08第三方人員訪問控制管理制度

08第三方人員訪問控制管理制度好收益（北京）金融信息服務(wù)有限公司

第三方人員訪問掌握管理制度

第一章總則

第一條為加強(qiáng)對外部人員在好收益（北京）金融信息服務(wù)有限公司（以下簡稱“公司”）的信息平安管理，防范外部人員帶來的信息平安風(fēng)險，規(guī)范外部人員在公司各項(xiàng)與信息系統(tǒng)相關(guān)的活動所要遵守的行為準(zhǔn)則，特制定本方法。

其次條本方法所述的外部人員是指非公司內(nèi)部員工，包括產(chǎn)品供應(yīng)商、設(shè)備維護(hù)商、服務(wù)供應(yīng)商、業(yè)務(wù)合作單位、臨時雇工、實(shí)習(xí)生等外來人員，外部人員分為臨時外部人員和非臨時外部人員。

(一)臨時外部人員指因業(yè)務(wù)洽談、技術(shù)溝通、供應(yīng)短期和不頻繁的

技術(shù)支持服務(wù)而臨時來訪的外部人員；

(二)非臨時外部人員指因從事合作開發(fā)、參加項(xiàng)目工程、供應(yīng)技術(shù)

支持或顧問服務(wù)，必需在相關(guān)單位辦公的外部人員。

第三條本方法適用于公司。

其次章外部人員風(fēng)險識別

第四條各部門在與第三方進(jìn)行接觸過程中，應(yīng)防范外部人員對于公司可能帶來的各類信息平安風(fēng)險，這些風(fēng)險包括但不限于如下內(nèi)容：

(一)外部人員的物理訪問帶來的設(shè)備、資料盜竊；

(二)外部人員的誤操作導(dǎo)致各種軟硬件故障；

(三)外部人員對資料、信息管理不當(dāng)導(dǎo)致泄密；

1

(四)外部人員對計(jì)算機(jī)系統(tǒng)的濫用和越權(quán)訪問；

(五)外部人員給計(jì)算機(jī)系統(tǒng)、軟件留下后門；

(六)外部人員對計(jì)算機(jī)系統(tǒng)的惡意攻擊。

第五條接待部門應(yīng)對外部人員進(jìn)出接待區(qū)域的物理和信息風(fēng)險進(jìn)行識別和防范；關(guān)鍵區(qū)域的進(jìn)出應(yīng)填寫《好收益（北京）金融信息服務(wù)有限公司外部人員訪問申請表》，經(jīng)部門負(fù)責(zé)人簽字確認(rèn)后，由內(nèi)部人員的全程伴隨，方可進(jìn)入。

第六條涉及公司業(yè)務(wù)合作的外部人員風(fēng)險識別由各業(yè)務(wù)合作部門負(fù)責(zé)管理，各部門應(yīng)正確、合理識別各類業(yè)務(wù)信息的關(guān)鍵程度和保密程度，依據(jù)外部人員或項(xiàng)目保密協(xié)議嚴(yán)格掌握，依照“按需訪問”的原則對公司信息進(jìn)行平安管理。

第三章基本平安管理

第七條在未經(jīng)公司相關(guān)部門負(fù)責(zé)人的審核審批的狀況下，禁止外部人員了解和查閱公司的敏感、重要和商業(yè)隱秘信息。

第八條外部人員如因業(yè)務(wù)需要查閱公司敏感資料或訪問公司網(wǎng)絡(luò)和信息系統(tǒng)資源，必需經(jīng)過相關(guān)部門負(fù)責(zé)人批準(zhǔn)并具體登記，須與公司簽署有效的《好收益（北京）金融信息服務(wù)有限公司外部人員保密協(xié)議》。

第九條未經(jīng)相關(guān)部門負(fù)責(zé)人的許可，外部人員不得在辦公區(qū)域、設(shè)備間、機(jī)房等關(guān)鍵區(qū)域攝影、拍照。

第四章外部人員物理訪問掌握

第十條外部人員進(jìn)出公司時，遵守信息平安工作組相關(guān)管理規(guī)定《公司辦公環(huán)境信息平安管理方法》，接待人必需全程伴隨臨時外部人員，告知有關(guān)

2

平安管理方法。

第十一條業(yè)務(wù)洽談和技術(shù)溝通應(yīng)當(dāng)在接待室、會議室或培訓(xùn)教室內(nèi)進(jìn)行，招標(biāo)、談判等正式洽談和重大項(xiàng)目的會談應(yīng)當(dāng)在特地的會議室進(jìn)行，不得在辦公區(qū)域內(nèi)進(jìn)行。

第十二條外部人員進(jìn)入機(jī)房、設(shè)備間等重要區(qū)域時，應(yīng)遵從《公司機(jī)房環(huán)境平安管理方法》等相關(guān)方法。

第五章外部人員信息系統(tǒng)使用掌握

第十三條未經(jīng)允許，禁止外部人員攜帶的電腦接入公司網(wǎng)絡(luò)，如因工作需要訪問公司網(wǎng)絡(luò)和信息系統(tǒng)資源，必需填寫《好收益（北京）金融信息服務(wù)有限公司臨時接入公司網(wǎng)絡(luò)申請表》，由接待人負(fù)責(zé)向信息平安工作組申請，并使用指定的設(shè)備。

第十四條未經(jīng)允許，禁止外部人員遠(yuǎn)程訪問公司網(wǎng)絡(luò)。如確因工作需要（例如維護(hù)、故障處理）需要遠(yuǎn)程訪問，必需由遠(yuǎn)程接入業(yè)務(wù)的需求部門填寫《好收益（北京）金融信息服務(wù)有限公司臨時接入公司網(wǎng)絡(luò)申請表》，經(jīng)部門負(fù)責(zé)人審批，報(bào)信息平安工作組領(lǐng)導(dǎo)批準(zhǔn)。

第十五條外部人員在機(jī)房內(nèi)的全部操作，都必需說明該操作可能引起的平安風(fēng)險，并由接待人認(rèn)可后才能操作。接待人必需對外部人員的操作進(jìn)行全程監(jiān)控，參照《公司機(jī)房環(huán)境平安管理方法》中的相關(guān)附件，記錄外部人員的操作內(nèi)容并存檔備案。

第十六條更換機(jī)器硬件的操作需向接待人指出硬件損壞的證據(jù)，由接待人員上報(bào)信息平安工作組批準(zhǔn)，將機(jī)器上的應(yīng)用切換到其它機(jī)器上后，方可進(jìn)行更換，并參照《公司機(jī)房環(huán)境平安管理方法》中的附件記錄并存檔。

第十七條外部人員對機(jī)房附屬設(shè)備（如空調(diào)、UPS等）的維護(hù)和保養(yǎng)，事

3

先要由接待人員上報(bào)信息平安工作組領(lǐng)導(dǎo)批準(zhǔn)后選擇合適的時間進(jìn)行，確保操作不影響公司系統(tǒng)的正常運(yùn)行，并參照《公司機(jī)房環(huán)境平安管理方法》中的附件記錄并存檔。

第十八條未經(jīng)信息平安工作組批準(zhǔn)，禁止外部人員攜帶移動存儲介質(zhì)進(jìn)入機(jī)房。

第十九條外部人員如因工作需要使用移動存儲介質(zhì)，必需在接待人的監(jiān)控下使用，由此而產(chǎn)生的平安風(fēng)險由接待人擔(dān)當(dāng)。

第六章附則

其次十條本方法由公司信息平安工作組制定，并負(fù)責(zé)解釋和修訂。

其次十一條本方法自發(fā)布之日起執(zhí)行。

4

附件1

公司外部人員保密協(xié)議

本協(xié)議中涉及的項(xiàng)目：________________________________________

涉及到的公司（簡稱“公司”）信息(信息系統(tǒng)、文檔、數(shù)據(jù)等)包括：

________________________________________________________________________________________________________________________________________________________________________________________________________。

為了保證_______公司及其上級和合作單位的專有信息不被泄露，人員(承諾人)_________所屬公司____________________________承諾如下：

一、保密內(nèi)容

1.在項(xiàng)目中接觸到的或以任何方式獲得的全部信息，包括但不限于如下所列：商業(yè)隱秘、技

術(shù)隱秘、通信或與其相關(guān)的其他信息；無論是書面的、口頭的、圖形的、電磁的或其它任

何形式的信息，包括（但不限于）數(shù)據(jù)、模型、技術(shù)、方法和其它信息均為承諾保密的專有

信息。

2.不將專有信息透露給項(xiàng)目組內(nèi)非必需人員和/或項(xiàng)目組之外的任何人；

3.不得為本合同規(guī)定目的之外的其他目的使用專有信息；

4.不將此專有信息的全部或部分進(jìn)行復(fù)制或仿造。

二、例外狀況必需以如下形式確定

1.獲得書面授權(quán)，承諾人可以披露的專有信息。

2.承諾人能夠證明在承諾人披露公司專有信息之前，公司已經(jīng)通過其他途徑公開披露的專有

信息。

3.有書面材料證明，公司在未附加保密義務(wù)的狀況下公開透露的信息；

4.有書面材料證明，承諾人從公司獵取任何專有信息之前在未受任何保密義務(wù)限制的狀況下

已經(jīng)擁有的專有信息。

5

三、專有信息的交回

1.當(dāng)公司以書面形式要求承諾人交回專有信息時，承諾人應(yīng)當(dāng)馬上交回全部書面的或其他有

形的專有信息以及全部描述和概括該專有信息的文件。

2.如無公司的書面許可，承諾人不得丟棄和處理任何書面的或其他有形的專有信息。

四、否認(rèn)許可

除非公司明確地授權(quán)，承諾人不能認(rèn)為公司授予其包含該專有信息的任何專利權(quán)、專利申請權(quán)、商標(biāo)權(quán)、著作權(quán)、商業(yè)隱秘或其它的學(xué)問產(chǎn)權(quán)。

五、違約處理

承諾人未根據(jù)公司要求實(shí)行有效措施對信息進(jìn)行保密，由此帶來的任何損失由承諾人及所屬公司擔(dān)當(dāng)，如造成法律糾紛或涉及違法，承諾人擔(dān)當(dāng)法律責(zé)任。

六、保密期限

本協(xié)議規(guī)定的保密責(zé)任期限于年月日到期。

承諾人（簽