第一章 总 则

第一条       为加强学校信息技术外包服务管理，《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等国家、省、市有关法规政策和学校管理制度，结合学校实际，特制定本制度。

第二条       本制度所称信息技术外包服务（以下简称“外包服务”）是指学校以签订合同的方式委托校外专业机构为学校提供的有关网络及信息系统建设和运维技术服务，包含但不限于：网络及机房设施建设与运维、软硬件建设与运维、数据治理及安全保障等。外包服务项目的建设与管理依据《江苏大学信息化建设管理规定》执行。

第三条       学校外包服务管理实行“谁主管谁负责、谁建设谁负责、谁运行谁负责、谁使用谁负责”。江苏大学网络安全和信息化领导小组（简称校网信领导小组）领导、统筹协调全校外包服务管理工作。数据与信息化处是学校外包服务的归口管理部门，负责指导、协调、检查和监督各项外包服务。外包服务项目的建设或使用职能部门、直属单位和各教学科研单位（以下简称“使用单位”）是该外包服务管理的责任主体，负责外包服务日常管理工作并承担相应的网络安全责任，不得将相应的网络安全责任外包。外包服务提供方（以下简称“外包公司”）对外包服务合同期的服务资源（账户、配置等）、服务过程、服务内容（数据）及其网络安全负责。涉密内容外包服务的管理由学校保密办根据相关要求另行规定。

第二章 管理人员配置

第四条       数据与信息化处配备专人负责外包服务的管理工作，包括但不限于指导使用单位开展外包服务信息备案、开展外包服务设施安全检查、监督外包服务安全问题整改等，对外包服务进行安全监督、评估和审计。

第五条       使用单位须落实专人（以下简称“项目主管”）具体负责对应外包服务的日常管理工作，包括但不限于外包服务的报批审核、合同签订、内容实施、驻场或线上服务人员管理、信息更新、问题整改、监督检查和服务评价考核等。

第三章 外包公司管理

第六条       外包公司应具备但不限于以下条件：中华人民共和国境内注册（不含港澳台地区）、具有良好的社会信誉及信息技术服务资质、外包服务未曾发生过网络与信息安全事件、信息安全管理体系运行良好并具备保障信息技术服务实施的技术、财务等能力。

第七条       外包公司须在外包服务合同生效前与学校签订《江苏大学信息化项目保密承诺书》。协议交由数据与信息化处留存一份，并由数据与信息化处监督执行。

第八条       外包公司应严格履约，不得擅自将服务内容分包、转包，外包公司应认真制订和完善的外包服务方案和网络安全保障方案，明确信息处理的权限与边界控制、以及知识产权归属等。

第九条       外包公司应加强项目管理和信息沟通，一旦发生企业或外包服务方案变动、或发现服务对象及内容存有网络与信息安全问题隐患，须及时向校方报告并做好妥善处理，不得影响外包服务质量或其他业务的开展。

第十条    外包公司应加强外包服务人员的日常管理与培训，不断提升外包服务人员安全意识、职业品行、以及履职尽职的能力，避免因外包服务人员变动、技能不足等影响服务质量和网络安全问题发生。

第四章 外包服务人员管理

第十一条      外包公司提供外包服务前，必须安排专门的外包服务人员。外包服务人员应持有相关的专业技术技能培训证书、具备较强的网络与信息安全意识、满足拟承担项目要求的IT技术与管理水平，且与外包公司签署有长期劳动合同、网络与信息安全相关的保密协议。

第十二条      外包服务人员开设账户访问系统需提交《临时运维账号申请》，数据与信息化处审批后由专人开设账户、分配权限、并登记备案，服务结束后应及时清除其所有的访问权限。

第十三条      从事线上服务的外包服务人员，使用单位应按最小权限及实名制原则分配相应账号及所需权限。每次服务前，外包服务人员须与使用单位协商，在征得同意后方可按操作流程实施，且操作日志留存不得少于6个月。在重要安全区域或重要安全时期，线上外包服务将根据风险情况进行严格限制。

第十四条      从事驻场服务的外包服务人员，使用单位应妥善安排驻场工作条件，按最小权限及实名制原则分配现场服务用账号及所需权限。外包服务人员须严格遵守学校及驻场地的规章制度和外包服务约定时间，不得利用驻场条件开展与外包服务无关的活动。

第十五条      外包服务人员在离职、调离和更换时，外包公司须提前2周向学校使用单位和数据与信息化处报备，按第十一条要求安排新的外包服务人员到岗，并于1周内完成所有的工作交接手续。

第十六条      外包服务人员在学校以往的服务项目中出现过重大的安全违规事件，该人员不得再继续为学校提供服务。

第五章 第三方系统安全管理

第十七条      第三方系统需与内部系统互联时，应经数据与信息化处审核通过后进行连接。

第十八条      第三方系统在入网前必须通过安全评估和安全测试，确保第三方系统符合内部系统安全技术要求。

第十九条      外包公司应妥善保存第三方系统所有系统信息、客户信息、操作日志等，保存期限不少于6个月。

第六章 第三方终端安全管理

第二十条      第三方终端如需接入学校网络或服务器，其终端应符合下述要求：

（一）必须安装病毒库更新至最新的杀毒软件，且终端经查杀后，没有病毒。

（二）必须将系统补丁更新至最新。

（三）除业务需要，不得安装任何漏洞扫描软件或手工对学校网络进行探测。

（四）不得安装任何监控软件对学校网络数据进行捕捉和分析。

第二十一条  第三方终端需与内部系统互联时，应经数据与信息化处审核通过后进行连接。数据与信息化处应对第三方终端进行安全审核、检查。

第六章 检查和监督

第二十二条     数据与信息化处应定期检查外包服务涉及的网络链路、安全设备、网络设备和服务器等的运行状况，审查外包服务涉及的安全策略、审计数据、恶意代码、补丁升级等安全相关事项的工作情况。

第二十三条     数据与信息化处根据不同时期及重大活动阶段，依据网络安全关注重点对外包服务进行专项的信息安全检查和审查，确保外包服务的可用性和数据的可靠性。

第二十四条     外包公司及其外包服务人员须严格履行服务职责、网络与信息安全职责。如因外包公司、外包服务人员等因素造成的服务问题、网络与信息安全问题、网络安全事故或经济损失，应承担相应责任，构成犯罪的，由司法机关依法处理。

第七章 附则

第二十五条     本制度由数据与信息化处负责解释，自发布之日起施行。

数据与信息化处（中心）

二〇二四年十月九日