上海海洋大学第三方安全管理规范.docVIP

上海海洋大学第三方安全管理规范 第一章 总则 第一条 为了加强对第三方合作伙伴、人员、系统的安全管理，防止引入第三方给上海海洋大学带来的安全风险，特制定本管理办法。 第二条 本规范适用于上海海洋大学在信息安全管理过程中对外来人员和第三方人员的行为规范管理。 第三条 上海海洋大学第三方信息安全管理由现代信息与教育技术中心负责，并应按照本办法严格落实。 第二章 管理细则 第四条 本办法所指第三方包括第三方公司、第三方系统、第三方人员： 1、第三方公司是指向上海海洋大学提供设备、产品、服务的外部公司。 2、第三方系统是指为上海海洋大学服务或与上海海洋大学合作运营的系统。这些系统可能不在上海海洋大学机房内，但能通过接口与上海海洋大学的系统发生数据交互。 3、第三方人员是指为上海海洋大学提供开发、测试、运维服务或参与合作运营系统管理的非上海海洋大学人员。 4、对第三方公司的信息安全管理应遵循如下原则： “谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。 第五条 对于与我校开展合作运营的第三方公司，现代信息与教育技术中心要求其能按照学校网络与信息安全的管理规定，严格落实信息安全责任，建立日常安全运维、检查制度，确保不发生信息泄密、重大安全漏洞。 现代信息与教育技术中心需要求在我校开展现场长期服务的第三方公司，在派驻现场设立专职人员，其主要职责包括：负责按照国家及学校的信息安全管理要求，开展派驻现场的安全管理，指导和监督派驻现场人员的信息安全，确保不发生违规行为；接受我校的监督和考核等。 第三方公司信息安全管理人员变更应在变更前一周将变更信息报送上海海洋大学现代信息与教育技术中心。 现代信息与教育技术中心要督促指导第三方公司及人员遵循上海海洋大学的安全管理制度和规范，将安全要求作为考核内容，纳入双方合作协议，定期组织对第三方安全检查。 第六条 第三方公司必须与上海海洋大学签订必威体育官网网址协议，在协议中明确第三方公司的必威体育官网网址责任以及违约罚则；第三方公司应与其员工签订必威体育官网网址协议，在协议中明确第三方公司员工的必威体育官网网址责任以及违约罚则。 第三方公司在合作过程中，如不可避免地接触到上海海洋大学学生信息、校方运行信息等各类敏感信息及商业秘密（下面简称敏感信息），应保证不损害敏感信息的必威体育官网网址性、完整性、可用性、真实性、可核查性、可靠性、防抵赖性。 第三方人员管理的范畴包括临时人员和长期人员：临时人员指因业务洽谈、技术交流、提供短期和不频繁技术支持服务的人员；长期人员指因从事合作开发、参与项目工程建设、提供技术支持或顾问服务的人员。 由第三方公司参与开发并提供服务的业务系统或软件程序，如系统或程序能接触到客户敏感信息，应要求将第三方系统开发文档提交现代信息与教育技术中心留档，文档应注明分发范围，并要求开发人员、测试人员、项目管理人员严格遵守分发控制要求。 第三方公司参与或独立开发的业务系统或软件程序，应落实版本管理工作，并主动在上线验收前向现代信息与教育技术中心提交其源代码或代码审计报告、以及安全测试报告，现代信息与教育技术中心进行备案存档。 第三方公司应对其参与或独立开发的业务系统或软件程序源代码进行妥善保管，严格控制第三方人员的访问权限，避免代码泄漏。 第七条 根据上海海洋大学网络与系统的安全域划分技术要求，与第三方公司相关联的安全域应设置为：核心业务区、第三方用户接入区（系统开发接入区、系统维护接入区）。 数据核心区安全级别最高 ，所以放置重要的设备和系统，包含但不限于提供关键应用的应用服务器、保存机密信息的数据库服务器，以及具有管理权限的管理控制台和服务。 第三方用户接入区是第三方人员（包含但不限于第三方维护人员、第三方开发人员等）终端接入的区域。第三方接入区不能直接访问数据核心安全区，需经批准后通过堡垒主机严格控制。 第八条 第三方接入管理制度： 1、第三方人员进入上海海洋大学核心区域或者登录上海海洋大学各业务系统操作时，应严格遵守上海海洋大学的各项安全管理制度和规范。 2、第三方人员工作区域与上海海洋大学的生产、内部办公、维护区域分离，在安全域中划分独立的第三方用户接入区，如系统开发接入区、系统维护接入区等，并应采用更严格的访问控制策略和管控手段。 3、第三方用户接入区部署的常驻终端，应有严格的接入认证，并满足上海海洋大学相关终端安全合规性检查标准。 4、第三方用户接入区内的非常驻终端，需按照相应申请审批流程向现代信息与教育技术中心申请，并按照上海海洋大学终端相关安全合规性标准进行检查，获得授权后方可接入，现代信息与教育技术中心应将此申请审批记录备案。 5、现代信息与教育技术中心应组织对现场服务的第三方人员终端进行安全审核、检查，不定期抽查。 6、禁止第三方人员在未授权的情况下通过远程