xx公司第三方人员安全管理办法

第1页共8页xx公司第三方人员安全管理办法文件编号XAZD-008文件版本V1.0编制时间20xx年01月01日生效时间20xx年01月01日编制人xxx审批人xxx发布范围全公司密级内部第2页共8页修订记录日期修订人修订内容审批人第3页共8页总则第一条策略目标：为了加强公司信息安全保障能力，建立健全公司的安全管理体系，提高整体的信息安全水平，保证公司业务正常运营，提高服务质量，在公司安全体系框架下，本策略有效防范第三方人员（非公司人员）进入公司带来的安全风险；加强和规范公司各部门对第三方人员的安全管理；提供第三方人员在公司活动所要遵守的行为准则。适用范围第二条本制度适用于本公司，并在全公司范围内给予执行，由基础架构部对该项工作的落实和执行进行监督，并对本体系及职责的有效性进行持续改进。第三方人员定义及风险第三条第三方人员定义1）第三方人员包括为公司提供服务的软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等非本公司人员。2）第三方人员管理的范畴包括临时第三方人员和长期第三第4页共8页方人员。3）临时第三方人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的第三方人员。4）长期第三方人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务，必须在一定时间内在公司内部办公的第三方人员。5）接待人是指公司与来访第三方的相关部门派出的，负责接待和管理第三方人员的公司人员。第四条第三方人员带来的风险1）第三方人员访问公司的方式包括现场访问和远程网络访问。2）第三方人员带来的安全风险必须定期评估，防范以下安全风险：第三方人员物理访问带来的设备、资料盗窃；第三方人员误操作导致各种软硬件故障；第三方人员的资料、信息外传导致泄密；第三方人员对业务系统的滥用和越权访问；第三方人员给主机系统、软件留下后门；第三方人员对系统的恶意攻击。第三方人员短期访问安全管理第5页共8页第五条物理安全1）第三方人员现场访问需要遵从公司物理安全的管理制度，具体物理安全的负责部门是行政部。要求如下：第三方人员进出公司均需登记，遵照公司物理安全管理制度执行。工作时间内机房必须有当班、值班人员，对第三方人员进入机房内部一律进行登记。重要机房实行安全保卫管理，对第三方人员进入机房需要运维负责人的同意，同时在本部门内部进行登记。第六条网络访问安全1）第三方人员现场访问公司网络原则上不允许。如果必须，需要第三方人员及接待人员遵守如下安全要求：临时接入公司办公网络的第三方人员，需要公司接待人员的同意，一旦发生并经核实其起因是第三方人员引起的安全事件，相关责任由公司接待人员负责。临时接入公司生产网络的第三方人员，需要公司运维负责人的同意，同时在本部门内部进行登记。一旦发生并经核实其起因是第三方人员引起的安全事件，相关责任由公司运维负责人负责。2）第三方人员远程访问公司网络原则上不允许。如果必须，需要第三方人员及接待人员遵守如下安全要求：第6页共8页临时远程访问公司网络的第三方人员，需要公司运维负责人的同意，并在本部门内部进行登记。一旦发生并经核实其起因是第三方人员引起的安全事件，相关责任由公司运维负责人负责。临时远程访问公司网络的第三方人员在访问过程中，公司接待人员应能够确定其访问的内容；在访问结束后，公司接待人员应及时关闭或敦促相关技术负责人员关闭临时访问的通路，并在本部门内部记录访问结束时间。第三方人员长期访问安全管理第七条物理安全1）第三方人员现场访问，需要遵照公司物理安全的管理制度执行，具体物理安全的负责部门是行政部。要求如下：遵守公司物理安全管理制度，在公司行政部门办理第三方人员进出证件，证件表明访问时间段及接待部门。工作时间内机房必须有当班值班人员，对进入机房内部的第三方人员一律进行登记。重要机房实行安全保卫管理，对第三方人员进入机房需要运维负责人的同意，同时在本部门内部进行登记。第三方人员均应遵从机房管理人员的管理。第八条网络访问安全1）第三方人员现场长期访问公司网络，除第三方人员遵守第7页共8页公司的安全管理制度及规范之外，第三方人员及接待人员还必须遵守如下安全要求：长期访问公司网络的第三方人员需要签署相关《第三方人员安全保密协议》，承诺遵守公司安全制度及规范。第三方人员在访问公司网络期间如违反公司安全管理制度，除根据保密协议及相关公司安全管理制度进行处罚以外，公司接待人及所属部门也应承担责任。2）第三方人员长期远程访问公司网络原则上不允许。如果必须，需要第三方人员及接待人员遵守如下安全要求：需要签署相关《第三方人员安全保密协议》，承诺遵守公司安全制度及规范。第三方人员在访问公司网络期间如违反公司安全管理制度，除根据保密协议及相关公司安全管理制度进行处罚以外，公司接待人及所属部门也应承担责任。第三方人员离场权限管理第九条物理安全第三方人员访问结束离场时，需要遵照公司物理安全的管理制度执行，具体物理安全的负责部门是行政部。要求如下：第8页共8页回收在公司行政部门办理第三方人员进出证件，对第三方人员离场的时间进行登记。第十条网络访问安全第三方人员访问结束离场时，应及时清除第三方人员短期或长期远程访问公司网络的权限，公司接待人员应及时关闭或敦促相关技术负责人员关闭临时访问的通路，并在本部门内部记录访问结束时间。附则第十一条本办法由基础架构部责解释和修改。第十二条本办法自公布之日起施行。