腾讯外包员工信息安全管理规范

1、腾讯控股集团管理标准GL/YY 001-2013V1.0-L1外包员工信息安全管理规范2013-1-4发布2013-1-4实施腾讯控股集团发布前 言本规范系公司第一次发布，为规范公司外包员工合理使用公司信息系统资源，制定外包员工信息安全管理措施提供依据，特制定本规范。本标准由企业 IT 部和安全平台部负责起草、解释,自发布之日起实施。本标准主要起草人： wilsonwang(王森);chanche(车世华 );veeqihe（何林如） ;本标准主要审核人： robynliu(刘若潇 ); coolcyang(杨勇)本标准批准人： ponyma（马化腾） ;Charles(陈一丹 );ls(卢山

2、);leon(郭凯天)本标准首次发布日期：2013 年 1 月 4 日本标准适用范围：全公司目的本管理规范专为腾讯的外包员工设立，主要为了建立完善的外包员工信息安全管理制度， 明确外包员工在场和离场需遵守的规范，包括但不限于： 机器使用规范、帐号使用规范、场外接入规范、离场规范等。适用范围本管理规范适用全公司范围内所有外包员工。相关定义劳务派遣单位与劳动者建立劳动关系后，按照与用工单位订立的派遣协议将 劳动者派到用工单位劳动， 这类劳动者称之为外包员工： 即企业将其非核心的业务外包出去， 利用外部优秀专业团队承接业务， 从而使其专注核心业务， 达到降低成本、提高效率、 增强企业核心竞争力和对环

3、境应变能力的目的， 这类服务外包及项目外包的员工统称为外包员工。腾讯集团域：因投资并购等原因与腾讯构成合作关系的法人企业。在场外包员工：外包员工在腾讯公司自有或租用办公环境内进行办公的称为在场外包员工。场外外包员工：外包员工在腾讯公司自有或租用办公环境外进行办公的称为场外外包员工。腾讯公司办公内网主要包括三类：办公网 、开发网、 体验网，使用原则是“专网专用，专机专用”，相关定义如下：办公网：从事日常办公行为，如公文处理、访问内部OA 系统、访问授信互联网网站、使用RTX、使用 Tencent 域收发邮件等。开发网：从事软件开发、测试等研发行为，如访问SVN 代码管理系统、使用开发环境编写代码

4、、对代码进行测试、访问运维接入平台等。体验网：从事外部互联网产品体验行为，比如访问非授信互联网网站、访问非腾讯公司业务等。在场外包员工信息安全管理责任人外包员工在场办公必须使用腾讯公司提供的办公和开发主机。外包员工本人对所使用的办公、开发主机和外包帐号负直接责任，应尽到保全资产完整性以及合理使用帐号的义务。管理外包员工的腾讯员工对外包员工使用的办公、开发主机和外包帐号负管理责任。办公主机使用管理外包员工通过办公或开发机接入腾讯公司内部网络进行工作，须遵守公司办公PC使用管理规范（见附录 A）和防止办公网内高危行为管理办法 （见附录 B）。外包员工使用的办公或开发机必须满足以下要求，才允许接入腾

5、讯内部办公或开发网：必须安装腾讯指定的标准化操作系统；安装腾讯指定办公安全接入软件；安装腾讯指定的防病毒软件和办公安全接入软件。严禁办公或开发机在接入内网的同时接入其他网络，包括但不限于： 1） 使用双网卡，在连接内网的同时连接其他网络；在连接内网的同时，使用GPRS 或 3G；在连接内网的同时，使用拨号或专线的方式连接到公司外部网络。外包员工必须使用开发机接入开发网访问腾讯内部研发资料。禁止外包员工在办公和开发主机中安装任何类型的扫描、窃听或攻击性质的应用程序。帐号和访问权限管理内网信息系统分级规定：安全信息系统级别RTX、内部邮件系统、互联网一级基础 OA 应用系统（见附录C）源代码管理系

6、统、文档系统、项目管理系统、业二级务管理系统三级VPN、跳板机、 IDC 生产系统外包员工默认使用腾讯集团域办公帐号，若有特殊需求，可申请腾讯公司内部帐号：以小写v 开头，后跟下划线 _和英文 ID，如 v_waibao。外包员工帐号须唯一对应一个外包员工，禁止外包员工共用帐号。外包员工帐号默认不具有内网信息系统访问权限，根据实际工作需要可申请一级和二级信息系统访问权限，申请方式如下：源代码管理系统，权限申请链接： HYPERLINK /workflow/home /workflow/home；业务管理系统，权限申请链接： HYPERLINK / / ；其它系统，需用人部门经理同意，并通过邮件

7、向IT负责人申请开通，邮件申请格式参照外包员工访问内网系统权限申请表（见附录 D）。禁止外包员工使用开发电脑访问互联网。禁止外包员工访问三级信息系统。外包员工进出腾讯公司IDC 机房，须由腾讯公司员工陪同，其它要求参照腾讯 IDC 出入管理规范（见附录 E）。信息使用管理外包员工禁止以任何形式对腾讯公司敏感信息进行未授权访问和处理。禁止对敏感信息做如下处理： 1）非工作缘由将敏感信息携带出腾讯公司； 2）向非腾讯公司授权方公布敏感信息； 3）未授权浏览、篡改敏感信息。敏感信息包括： 1）源代码信息，包括但不限于：开发测试代码、已发布产品代码、已下架产品代码等；未发布产品信息，包括但不限于：产品

8、属性、界面UI、功能和使用说明等；用户数据，包括但不限于：用户个人资料、产品使用记录等；人事信息，包括但不限于：薪酬、组织架构、职级等。场外外包员工信息安全管理原则上要求所有外包工在腾讯公司提供的职场环境内办公，默认不开放外网接入腾讯公司内网系统进行办公的权限。如因实际工作需要， 需从外网环境接入腾讯内网，必须经企业IT 部与安全平台部联合评审，由涉及的业务负责方通过邮件发起评审，邮件申请格式参照场外办公环境接入腾讯内网申请表（见附录 F） 。对场外办公的外包员工开放的内网系统，需与其它内网系统实施隔离措施， 隔离方案由企业IT 部与安全平台部制定。对场外办公的外包员工开放的内网系统，不得对外

9、提供如下信息： 1）腾讯内部的开发测试代码和IDC 运营系统数据。2）腾讯内部服务器运维操作权限。外包员工离场管理外包员工离场前须配合腾讯公司完成文档、代码下载检查和访问权限回收工作。外包员工离场流程、 门禁使用等参照 外包员工入场离场管理规范 （见附录G）。外包员工违规处罚在场外包员工须遵守公司员工行为准则（见附录 H）和员工奖惩制度（见附录 I），若发现有违反本规范或触及高压线等行为者， 停止此外包员工相关工作，退回到外包公司， 由外包公司根据商务合同进行处理， 并保留追究相关外包员工法律责任的权利。管理外包员工的腾讯员工对外包员工的行为负管理责任。附录附录 A（规范性附录）：办公PC使用

10、管理规范附录 B（规范性附录）：防止办公网内高危行为管理办法附录 C（规范性附录）：基础OA 应用系统附录 D（规范性附录）：外包员工访问内网系统权限申请表附录 E（规范性附录）：腾讯IDC出入管理规范附录 F（规范性附录）：场外办公环境接入腾讯内网申请表附录 G（规范性附录）：外包员工入场离场管理规范附录 H（规范性附录）：员工行为准则附录 I（规范性附录）：员工奖惩制度附录 A（规范性附录）办公 PC 使用管理规范办公PC使用管理规范.doc附录 B（规范性附录）防止办公网内高危行为管理办法防止办公网内高危行为管理办法 .doc附录 C（规范性附录）基础 OA 应用系统基础 OA 应用系统

11、链接地址OA 首页 HYPERLINK / token 平台HR 首页内部论坛考核系统个人工作台招聘首页8000 首页8000.供应链系统S流程门户网站O安全确认平台()电话会议系统M腾讯安全运营平台HR 报表系统费用管理系统公司发文内部申诉系统QQ 安全平台QQ 安全中心vpn 申请跳转页面合同管理系统K2 平台员工成长与发展营销活动管理系统财经服务平台流程维度维护 附录 D（规范性附录）外包员工访问内网系统权限申请表发件人 : 管理外包员工的腾讯员工收件人 : 8000抄送 : 外包用人方Leader主题 : 【申请 OA 权限】内容格式：申请内容：需访问的系统名称和URL。申请原因：使用系统的用途和原因描述清晰。其它：申请使用的有效期等。附录 E（规范性附录）腾讯 IDC 出入管理规范腾讯IDC出入管理规范.ppt附录 F（规范性附录）场外办公环境接入腾讯内网申请表发件人 : 管理外包员工的腾讯员工收件人 : 企业 IT 部和安全平台部安全评估接口人抄送 : 外包用人方Leader 、管理外包员工的腾讯员工leader主题 : 【XX 场外办公环节接入腾讯内网申请】内容格式：申请内容：需访问的资源名称或URL。申请原因：使用系统的用途和原因描述清晰。其它：申请使用的有效期等。附录 G（规范性附录）外包员工入场离场管理规范外包员工入场离场管理规范.docx附录 H（规范性附录