第三方和外包人員安全管理(信息化)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上第三方和外包人員安全管理制度第一條 第三方和外包人員安全管理包括外部人員分類及管理責(zé)任、基本安全、賬戶管理、計(jì)算機(jī)設(shè)備接入管理、遠(yuǎn)程訪問管理、IT外部人員特別規(guī)定以及違規(guī)處罰。第二條 外部人員須填寫外部人員信息安全承諾書（附件十）。第三條 外部人員分類及管理責(zé)任： （一）外部人員分為如下四類：（1）貴賓外部人員：指由上級(jí)領(lǐng)導(dǎo)或本機(jī)構(gòu)領(lǐng)導(dǎo)直接陪同或委派專人陪同，在本機(jī)構(gòu)信息技術(shù)部安全區(qū)域內(nèi)進(jìn)行活動(dòng)的外部人員；（2）臨時(shí)外部人員：指由于業(yè)務(wù)關(guān)系、行政關(guān)系或其他特殊原因，在本機(jī)構(gòu)安全區(qū)域內(nèi)進(jìn)行活動(dòng)，且活動(dòng)時(shí)間不超過一天的外部人員；（3）短期外部人員：指由于業(yè)務(wù)關(guān)系、行政關(guān)系

2、或其他特殊原因，在本機(jī)構(gòu)信息技術(shù)部安全區(qū)域內(nèi)進(jìn)行活動(dòng)，且活動(dòng)時(shí)間在一周以上、三個(gè)月以內(nèi)的外部人員；（4）長期外部人員：指由于業(yè)務(wù)關(guān)系、行政關(guān)系或其他特殊原因，在本機(jī)構(gòu)安全區(qū)域內(nèi)進(jìn)行活動(dòng)，且活動(dòng)時(shí)間在三個(gè)月以上的外部人員。（二）外部人員的信息安全管理實(shí)行“誰接待，誰負(fù)責(zé)；誰引入，誰負(fù)責(zé)”的原則。對口部門或?qū)谌藛T負(fù)責(zé)監(jiān)督、管理外部人員在本機(jī)構(gòu)工作或訪問期間的一切行為，并對其所對口的外部人員的行為、影響和后果負(fù)有全部責(zé)任。（三）信息技術(shù)部指派專門人員對進(jìn)入安全區(qū)域的外部人員進(jìn)行身份確認(rèn)與登記。（四）對于在安全區(qū)域內(nèi)活動(dòng)的長期外部人員，如需對其進(jìn)行考勤，則由對口部門向信息技術(shù)部提出申請，由信息技術(shù)部

3、統(tǒng)一進(jìn)行考勤工作。第四條 基本安全： （一）所有外部人員必須遵守本機(jī)構(gòu)發(fā)布的與信息科技風(fēng)險(xiǎn)管理和信息安全相關(guān)的方針策略、實(shí)施規(guī)范、管理辦法等。（二）貴賓外部人員由對口部門或?qū)谌藛T確定其能訪問的物理安全區(qū)域；臨時(shí)外部人員人員僅允許訪問一級(jí)物理安全區(qū)域；短期外部和長期外部人員經(jīng)過審批后，可以允許其訪問二級(jí)及以上安全區(qū)域；所有外部人員進(jìn)入三級(jí)及以上安全區(qū)域須本機(jī)構(gòu)信息技術(shù)部員工全程陪同。（三）外部人員在本機(jī)構(gòu)工作期間，必須遵守本機(jī)構(gòu)的工作人員信息安全守則，未經(jīng)許可，外部人員不允許訪問本機(jī)構(gòu)信息處理設(shè)施；外部人員因工作需要使用本機(jī)構(gòu)相關(guān)文檔資料，需根據(jù)文檔的敏感性級(jí)別由相關(guān)責(zé)任部門進(jìn)行審批并登記備案

4、，所借文檔資料未經(jīng)許可不得復(fù)印。（四）短期外部人員和長期外部人員，以及工作中涉及到本機(jī)構(gòu)專有和保密信息的其它外部人員，需與本機(jī)構(gòu)簽署保密協(xié)議后才能開始工作。人力資源部負(fù)責(zé)外部人員保密協(xié)議的簽署與保管。（五）對于送水、送快遞、送設(shè)備等臨時(shí)送貨人員，只能在指定的場所交接貨物，安全保衛(wèi)人員要對其行為進(jìn)行全程監(jiān)督。（六）本機(jī)構(gòu)保留隨時(shí)對外部人員的信息安全狀況進(jìn)行檢查的權(quán)利，外部人員必須給予配合和協(xié)助。第五條 賬戶管理： （一）貴賓外部人員由對口部門或?qū)谌藛T確定是否為其開通OA賬號(hào)和登陸內(nèi)網(wǎng)；臨時(shí)外部人員不允許開通OA賬號(hào)和登陸內(nèi)網(wǎng)；短期和長期外部人員如需開通OA賬號(hào)登陸內(nèi)網(wǎng)，需要單獨(dú)申請，并報(bào)信息技

5、術(shù)部負(fù)責(zé)人審批。（二）外部人員為完成其工作，需要對本機(jī)構(gòu)信息系統(tǒng)進(jìn)行臨時(shí)訪問（訪問時(shí)間不超過一天），由信息技術(shù)部員工在本機(jī)構(gòu)管理的設(shè)備上，輸入滿足其工作需要的最小權(quán)限用戶的用戶登錄信息，來獲得臨時(shí)性登錄權(quán)限，并全程負(fù)責(zé)檢查監(jiān)督其對該帳戶的使用情況。（三）外部人員為完成其工作，需要對本機(jī)構(gòu)信息系統(tǒng)進(jìn)行短期訪問（訪問時(shí)間超過一天，不超過三個(gè)月），由信息技術(shù)部員工為其申請相應(yīng)環(huán)境和相應(yīng)時(shí)間的短期賬戶，并全程負(fù)責(zé)檢查監(jiān)督其對該帳戶的使用情況。（四）外部人員為完成其工作，需要對本機(jī)構(gòu)信息系統(tǒng)進(jìn)行長期訪問（訪問時(shí)間超過三個(gè)月），由信息技術(shù)部員工為其申請相應(yīng)環(huán)境和相應(yīng)時(shí)間的長期賬戶，并定期檢查監(jiān)督其對該賬戶

6、的使用情況。（五）外部人員在使用完賬戶后，需通知信息技術(shù)部。信息技術(shù)部相應(yīng)崗位人員須立即斷開該外部人員的全部系統(tǒng)連接，并確認(rèn)刪除該外部人員所屬的全部賬戶。第六條 計(jì)算機(jī)設(shè)備接入管理： （一）臨時(shí)外部人員的計(jì)算機(jī)設(shè)備不允許接入本機(jī)構(gòu)網(wǎng)絡(luò)，不允許通過本網(wǎng)絡(luò)設(shè)備登陸互聯(lián)網(wǎng)；貴賓外部人員、短期外部人員和長期外部人員的計(jì)算機(jī)設(shè)備如需接入本機(jī)構(gòu)網(wǎng)絡(luò)，或通過本機(jī)構(gòu)網(wǎng)絡(luò)設(shè)備登陸互聯(lián)網(wǎng)，須由信息技術(shù)部負(fù)責(zé)人審批。（二）在沒有得到授權(quán)的情況下，外部人員的計(jì)算機(jī)設(shè)備不得接入本機(jī)構(gòu)任何安全域的網(wǎng)絡(luò)端口。外部人員的計(jì)算機(jī)設(shè)備如果需要接入本機(jī)構(gòu)網(wǎng)絡(luò)，須向信息技術(shù)部提出申請，經(jīng)批準(zhǔn)后使用專門的網(wǎng)段進(jìn)行接入。（三）外部人員的

7、計(jì)算機(jī)設(shè)備接入前，必須安裝本機(jī)構(gòu)規(guī)定的安全控制軟件、系統(tǒng)安全補(bǔ)丁和防病毒軟件，及時(shí)升級(jí)病毒庫，并進(jìn)行病毒掃描。第七條 遠(yuǎn)程訪問管理： （一）外部人員為完成其工作，需要通過遠(yuǎn)程方式訪問到本機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)或設(shè)備，必須事先制定工作計(jì)劃與工作方案，報(bào)對口部門和信息技術(shù)部負(fù)責(zé)人審批通過后，才能允許進(jìn)行遠(yuǎn)程訪問。（二）外部人員進(jìn)行遠(yuǎn)程訪問時(shí)，必須嚴(yán)格按照審批通過后的工作計(jì)劃與工作方案進(jìn)行工作，對口部門或?qū)谌藛T負(fù)責(zé)檢查監(jiān)督其工作。第八條 IT外部人員特別規(guī)定： （一）IT外部人員是指從事IT相關(guān)工作的本機(jī)構(gòu)外部人員。進(jìn)入本機(jī)構(gòu)工作的IT外部人員除了要遵守以上所有規(guī)定外，還應(yīng)當(dāng)符合下列規(guī)定：（1）當(dāng)IT外部人

8、員進(jìn)入生產(chǎn)系統(tǒng)進(jìn)行系統(tǒng)安裝、測試時(shí)，必須信息技術(shù)部相關(guān)人員全程陪同并進(jìn)行監(jiān)督。其使用過的賬號(hào)，必須在安裝、測試工作完成后進(jìn)行刪除或進(jìn)行口令變更；（2）當(dāng)IT外部人員所涉及的系統(tǒng)含有敏感數(shù)據(jù)時(shí)，需要由信息技術(shù)部相關(guān)人員進(jìn)行脫敏，并采取必要的控制措施；（3）開發(fā)、測試和檢查過程中產(chǎn)生或獲取的數(shù)據(jù)與資料，未經(jīng)授權(quán)不得帶出現(xiàn)場；（4）進(jìn)入機(jī)房及其他生產(chǎn)測試環(huán)境的IT外部人員，應(yīng)遵守本機(jī)構(gòu)有關(guān)機(jī)房管理及辦公場所的有關(guān)規(guī)定，禁止吸煙，符合用電及消防要求；（5）未經(jīng)授權(quán)，IT外部人員不得使用本機(jī)構(gòu)的信息資產(chǎn)，不得對本機(jī)構(gòu)的網(wǎng)絡(luò)進(jìn)行漏洞掃描和滲透測試，不得把移動(dòng)介質(zhì)帶入機(jī)房及其他生產(chǎn)測試環(huán)境；（6）IT外部人員不得利用工作之便，私自搜集、復(fù)制、傳播、泄露本機(jī)構(gòu)敏感信息。第九條 違規(guī)處罰： （1）外部人員如違反本機(jī)構(gòu)信息安全有關(guān)規(guī)定，須對其進(jìn)行處罰，相關(guān)處罰方法遵照本機(jī)構(gòu)人力資源部的有關(guān)規(guī)定執(zhí)行。（2）對于違規(guī)情節(jié)特別嚴(yán)重的