄花岗科技园管委会,各有关企业:
根据《关于境内企业承接服务外包业务信息保护的若干规定》(商务部令2009年第13号),为促进我市承接服务外包业务企业妥善保护保密信息,维护公平竞争环境,优化服务外包产业投资和发展环境,现将《广州市服务外包企业信息安全保护实施办法》印发给你们,请遵照执行。
市外经贸局 市科信局 市知识产权局
二〇一二年四月二十四日
广州市服务外包企业信息安全保护实施办法
第一条 为促进承接服务外包业务的广州市企业(以下称接包方)妥善保护保密信息,维护公平竞争环境,优化服务外包产业投资和发展环境,根据《中华人民共和国合同法》、《关于境内企业承接服务外包业务信息保护的若干规定》(商务部令2009 年第13号)等,结合我市情况,制定本办法。
第二条 本办法所称的承接服务外包业务是指接包方根据签订合同向境内外的企业、机构、组织或个人(以下称发包方)提供的信息技术外包服务、技术性业务流程外包服务、知识流程外包服务等服务的行为。
第三条 本办法所称保密信息是指符合以下条件的业务资料或数据:
(一)接包方在承接服务外包业务过程中从发包方所获取;
(二)发包方采取了保密措施且不为公众知悉;
(三)接包方根据合同约定应当承担保密义务。
第四条 接包方及其股东、董事、监事、经理和员工不得违反服务外包合同的约定,披露、使用或者允许他人使用其所掌握的发包方的保密信息。
第五条 接包方应通过与员工,特别是涉密人员签订保密协议、竞业禁止协议,以及与涉密的第三方人员签订保密协议等措施确保信息安全。
第六条 接包方应加强对员工的信息安全培训,增强员工的保密意识,避免泄漏保密信息事故的发生。
第七条 接包方应成立信息保护机构或指定专职人员负责制定和完善本企业的信息保护规章制度,对保密信息采取合理的、具体的、有效的保密措施,包括但不限于:
(一)限定涉密人员范围,限制涉密人员与其他员工交流涉密信息;
(二)对配方含量和程序步骤等重要信息加密保存或保存于受限区域;
(三)对保密信息的记录载体使用密钥管理并进行分级管理;
(四)对保密信息载体及其存储场所采取技术物理控制,限制来访者或者对他们提出保密要求,有效阻隔可容纳信息的电子产品,以避免信息被他人不当访问或获取;
(五)对存有保密信息的计算机建立有效的网络安全管理和数据保护措施,建立严格的身份认证和访问授权体系,采用完善的系统备份和故障恢复手段,定期进行安全补丁和病毒库的升级;
(六)制定保密信息安全应急处置预案;
(七)鼓励购买通过国家信息安全认证的信息安全保护软件和备份系统;
(八)接包方与发包方约定的其他措施。
第八条 接包方应积极开展对内部信息安全管理体系的检查及维护,持续改进企业内部信息安全体系。
第九条 接包方接受境外发包方委托,应以合法及公平的方式收集、处理涉及境外商业及个人资料,严格遵守合同涉及地区法律法规监管要求,做好信息资料和安全和保护。
第十条 接包方应当与发包方明确约定对合同所涉及的保密信息的使用主体、使用方式、使用范围以及保密信息的保存时间。接包企业受委托的商业及个人资料保存时间应严格依照合同约定,资料保存时间不得超过合同约定时间。
合同没有约定或者约定不明确的,接包方应当依照有利于保护保密信息的原则使用、保存保密信息。
第十一条 接包方对受委托的商业和个人资料的处理,除非获得发包方同意,受委托的商业和个人资料只可用于委托时述明的用途或与其直接相关的用途。
第十二条 接包企业必须制订并采取切实可行的步骤,以确保受委托处理的商业和个人资料受保障,不受未获准或以外的查阅、处理、删除或其他使用所影响。
第十三条 接包企业不得利用受委托的商业及个人资料开展促销、出售和披露等。
第十四条 鼓励接包方积极借鉴国内外信息安全认证要求、行业最佳实践来制定企业内部信息安全管理体系,并获取国内、国际信息安全认证。
第十五条 对通过信息安全管理(ISO27001/BS7799; ISO/IEC27001;GB/T22080-2008/ISO/IEC27001:2005)等与信息安全有关的国际认证的服务外包企业,按照相关规定给予政策支持。
第十六条 广州服务外包行业协会定期发布和通报境内外服务外包行业信息安全发展现状与趋势,发布和通报广州服务外包行业信息安全发展状况,并根据发包方需要了解和通报接包方信息安全和保密情况。
第十七条 接包方违反与发包方之间的保密协议或服务外包合同中的保密条款,发包方可以根据保密协议或服务外包合同的约定提起仲裁或向有管辖权的法院起诉。
第十八条 接包方应与发包方明确约定接包方在为发包方提供服务、履行信息保密义务的过程中所产生的知识产权或技术成果的归属及权益分配方案。
第十九条 接包方不得侵犯发包方依法享有的商标、专利、著作权等知识产权权利。
第二十条 本办法自发布之日起施行,有效期五年。有关政策法规依据变化或有效期届满,根据实施情况依法评估修订。