單位網(wǎng)絡(luò)外部人員訪問(wèn)管理制度規(guī)定模板

XXX外部人員訪問(wèn)管理制度一、目的為加強(qiáng)XXX內(nèi)部安全保衛(wèi)工作，提高工作人員的安全防范意識(shí)，防止各類(lèi)事故發(fā)生，確保資產(chǎn)的安全，特制定本制度。二、范圍本文檔適用于XXX所有納入到信息安全管理范圍的相關(guān)部門(mén)和個(gè)人。三、職責(zé)各部門(mén)主管按照本制度外部人員訪問(wèn)不同區(qū)域進(jìn)行流程化管理，杜絕非法訪問(wèn)無(wú)過(guò)程無(wú)審批的情況。四、識(shí)別與外部機(jī)構(gòu)相關(guān)的風(fēng)險(xiǎn)(一)外部訪問(wèn)的風(fēng)險(xiǎn)識(shí)別對(duì)外部機(jī)構(gòu)的安全訪問(wèn)各部門(mén)自行負(fù)責(zé)（具體工作由部門(mén)負(fù)責(zé)人指派）。當(dāng)允許外部機(jī)構(gòu)訪問(wèn)XXX的信息處理設(shè)施或信息時(shí)，將實(shí)施風(fēng)險(xiǎn)評(píng)估并特別關(guān)注以下方面：1.外部機(jī)構(gòu)需要訪問(wèn)的信息處理設(shè)施；2.外部機(jī)構(gòu)對(duì)信息和信息處理設(shè)施的訪問(wèn)類(lèi)型，例如：(1)物理訪問(wèn)，例如進(jìn)入辦公室，計(jì)算機(jī)機(jī)房；(2)邏輯訪問(wèn)，例如訪問(wèn)公司的數(shù)據(jù)庫(kù)，信息系統(tǒng)；(3)公司和外部機(jī)構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)連接，例如永久性連接、遠(yuǎn)程訪問(wèn)；(4)現(xiàn)場(chǎng)訪問(wèn)還是非現(xiàn)場(chǎng)訪問(wèn)；(5)所涉及信息的價(jià)值和敏感性，及對(duì)業(yè)務(wù)運(yùn)行的危險(xiǎn)程度；(6)保護(hù)不打算被外部機(jī)構(gòu)訪問(wèn)到的信息所需要的控制；(7)處理信息中所涉及的外部機(jī)構(gòu)的人員；(8)授權(quán)訪問(wèn)的人員如何被識(shí)別、進(jìn)行授權(quán)驗(yàn)證，多長(zhǎng)時(shí)間需要重新確認(rèn)；(9)外部機(jī)構(gòu)在貯存、處理、傳送、共享和交換信息過(guò)程中所使用的不同的方法和控制；(10)當(dāng)需要時(shí)外部機(jī)構(gòu)無(wú)法獲得訪問(wèn)，外部機(jī)構(gòu)進(jìn)入或接收到不正確的信息或誤導(dǎo)信息的影響；(11)處理信息安全事故和潛在破壞的慣例和程序，當(dāng)發(fā)生信息安全事故時(shí)外部機(jī)構(gòu)繼續(xù)訪問(wèn)的期限和條件；(12)應(yīng)考慮與外部機(jī)構(gòu)有關(guān)的法律法規(guī)要求和其他合同責(zé)任；(13)其他利益相關(guān)人的利益如何被安排所影響。(二)合同管理簽訂合同時(shí)，需明確規(guī)定外部機(jī)構(gòu)連接或訪問(wèn)以及合作的期限和條件后，才可允許外部機(jī)構(gòu)訪問(wèn)XXX信息系統(tǒng)。與外部機(jī)構(gòu)合作的安全要求或內(nèi)部控制須通過(guò)與外部機(jī)構(gòu)的協(xié)議明確反映出來(lái)。(三)安全意識(shí)各部門(mén)管理人員應(yīng)確保外部機(jī)構(gòu)相關(guān)人員意識(shí)到他們的責(zé)任，以及處理信息設(shè)施所涉及的職責(zé)和責(zé)任。五、外部機(jī)構(gòu)與人員訪問(wèn)的安全需求對(duì)外部機(jī)構(gòu)的安全訪問(wèn)由被訪問(wèn)的各部門(mén)負(fù)責(zé)，在允許外部機(jī)構(gòu)或用戶訪問(wèn)公司任何資產(chǎn)（依據(jù)訪問(wèn)的類(lèi)型和范圍，并不需要應(yīng)用所有的條款）前解決安全問(wèn)題將考慮下列條款：(一)資產(chǎn)保護(hù)，包括：1.保護(hù)機(jī)構(gòu)資產(chǎn)（包括信息和軟件）的程序，以及對(duì)已知脆弱點(diǎn)的管理；2.確定資產(chǎn)是否受到損害（例如丟失數(shù)據(jù)或修改數(shù)據(jù)）的程序；3.完整性；4.對(duì)拷貝和泄露信息的限制；(二)要提供的產(chǎn)品或服務(wù)的描述；(三)外部機(jī)構(gòu)或用戶訪問(wèn)的不同原因、需求和利益；(四)訪問(wèn)控制策略，包括：1.允許的訪問(wèn)方法，唯一標(biāo)識(shí)的控制和使用，例如用戶ID和口令；2.外部機(jī)構(gòu)或用戶訪問(wèn)和權(quán)限的授權(quán)過(guò)程；3.沒(méi)有明確授權(quán)的訪問(wèn)均被禁止的聲明；4.撤消訪問(wèn)權(quán)力或中斷系統(tǒng)間連接的過(guò)程；(五)信息錯(cuò)誤（例如個(gè)人信息的錯(cuò)誤）、信息安全事故和安全違規(guī)的報(bào)告、修改和調(diào)查的安排；(六)要提供確保每項(xiàng)服務(wù)可用的描述；(七)服務(wù)的目標(biāo)級(jí)別和服務(wù)的不可接受級(jí)別；(八)監(jiān)視和撤銷(xiāo)與機(jī)構(gòu)資產(chǎn)有關(guān)的任何活動(dòng)的權(quán)利；(九)公司和外部機(jī)構(gòu)或用戶各自的義務(wù)；(十)關(guān)于法律事件和如何確保滿足法律要求（例如，數(shù)據(jù)保護(hù)法律）的責(zé)任。如果該協(xié)議涉及與其他國(guó)家的消費(fèi)者的合作，特別要考慮到不同國(guó)家的法律體系；(十一)知識(shí)產(chǎn)權(quán)和版權(quán)轉(zhuǎn)讓以及任何協(xié)作性工作的保護(hù)。六、與外部機(jī)構(gòu)及人員的協(xié)議中強(qiáng)調(diào)安全協(xié)議將確保在公司和外部機(jī)構(gòu)人員之間不存在誤解。為滿足識(shí)別的安全需求，下列條款將考慮包含在協(xié)議之內(nèi)：(一)信息安全策略；(二)確保資產(chǎn)得到保護(hù)的控制措施，包括：1.保護(hù)資產(chǎn)（包括信息、軟件和硬件）的程序；2.所有需要的物理保護(hù)控制和機(jī)制；3.確保防止惡意軟件的控制；4.確定資產(chǎn)是否受到損害（例如信息、軟件和硬件的丟失或修改）的程序；5.確保在協(xié)議截止時(shí)或在合同執(zhí)行期間雙方同意的某一時(shí)間段對(duì)信息和資產(chǎn)的歸檔或銷(xiāo)毀的控制；6.保密性、完整性、可用性和任何其他相關(guān)的資產(chǎn)屬性；7.對(duì)拷貝和泄露信息，以及保密性協(xié)議的使用的限制；(三)對(duì)用戶和管理者在方法、程序和安全方面的培訓(xùn)；(四)確保用戶意識(shí)到信息安全職責(zé)和問(wèn)題；(五)關(guān)于硬件和軟件安裝和維護(hù)的職責(zé)；(六)訪問(wèn)控制策略，包括：1.外部機(jī)構(gòu)和外部人員訪問(wèn)的必要性的不同原因、需求和利益；2.允許的訪問(wèn)方法，唯一標(biāo)識(shí)符（諸如用戶ID和口令）的控制和使用；3.用戶訪問(wèn)和特權(quán)的認(rèn)證過(guò)程；4.維護(hù)被授權(quán)使用正在提供的服務(wù)的個(gè)人清單的需求以及他們與這種使用相關(guān)的權(quán)利和特權(quán)是哪些；5.沒(méi)有明確授權(quán)的所有訪問(wèn)都要禁止的聲明；6.撤消訪問(wèn)權(quán)力或中斷系統(tǒng)間連接的過(guò)程；(七)報(bào)告、通知和調(diào)查信息安全事故和安全違規(guī)以及違背協(xié)議所聲明的要求的安排；(八)提供的每項(xiàng)產(chǎn)品和服務(wù)的描述，根據(jù)安全分類(lèi)提供可獲得信息的描述；(九)服務(wù)的目標(biāo)級(jí)別和服務(wù)的不可接受級(jí)別；(十)可驗(yàn)證的性能要求的定義、監(jiān)督和報(bào)告；(十一)監(jiān)視和撤銷(xiāo)與機(jī)構(gòu)資產(chǎn)有關(guān)的任何活動(dòng)的權(quán)利；(十二)審核協(xié)議規(guī)定的職責(zé)，授權(quán)外部機(jī)構(gòu)和外部人員進(jìn)行這些審核，以及列舉審核員的法定權(quán)限的權(quán)利；(十三)建立逐級(jí)解決問(wèn)題的過(guò)程；(十四)服務(wù)持續(xù)的要求，包括根據(jù)公司的業(yè)務(wù)優(yōu)先級(jí)對(duì)可用性和可靠性的測(cè)量；(十五)協(xié)議雙方的相關(guān)義務(wù)；(十六)關(guān)于法律事件和如何確保滿足法律要求（例如，數(shù)據(jù)保護(hù)法律）的責(zé)任。如果該協(xié)議涉及與其他國(guó)家的機(jī)構(gòu)的合作，特別要考慮到不同國(guó)家的法律體系；(十七)知識(shí)產(chǎn)權(quán)（IPRs）和版權(quán)轉(zhuǎn)讓以及任何協(xié)作性工作的保護(hù)；(十八)包括具有轉(zhuǎn)包商的外部機(jī)構(gòu)和外部人員，這