网络与信息安全责任条款甲方：乙方：本条款适用于与甲方开展合作运营的乙方。本条款所称“保密信息”是指：甲方网络与业务发展情况、网络拓扑、设备信息、系统帐号、用户数据和信息等。包括但不限于：任何甲方不欲公开的观点、发现、发明、公式、程序、计划、图表、模型、参数、数据、标准和专有技术秘密，和/或其中的任何知识产权。1. 乙方应设立专职安全管理机构或人员，严格落实信息安全责任，建立日常安全运维、检查制度，确保不发生信息泄密、重大安全漏洞。2. 对因合作运营需在甲方现场长期派驻人员的情况，乙方应在派驻现场设立专职信息安全管理人员，负责开展派驻现场的安全管理工作；指导和监督派驻现场人员的信息安全，确保不发生违规行为；接受甲方的监督和考核等。信息安全管理人员发生变更时，乙方应在变更前1周内将有关变更信息报送甲方对口主管部门。3. 对因合作运营而能接触到甲方保密信息的乙方员工，乙方应与其签订保密协议，明确其保密责任以及违约罚则，并定期对其进行信息安全意识教育和安全培训。4. 乙方应严格遵守甲方相关信息安全管理制度和要求以及中国移动客户服务“五条禁令”要求和规定。5. 对于在甲方现场长期派驻的乙方人员转岗或离岗前，乙方需向甲方对口主管部门提交人员转岗或离岗申请，由甲方对口主管部门牵头完成乙方人员帐号回收并签署转岗或离岗审批意见后，乙方人员方可正式转岗或离岗。6. 对因合作运营需进入甲方生产区域或登录甲方系统进行操作的情况，乙方应严格遵守甲方相关信息安全管理制度和要求。7. 对因合作运营引入的由乙方建设和维护的系统，乙方应加强对业务系统或应用软件的管理：1） 对能接触到客户信息的系统，原则上，乙方应将该系统开发文档提交甲方对口主管部门留档，文档应注明分发范围，并要求开发人员、测试人员、项目管理人员严格遵守分发控制要求。2） 乙方应落实对系统的软件版本管理工作，并主动在上线前向甲方对口主管部门提交其源代码或代码审计报告，由甲方对口主管部门进行备案存档。3） 乙方应对业务系统或应用软件源代码进行妥善保管，严格控制访问权限，避免代码泄漏。8. 对于因合作运营引入的由乙方建设和维护的业务系统，乙方应加强对业务系统的安全管理：1） 乙方应在系统规划、建设及运行等阶段，结合系统面临的安全风险和业务管理、系统维护的实际需要同步落实相应的安全防护措施，确保满足甲方的相关安全要求。可以采取的安全防护措施包括但不限于：对系统进行安全域划分、关闭不必要的服务与端口、设置严格的访问控制策略、安装防病毒软件、安装安全补丁、落实对系统的安全配置、删除多余的帐号、完善系统日志记录等。2） 乙方系统应具备详细记录各类系统日志的功能，所记录日志应包含但不限于系统配置变更、文件属性变更、用户属性变更、系统启动和关闭、系统特权指令的使用等，日志保存期限不少于6个月。3） 乙方应在系统入网前对系统进行必要的安全评估和安全测试，确保系统符合甲方的相关安全要求。4） 乙方应对系统中涉及的所有系统信息、客户信息、操作日志等进行妥善保管，未经甲方对口主管部门许可不得进行增、删、改等操作。5） 乙方应在系统发生重大变更前进行必要的安全评估，并提交甲方对口主管部门审批。重大变更包括但不限于：增加新的业务/应用或业务/应用发生较大变更；网络结构发生较大变更；技术平台大规模的更新；软件版本、硬件平台发生变更；系统扩容或改造后进行；发生重大安全事件后，或基于某些运行记录怀疑将发生重大安全事件，及时修补发现的安全漏洞以及配置不符合项；相关关联系统发生较大变更等。6） 乙方应定期清查盘点与甲方开展合作运营的系统中的设备情况，及时清理退服设备。7） 乙方应在系统退网前对系统中的运营数据及时进行清除，并报甲方对口主管部门进行确认。9. 乙方应确保有足够的资源来保障信息安全工作的执行，对信息安全管理中存在的不足应及时采取适当的措施予以改进。10. 对因合作运营引入的由乙方建设和维护的系统，乙方应定期对系统进行日常例行安全审核和操作日志审核： 1） 日常例行安全审核是指乙方对所负责运营维护的系统进行常规性的安全审核，包括但不限于系统日志审核、漏洞扫描、基线审核、终端审核等。2） 操作日志审核是指乙方通过对其系统中操作日志与工单等原始凭证的比对，分析查找可能存在的违规行为。11. 乙方应对日常例行安全审核和操作日志审核工作制定审核计划，明确审核要点和实施方案，并上报对口主管部门批准。 12. 对于因乙方原因导致的责任性信息安全事件，甲方有权对乙方追究责任并采取相应惩处措施。惩处措施包括但不限于：通报、依据合同进行考核、解除合同关系、司法诉讼等。