第三方人员对敏感的信息资产进行访问的安全控制

　　信息安全主管组织专人对第三方人员做以下管控：

　　（1）第三方人员需要对敏感的信息资产进行访问时，必须签订保密协议或正式的合同；

　　（2）合同中有关的安全要求必须符合公司信息系统安全的总体策略；

　　（3）外包活动应签订正式的合同，合同中应明确外包方的安全责任和必须遵守的安全要求。

　　供应商协议中的安全

　　在供应商提供服务前，必须签署合同作双方项目约束文件，合同签订前必须确认外包软件开发商、外包运维服务商提供的资质证明合同中应包含保密条款和与安全相关内容，以确保和供应商双方在履行相关信息安全要求的义务上不存在误解。保密、安全条款应包含以下内容：

　　（1）软件开发外包、运维外包中的一切活动必须符合第三方访问的安全要求；

　　（2）与软件开发单位签订协议，明确知识产权的归属和安全方面的要求以及软件开发单位的保密责任和保密义务。

　　（3）必须对外包软件完成的质量和功能的满足性进行审计检查；

　　（4）由于系统、软件的局限性，预定的控制措施无法实现时，合同中要明确采用可接受的取代方案，并对外包软件开发商的访问过程进行审计；

　　（5）在软件安装之前检测软件质量、检测软件包中可能存在的恶意代码。要求开发单位提供技术培训和服务承诺；提供软件设计的相关文档和使用手册。

　　（6）合同的纠纷处理过程：

　　合同履行过程中发生争议时，双方应本着诚实信用原则，通过友好协商解决。若争议经协商仍无法解决的，按以下方式处理：

　　i.仲裁：提交中国国际经济贸易仲裁委员会按照申请仲裁时该仲裁机构有效的仲裁规则进行仲裁。仲裁地为甲方所在地，但仲裁裁双方均有约束力。

　　ii. 诉讼：向甲方所在地人民法院提起诉讼。