第三方组件安全管理办法

一、总则为保障公司信息安全，防范因第三方合作伙伴的不当行为导致的信息安全风险，根据《中华人民共和国网络安全法》等相关法律法规，结合公司实际情况，特制定本制度。

二、适用范围本制度适用于与公司签订合作协议的第三方合作伙伴，包括但不限于供应商、服务商、咨询机构等。

三、第三方信息安全责任1. 第三方合作伙伴应遵守国家有关信息安全的相关法律法规，承担信息安全责任。

2. 第三方合作伙伴应确保其提供的产品、服务及解决方案符合我国信息安全等级保护要求。

3. 第三方合作伙伴应建立完善的信息安全管理制度，加强员工信息安全意识培训。

四、信息安全风险评估与审查1. 公司对第三方合作伙伴进行信息安全风险评估，评估内容包括但不限于：（1）第三方合作伙伴的信息安全管理制度；（2）第三方合作伙伴的技术、产品及服务的信息安全性能；（3）第三方合作伙伴的信息安全事件处理能力；（4）第三方合作伙伴的历史信息安全记录。

2. 根据风险评估结果，公司对第三方合作伙伴进行信息安全审查，审查内容包括但不限于：（1）第三方合作伙伴是否具备信息安全能力；（2）第三方合作伙伴是否具备信息安全合规性；（3）第三方合作伙伴是否具备信息安全责任承担能力。

五、信息安全协议1. 公司与第三方合作伙伴签订信息安全协议，明确双方在信息安全方面的权利、义务和责任。

2. 信息安全协议应包括以下内容：（1）信息安全目标；（2）信息安全责任；（3）信息安全措施；（4）信息安全事件处理；（5）保密条款；（6）违约责任。

六、信息安全监督与检查1. 公司对第三方合作伙伴的信息安全工作进行定期和不定期的监督与检查。

2. 第三方合作伙伴应配合公司进行信息安全监督与检查，提供相关资料和协助。

七、信息安全事件处理1. 第三方合作伙伴在发现信息安全事件时，应及时向公司报告，并采取必要措施进行处置。

2. 公司在接到第三方合作伙伴的报告后，应立即启动信息安全事件应急预案，组织开展应急处置工作。

第三方安全管理办法第一章总则第一条为了规范XXX的外部第三方用户在共享科技公司内部信息、或访问科技公司内部信息系统时的行为，保护科技公司网络与信息系统安全，特制定本管理办法，用于内部管理机构对第三方机构和人员进行安全管理。

第二章适用范围第二条本管理办法适用的第三方包括科技公司的产品供应商、代维服务商、合作厂商等，制度的执行和责任由与第三方接触的科技公司相关部门承担。

第三条第三方合作伙伴在涉及到共享科技公司内部信息、或访问企业内部信息系统时，必须遵守本管理办法。

第四条在科技公司网络与信息安全工作中，本管理办法是指导第三方安全管理的基本依据，相关组织和人员必须认真执行本管理办法，并根据工作实际情况，制定并遵守相应的实施细则和操作流程，做好第三方安全管理工作。

第三章来访出入管理第五条第三方人员进入科技公司所属单位及其建筑物，应遵守科技公司相关安保制度。

第六条接待部门应当建立第三方来访预约制度和接待记录制度。

对第三方人员的访问，科技公司前台应进行登记，详细登记来访原因、工作单位、出入时间、会见人、目的、有效证件。

第七条第三方人员访问科技公司过程中，必须由接待部门安排专人陪同，不得任其自行走动。

第三方人员在科技公司内活动应当佩戴来宾卡或访问登记单。

第八条对于需要长时间访问科技公司的外部人员应该建立档案，档案应与通行证对应，并签订安全保密协议。

第九条未经科技公司特别许可，第三方人员不得在科技公司内摄影、拍照。

第十条科技公司员工要遵守相关安全保密规定，禁止与第三方人员谈论与其工作无关的内容，对共享给第三方人员的信息应登记。

第十一条如因业务需要须向第三方提供含有科技公司保密信息的文件、资料或实物的，接待人应当在获得相应的批准或授权，并与第三方签订保密协议后再行提供，提供时应开具清单请第三方签收。

第十二条访问活动结束后，应陪送第三方人员离开科技公司，并到前台处注销访问登记并归还来宾卡或访问登记单。

第十三条同科技公司合作的第三方如有人员变动应及时通知科技公司相关部门。

第三方安全管理办法第一章总则第一条为了规范XXX的外部第三方用户在共享科技公司内部信息、或访问科技公司内部信息系统时的行为，保护科技公司网络与信息系统安全，特制定本管理办法，用于内部管理机构对第三方机构和人员进行安全管理。

第二章适用范围第二条本管理办法适用的第三方包括科技公司的产品供应商、代维服务商、合作厂商等，制度的执行和责任由与第三方接触的科技公司相关部门承担。

第三条第三方合作伙伴在涉及到共享科技公司内部信息、或访问企业内部信息系统时，必须遵守本管理办法。

第四条在科技公司网络与信息安全工作中，本管理办法是指导第三方安全管理的基本依据，相关组织和人员必须认真执行本管理办法，并根据工作实际情况，制定并遵守相应的实施细则和操作流程，做好第三方安全管理工作。

第三章来访出入管理第五条第三方人员进入科技公司所属单位及其建筑物，应遵守科技公司相关安保制度。

第六条接待部门应当建立第三方来访预约制度和接待记录制度。

对第三方人员的访问，科技公司前台应进行登记，详细登记来访原因、工作单位、出入时间、会见人、目的、有效证件。

第七条第三方人员访问科技公司过程中，必须由接待部门安排专人陪同，不得任其自行走动。

第三方人员在科技公司内活动应当佩戴来宾卡或访问登记单。

第八条对于需要长时间访问科技公司的外部人员应该建立档案，档案应与通行证对应，并签订安全保密协议。

第九条未经科技公司特别许可，第三方人员不得在科技公司内摄影、拍照。

第十条科技公司员工要遵守相关安全保密规定，禁止与第三方人员谈论与其工作无关的内容，对共享给第三方人员的信息应登记。

第十一条如因业务需要须向第三方提供含有科技公司保密信息的文件、资料或实物的，接待人应当在获得相应的批准或授权，并与第三方签订保密协议后再行提供，提供时应开具清单请第三方签收。

第十二条访问活动结束后，应陪送第三方人员离开科技公司，并到前台处注销访问登记并归还来宾卡或访问登记单。

第十三条同科技公司合作的第三方如有人员变动应及时通知科技公司相关部门。

信息技术管理规定信息技术中心第三方信息安全管理规定第一章总则第一条为有效控制第三方单位及相关人员可能带来的信息安全风险，加强和规范对第三方的信息安全管理，特制定本规定。

第二条本规定适用于本电站信息技术中心部门针对内外部第三方单位及相关人员的信息安全管理。

第三条本规定所述“第三方单位”为本电站提供各种支持服务（包括基础设施、物业安全、系统开发和运维支持等）的所有外部单位。

第二章第三方进入风险识别第四条在第三方与本电站及各单位开展合作前，接口部门需负责对第三方进行调查，必要时可进行资质、人员背景等，并填写“第三方调查表”，或根据本部门有关第三方合作的相关管理规定填写相应表格；也可通过工作联系单或其它方式对第三方人员的真实身份进行确认。

第五条第三方接口部门负责识别第三方进入可能带来的信息安全风险，应特别注意：（一）分析第三方的引入是否适应本电站的业务战略及总体信息安全风险控制目标，以及第三方是否有能力满足本电站对信息安全风险监管的要求；（二）第三方是否允许本电站对其实施有效的信息安全管理的监督和考核；（三）充分审查、评估第三方的财务稳定性和专业经验，对第三方进行风险评估，考查第三方提供的资源和能力是否能够弥补风险发生可能为本电站带来的潜在损失；（四）考虑任何可能存在的集中风险，如几家公司共用一家第三方可能带来的潜在的业务连续性风险。

第六条以下为第三方的类型：（一）基础服务提供商：提供水、电、物业、保洁、安保、监控等服务的单位；（二）网络服务提供商：提供有线、无线或其它形式的通信线路、数据链路及网络服务的单位，例如电信、移动；（三）设备维保服务提供商：提供桌面PC电脑、网络设备、主机、小型机及服务器、打印机、扫描仪、空调等硬件及系统的厂商维护；（四）软件及系统平台维保服务提供商：操作系统、应用套装软件、外购系统平台的厂商维护和问题支持，包括驻场软件开发商，即需要进入本电站场所进行短期或中长期软件开发的软件开发商。

第一章总则第一条为保障第三方数据的安全，防止数据泄露、篡改、损坏等风险，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规，结合公司实际情况，制定本制度。

第二条本制度适用于公司所有第三方数据的收集、存储、使用、处理、传输、销毁等环节。

第三条本制度旨在明确第三方数据安全管理责任，规范第三方数据安全操作流程，确保第三方数据的安全性和合规性。

第二章数据安全责任第四条公司成立数据安全领导小组，负责第三方数据安全工作的组织、协调和监督。

第五条数据安全领导小组职责：1. 制定和完善第三方数据安全管理制度；2. 组织开展第三方数据安全培训和宣传；3. 监督第三方数据安全工作的落实；4. 定期对第三方数据安全进行评估和审计；5. 处理第三方数据安全事件。

第六条各部门负责人对本部门第三方数据安全负有直接责任，应确保本部门工作人员遵守数据安全管理制度。

第七条第三方数据安全操作人员应具备以下责任：1. 严格遵守数据安全管理制度，执行数据安全操作流程；2. 对涉及第三方数据的工作进行保密，不得泄露；3. 及时报告数据安全事件，配合调查处理。

第三章数据分类与分级第八条第三方数据根据重要性、敏感性、涉及范围等因素进行分类和分级。

第九条数据分类：1. 一般数据：包括公司内部资料、公共信息等；2. 重要数据：包括公司商业秘密、客户信息、财务数据等；3. 核心数据：包括公司战略信息、关键技术信息等。

第十条数据分级：1. 保密级：不得对外公开，仅限于公司内部使用；2. 内部级：可以对外公开，但需遵守相关保密规定；3. 公开级：可以对外公开，无需保密。

第四章数据安全操作流程第十一条数据收集1. 收集第三方数据时，应确保数据来源合法、合规；2. 对收集的数据进行分类和分级，并采取相应的安全措施。

第十二条数据存储1. 数据存储应选择安全可靠的存储设备或平台；2. 对存储的数据进行加密，确保数据安全性；3. 定期对存储数据进行备份，并确保备份数据的安全性。

第三方技术服务安全控制管理方案全文共5篇示例，供读者参考第三方技术服务安全控制管理方案篇11、所有建筑工程的施工组织设计（施工方案），都必须有安全技术措施；爆破、吊装、水下、深坑、支模、拆除等大型特殊工程，都要编制单项安全技术方案，否则不得开工2、采用各种安全技术和工业卫生的革新和科研成果，都要经过试验、鉴定和制定相应的安全技术措施，方能使用。

3、采用新的技术、新的.设备时，必须制定相应的安全技术措施。

4、安全技术措施要有针对性，要根据工程特点、施工方法、劳动组织和作业环境等民政部提出，防止一般化。

5、要实行安全技术措施的逐级交底制度。

6、安全技术措施必须在工程施工前编好，如有特殊情况来不及编制完整时，亦必须编制单项的安全施工要求。

7、安全技术措施应针对不同工程的结构特点和不同的施工方法，针对施工场地及周围环境等，从防护上、技术上和管理上提出相应的安全措施。

所有安全技术措施都必须明确、具体，能指导施工。

8、编制的安全技术措施，必须经过上一级技术负责人审查批准后方能执行。

经过批准的安全技术措施，不得随意修改或拒不执行，否则，发生人身事故，要追究其责任；如果由于安全技术措施内容有问题，发生伤亡事故，要追究编制人与审批人的责任。

9、根据需要必须修改已批准的安全技术措施时，应按原编制与审批的分工与程序办理。

第三方技术服务安全控制管理方案篇2为规范项目部特种设备的安全管理，依据国务院颁布的《特种设备安全监察条例》的有关规定，制定本办法。

一、特种设备范围:特种设备是指涉及生命安全、危险性较大气瓶、压力管道、起重机械。

二、负责管理使用特种设备的单位，为我使用单位必须严格按照《条例》和有关安全生产的法律、法规的规定及本办法要求做好特种设备的安全管理和使用等各项工作。

三、有关部门对特种设备进行安全技术监督检查，发现不安全因素及时下发《隐患通知书》，要求使用单位限期整改并有权制止违章作业和违章指挥行为。

四、设备部对特种设备提供政策、法规、资格认证及安全技术方面的'咨询，防止无证和假冒伪劣产品进我项目部。

北京地铁6号线一期工程第三方监测安全管理办法第一条为了加强北京地铁6号线一期工程第三方监测的安全监督管理，保障第三方监测工作安全顺利的开展，制定本办法。

第二条第三方监测单位负责组织监测安全管理办法的实施，并在监测过程中贯彻制定的安全管理目标和方针。

第三条本工程第三方监测安全方针和目标是：1、安全管理的方针是“安全第一，预防为主”；2、不出现安全事故，人员伤亡为零；3、注意人员、仪器设备、数据资料安全，防止交通事故。

第四条建立健全安全管理体系。

第三方监测单位成立以项目负责人为组长，各监测小组组长为安全员的安全管理体系，对整个监测过程的安全负责。

1、项目负责人职责（1）认真贯彻执行国家安全生产条例及劳动保护法规和公司的有关规定，做好项目安全生产工作。

（2）负责组织抓好安全教育。

（3）经常检查作业人员对条例，标准，法规的执行情况，解决生产中不安全因素，提出整改意见和措施。

（4）认真贯彻落实安全生产的规章制度，检查安全操作规程的执行情况，制止违章作业。

（5）定期召开安全会议，解决安全管理中存在的问题，抓好安全管理工作。

（6）负责处理重大安全事故。

（7）负责监测作业安全的奖惩工作。

2、现场监测安全负责人职责（1）负责本项目现场安全工作的落实，组织安全活动，推广安全管理先进经验。

（2）做好现场监测和巡视组人员的安全教育工作，定期进行安全培训，负责班组新成员安全教育，强化职工的安全意识，做好新员工上岗前的三级教育。

（3）进行定期和不定期的安全检查。

每次现场监测时督促各个监测组进行自查，并负责组织开展班前安全交底及自检活动，做好安全自检记录。

（4）负责安全设施的管理和维修保养工作，督促检查组员正确使用安全防护用品。

（5）进行道路监测作业时，负责按《道路交通安全规定》的相关要求执行，确保人员、设备安全。

（6）建立安全资料档案制度，做好各类安全报表，台帐的整理与保管工作。

（7）发生伤亡事故应及时负责伤亡救护，保护好事故现场并立即向上级和有关部门汇报，与上级有关部门一起参加事故调查，做好善后工作，落实防范措施。

目录第一章总则 (1)第二章组织与职责 (1)第三章第三方组件选用及入网安全管理 (2)第四章第三方组件登记及版本管理 (4)第五章第三方组件基础安全功能及配置要求 (5)第六章附则 (6)附件1XXXX系统第三方组件选用申请表 (7)附件2XXXX系统第三方组件登记表 (8)附件3XXXX系统第三方组件测试记录 (9)附件4：XXXX系统第三方组件文件清单 (11)附件5：XXXX系统第三方组件端口服务清单 (12)附件6：XXXX系统第三方组件帐号权限清单 (13)附件7XXXX系统第三方组件版本更新记录表 (14)第一章总则第一条为了规范公司应用系统对第三方组件的安全使用，降低引入第三方组件给应用系统带来的信息安全风险，特制定本管理办法。

第二条本办法所称应用系统包括但不限于通信网、业务平台、支撑系统等涉及的应用系统。

第三条本办法适用于公司各部门、省客户服务中心、各市分公司（以下简称：各单位）。

第四条本办法所称的第三方组件指在应用开发过程中所引入的第三方的代码、控件、组件、库文件与应用产品等。

应用服务器、数据库、中间件与操作系统不在本办法所称的第三方组件范畴内。

常见的第三方组件包括:(一)开发过程引入的开源或非开源库文件，如Java的jar文件等等：(二)非开发方自身开发的内容管理系统、论坛、博客等应用，如Discuz等等；(三)公开的开发框架，如Struts、Spring、Hibernate等等。

第二章组织与职责第五条系统建设部门：指提出系统开发/建设需求的单位，其主要职责包括：(一)对第三方组件使用进行入网测试、入网登记；(二)对使用第三方组件的系统进行安全测试；(三)督促系统开发人员/厂商落实第三方组件安全管理要求；(四)向采购部门提出合同中需明确的第三方组件安全管理要求；(五)向采购部门提出合同中需明确的系统集成/开发商以及设备提供商对第三方组件信息安全责任及后续服务的要求。

第六条系统运维部门：指具体负责系统安全管理、运维工作的单位，其主要职责包括：(一)对系统中的第三方组件使用情况进行登记、版本管理、报备；(二)定期对系统中的第三方组件进行安全检查、评估和加固；第三章第三方组件选用及入网安全管理第七条系统建设部门应在系统需求以及开发建设技术规范中明确第三方组件选用的基础安全要求；第八条系统建设部门应在系统建设和维护服务等合同中明确提出：承担公司工程建设项目的集成/开发商或者提供维保服务的厂商，对其引入/使用的第三方组件应承担的信息安全责任及后续服务要求，系统开发商和相关服务提供商至少应履行以下义务和职责：(一)应有第三方组件的原作者或厂商授权,出现专利纠纷或侵权使用等责任问题时由系统开发商负责。