第三方和外包人员安全管理(信息化).docx

第三方和外包人员安全管理制度 第三方和外包人员安全管理包括外部人员分类及管理责任、基本安全、账户管理、计算机设备接入管理、远程访问管理、IT外部人员特别规定以及违规处罚。 外部人员须填写《外部人员信息安全承诺书》（附件十）。 外部人员分类及管理责任： （一）外部人员分为如下四类： （1）贵宾外部人员：指由上级领导或本机构领导直接陪同或委派专人陪同，在本机构信息技术部安全区域内进行活动的外部人员； （2）临时外部人员：指由于业务关系、行政关系或其他特殊原因，在本机构安全区域内进行活动，且活动时间不超过一天的外部人员； （3）短期外部人员：指由于业务关系、行政关系或其他特殊原因，在本机构信息技术部安全区域内进行活动，且活动时间在一周以上、三个月以内的外部人员； （4）长期外部人员：指由于业务关系、行政关系或其他特殊原因，在本机构安全区域内进行活动，且活动时间在三个月以上的外部人员。 （二）外部人员的信息安全管理实行“谁接待，谁负责；谁引入，谁负责”的原则。对口部门或对口人员负责监督、管理外部人员在本机构工作或访问期间的一切行为，并对其所对口的外部人员的行为、影响和后果负有全部责任。 （三）信息技术部指派专门人员对进入安全区域的外部人员进行身份确认与登记。 （四）对于在安全区域内活动的长期外部人员，如需对其进行考勤，则由对口部门向信息技术部提出申请，由信息技术部统一进行考勤工作。 基本安全： （一）所有外部人员必须遵守本机构发布的与信息科技风险管理和信息安全相关的方针策略、实施规范、管理办法等。 （二）贵宾外部人员由对口部门或对口人员确定其能访问的物理安全区域；临时外部人员人员仅允许访问一级物理安全区域；短期外部和长期外部人员经过审批后，可以允许其访问二级及以上安全区域；所有外部人员进入三级及以上安全区域须本机构信息技术部员工全程陪同。 （三）外部人员在本机构工作期间，必须遵守本机构的《工作人员信息安全守则》，未经许可，外部人员不允许访问本机构信息处理设施；外部人员因工作需要使用本机构相关文档资料，需根据文档的敏感性级别由相关责任部门进行审批并登记备案，所借文档资料未经许可不得复印。 （四）短期外部人员和长期外部人员，以及工作中涉及到本机构专有和必威体育官网网址信息的其它外部人员，需与本机构签署必威体育官网网址协议后才能开始工作。人力资源部负责外部人员必威体育官网网址协议的签署与保管。 （五）对于送水、送快递、送设备等临时送货人员，只能在指定的场所交接货物，安全保卫人员要对其行为进行全程监督。 （六）本机构保留随时对外部人员的信息安全状况进行检查的权利，外部人员必须给予配合和协助。 账户管理： （一）贵宾外部人员由对口部门或对口人员确定是否为其开通OA账号和登陆内网；临时外部人员不允许开通OA账号和登陆内网；短期和长期外部人员如需开通OA账号登陆内网，需要单独申请，并报信息技术部负责人审批。 （二）外部人员为完成其工作，需要对本机构信息系统进行临时访问（访问时间不超过一天），由信息技术部员工在本机构管理的设备上，输入满足其工作需要的最小权限用户的用户登录信息，来获得临时性登录权限，并全程负责检查监督其对该帐户的使用情况。 （三）外部人员为完成其工作，需要对本机构信息系统进行短期访问（访问时间超过一天，不超过三个月），由信息技术部员工为其申请相应环境和相应时间的短期账户，并全程负责检查监督其对该帐户的使用情况。 （四）外部人员为完成其工作，需要对本机构信息系统进行长期访问（访问时间超过三个月），由信息技术部员工为其申请相应环境和相应时间的长期账户，并定期检查监督其对该账户的使用情况。 （五）外部人员在使用完账户后，需通知信息技术部。信息技术部相应岗位人员须立即断开该外部人员的全部系统连接，并确认删除该外部人员所属的全部账户。 计算机设备接入管理： （一）临时外部人员的计算机设备不允许接入本机构网络，不允许通过本网络设备登陆互联网；贵宾外部人员、短期外部人员和长期外部人员的计算机设备如需接入本机构网络，或通过本机构网络设备登陆互联网，须由信息技术部负责人审批。 （二）在没有得到授权的情况下，外部人员的计算机设备不得接入本机构任何安全域的网络端口。外部人员的计算机设备如果需要接入本机构网络，须向信息技术部提出申请，经批准后使用专门的网段进行接入。 （三）外部人员的计算机设备接入前，必须安装本机构规定的安全控制软件、系统安全补丁和防病毒软件，及时升级病毒库，并进行病毒扫描。 远程访问管理： （一）外部人员为完成其工作，需要通过远程方式访问到本机构网络系统或设备，必须事先制定工作计划与工作方案，报对口部门和信息技术部负责人审批通过后，才能允许进行远程访问。 （二）外部人员进行远程访问时，必须严格按照审批通过后的工作计划与工作方案进行工作，