第三方和外包人员安全管理(信息化)

第三方和外包人员安全管理制度第一条第三方和外包人员安全管理包括外部人员分类及管理责任、基本安全、账户管理、计算机设备接入管理、远程访问管理、IT外部人员特别规定以及违规处罚。第二条外部人员须填写《外部人员信息安全承诺书》（附件十）。第三条外部人员分类及管理责任：（一）外部人员分为如下四类：（1）贵宾外部人员：指由上级领导或本机构领导直接陪同或委派专人陪同，在本机构信息技术部安全区域内进行活动的外部人员；（2）临时外部人员：指由于业务关系、行政关系或其他特殊原因，在本机构安全区域内进行活动，且活动时间不超过一天的外部人员；（3）短期外部人员：指由于业务关系、行政关系或其他特殊原因，在本机构信息技术部安全区域内进行活动，且活动时间在一周以上、三个月以内的外部人员；（4）长期外部人员：指由于业务关系、行政关系或其他特殊原因，在本机构安全区域内进行活动，且活动时间在三个月以上的外部人员。（二）外部人员的信息安全管理实行“谁接待，谁负责；谁引入，谁负责”的原则。对口部门或对口人员负责监督、管理外部人员在本机构工作或访问期间的一切行为，并对其所对口的外部人员的行为、影响和后果负有全部责任。（三）信息技术部指派专门人员对进入安全区域的外部人员进行身份确认与登记。（四）对于在安全区域内活动的长期外部人员，如需对其进行考勤，则由对口部门向信息技术部提出申请，由信息技术部统一进行考勤工作。第四条基本安全：（一）所有外部人员必须遵守本机构发布的与信息科技风险管理和信息安全相关的方针策略、实施规范、管理办法等。（二）贵宾外部人员由对口部门或对口人员确定其能访问的物理安全区域；临时外部人员人员仅允许访问一级物理安全区域；短期外部和长期外部人员经过审批后，可以允许其访问二级及以上安全区域；所有外部人员进入三级及以上安全区域须本机构信息技术部员工全程陪同。（三）外部人员在本机构工作期间，必须遵守本机构的《工作人员信息安全守则》，未经许可，外部人员不允许访问本机构信息处理设施；外部人员因工作需要使用本机构相关文档资料，需根据文档的敏感性级别由相关责任部门进行审批并登记备案，所借文档资料未经许可不得复印。（四）短期外部人员和长期外部人员，以及工作中涉及到本机构专有和保密信息的其它外部人员，需与本机构签署保密协议后才能开始工作。人力资源部负责外部人员保密协议的签署与保管。（五）对于送水、送快递、送设备等临时送货人员，只能在指定的场所交接货物，安全保卫人员要对其行为进行全程监督。（六）本机构保留随时对外部人员的信息安全状况进行检查的权利，外部人员必须给予配合和协助。第五条账户管理：（一）贵宾外部人员由对口部门或对口人员确定是否为其开通OA账号和登陆内网；临时外部人员不允许开通OA账号和登陆内网；短期和长期外部人员如需开通OA账号登陆内网，需要单独申请，并报信息技术部负责人审批。（二）外部人员为完成其工作，需要对本机构信息系统进行临时访问（访问时间不超过一天），由信息技术部员工在本机构管理的设备上，输入满足其工作需要的最小权限用户的用户登录信息，来获得临时性登录权限，并全程负责检查监督其对该帐户的使用情况。（三）外部人员为完成其工作，需要对本机构信息系统进行短期访问（访问时间超过一天，不超过三个月），由信息技术部员工为其申请相应环境和相应时间的短期账户，并全程负责检查监督其对该帐户的使用情况。（四）外部人员为完成其工作，需要对本机构信息系统进行长期访问（访问时间超过三个月），由信息技术部员工为其申请相应环境和相应时间的长期账户，并定期检查监督其对该账户的使用情况。（五）外部人员在使用完账户后，需通知信息技术部。信息技术部相应岗位人员须立即断开该外部人员的全部系统连接，并确认删除该外部人员所属的全部账户。第六条计算机设备接入管理：（一）临时外部人员的计算机设备不允许接入本机构网络，不允许通过本网络设备登陆互联网；贵宾外部人员、短期外部人员和长期外部人员的计算机设备如需接入本机构网络，或通过本机构网络设备登陆互联网，须由信息技术部负责人审批。（二）在没有得到授权的情况下，外部人员的计算机设备不得接入本机构任何安全域的网络端口。外部人员的计算机设备如果需要接入本机构网络，须向信息技术部提出申请，经批准后使用专门的网段进行接入。（三）外部人员的计算机设备接入前，必须安装本机构规定的安全控制软件、系统安全补丁和防病毒软件，及时升级病毒库，并进行病毒扫描。第七条远程访问管理：（一）外部人员为完成其工作，需要通过远程方式访问到本机构网络系统或设备，必须事先制定工作计划与工作方案，报对口部门和信息技术部负责人审批通过后，才能允许进行远程访问。（二）外部人员进行远程访问时，必须严格按照审批通过后的工作计划与工作方案进行工作，对口部门或对口人员负责检查监督其工作。第八条IT外部人员特别规定：（一）IT外部人员是指从事IT相关工作的本机构外部人员。进入本机构工作的IT外部人员除了要遵守以上所有规定外，还应当符合下列规定：（1）当IT外部人员进入生产系统进行系统安装、测试时，必须信息技术部相关人员全程陪同并进行监督。其使用过的账号，必须在安装、测试工作完成后进行删除或进行口令变更；（2）当IT外部人员所涉及的系统含有敏感数据时，需要由信息技术部相关人员进行脱敏，并采取必要的控制措施；（3）开发、测试和检查过程中产生或获取的数据与资料，未经授权不得带出现场；（4）进入机房及其他生产测试环境的IT外部人员，应遵守本机构有关机房管理及办公场所的有关规定，禁止吸烟，符合用电及消防要求；（5）未经授权，IT外部人员不得使用本机构的信息资产，不得对本机构的网络进行漏洞扫描和渗透测试，不得把移动介质带入机房及其他生产测试环境；（6）IT外部人员不得利用工作之便，私自搜集、复制、传播、泄露本机构敏感信息。第九条违规处罚：（1）外部人员如违反本机构信息安全有关规定，须对其进行处罚，相关处罚方法遵照本机构人力资源部的有关规定执行。（2）对于违规情节特别严重的外部人员，外部人员对口部门应中止与外部人员所属单位的合作关系，并要求对方根据情况赔偿本机构损失。（3）对于违反国家法律法规的外部人员，本机构将会同违规人员所属单位将违规人员移交司法机关，并根据违规人员本机构造成的具体损失情况，由其所属单位负责赔偿。