第三方安全管理制度.docx

第三方安全管理制度第一章总则第一条目的：为有效防范“第三方”（详见第二章术语解释）人员带来的安全风险，加强和规范“第三方”人员的安全管理，保证计算机系统及网络的安全，根据有关规定，制定本制度。第二条适用人员范围：所有第三方人员和“中心”员工。第二章术语解释第三条本制度所述的“中心”是指技术部。第四条本制度适用于中心拥有的、控制和管理的所有软硬件系统。第五条本制度中的第三方，是指除中心以外，所有的组织和人员。第三方分为临时来访的第三方和非临时来访的第三方。临时来访的第三方是指来中心时间周期较短的人员，例如：进行业务交流，来访参观等；非临时来访是指中心来访时间较长的第三方，例如：项目建设人员，可以在批准情况下进入中心工作（办公区域工作活动不需陪同，机房工作活动需相关人员陪同）。第六条“随工人员”是指中心派出的，负责接待“第三方”人员的接口人。第七条“第三方”人员将带来的以下安全风险：第八条“第三方”人员的物理访问带来的设备、资料盗窃；1.“第三方”人员的误操作导致各种软硬件故障；2 .“第三方”人员的资料、信息外传导致泄密；3 .“第三方”人员对计算机系统的滥用和越权访问；4 .“第三方”人员给计算机系统、软件留下后门；5 .“第三方”人员对计算机系统的恶意攻击。为防范以上风险，安全管理员须结合日常的安全维护工作，评估“第三方”带来的安全现状。第三章人员与职责第九条随工人员负责临时来访的第三方人员自进入中心起至离开为止的全程陪同。第四章临时来访的第三方管理制度第十条除以下情况外，随工人员不得引领和允许第三方进入机房、办公室和其他机要区域：1 .中心高层领导批准的参观活动；2 .必要的设备和软件等现场安装、维修、调测；3 .临时来访第三方因业务需要进入上述区域的其他情形。在情况2）、3）下，随工人员以令第三方进入上述区域，需经主管上述区域的部门负责人批准。临时来访第三方在上述区域活动时，随工人员须全程陪同。第十一条业务交流一般应当在接待室或会议室内进行，招标、谈判等正式洽谈和重大项目的会谈应当在专门的会议室进行，不得在办公室进行，应当避免同一领域的临时来访第三方在同一会议室同时进行业务洽谈。第十二条除预定的工作内容外，随工人员不得为临时来访第三方随意安排其它活动；不得向临时来访第三方透露业务范围之外的中心技术、商务情况。第十三条结束业务活动后，临时来访第三方如与中心其它部门有业务联系，随工人员应通知相关部门另行接待，随工人员的义务至相关部门人员领走临时来访第三方为止；如无其它业务，随工人员应陪送临时来访第三方离开中心。随工人员在无法陪送的情况下应委托本部门其他人员陪送。第十四条对随工人员的接待工作，部门负责人和本部门其他人员有权进行监督。随工人员违反上述规定，应由部门负责人给予批评警告。第十五条未经中心领导批准，临时来访的第三方不得在中心机房内摄影、拍照。第十六条为临时人员终端接入应遵照IT终端设备使用管理办法执行。第十七条为临时第三方开设的临时帐号以及权限设置、临时网络接入要在他们离开后及时删除和撤销。第五章非临时来访的第三方管理制度第十八条非临时来访第三方出入中心允许的区域时，原则上不需安排专门人员陪同。第十九条非临时来访的第三方只允许在经允许的区域（除机房）进行业务活动。第二十条由于必要的设备和软件等现场安装、维修、调测；随工人员可以引领非临时来访第三方进入机房，但随工人员必须全程陪同。第二十一条非临时来访的第三方在进行维护工作时还应遵守中心所有相关管理和技术规范。第二十二条未经中心领导批准，非临时来访的第三方不得在中心内摄影、拍照。第二十三条如因业务需要须向非临时来访的第三方提供含有中心保密信息的文件、资料或实物的，随工人员应当在获得相应的批准或授权，并与非临时来访的第三方签订保密协议后再行提供，提供时应开具清单请非临时来访的第三方签收。提供文字保密材料的应当有保密标识。保密协议在相关部门存档，签收清单由相关部门妥善保存。第二十四条对非临时来访第三方的技术人员因业务需要须在中心进行工作的，应与其所在公司签订保密协议，向其明确“中心”的保密制度。这些人如需接触或查阅内部文件的，必须经过相关部门负责人签字批准，并由其本人填写查阅记录。第二十五条非临时来访第三方因工作需要，所获得的中心相关资料，使用完后，应归还中心相关人员或销毁。第二十六条第三方使用人终端接入要严格遵守IT终端设备使用管理办法,接入前，应严格遵守审批流程，待批准后，方可接入。第六章检查表第二十七条第三方人员安全管理制度检查表任务编号检查点检查内容取数方法检查周期1陪同和监督对于临时第三方人员，中心要指派专门的随工人员进行全程陪同1个月2操作记录对于第三方人员由于技术支持而对系统的操作要留有记录检查第三方人员操作记录表1个月3帐号和权限为第三方临时创建的帐号及权限需要及时删除检查账号和权限分配表1个月第七章衡量指标第二十七条对第三方因技术支持对系统的操作未进行登记的数量。第二十八条未及时删除的帐号和权限的数量。第八章相关记录第二十九条第三方人员接待登记表。第三十条第三方操作记录表第九章相关文件第三十一条第三方安全保密协议。第三十二条系统账号管理办法。第三十三条终端设备安全管理办法。第十章附则第三十四条本方针自发布之日起执行。技术部2014年9月2日附件一中心第三方人员接待登记表姓名公司事由随工人员进入时间离开时间附件二第三方人员操作记录表操作人员所属公司操作事由操作设备名操作内容随工人员