第三方人员访问控制管理制度.docx

《第三方人员访问控制管理制度.docx》由会员分享，可在线阅读，更多相关《第三方人员访问控制管理制度.docx（9页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、好收益北京金融信息效劳第三方人员访问掌握治理制度第一章 总则第一条 为加强对外部人员在好收益北京金融信息效劳以下简称“公司”的信息安全治理，防范外部人员带来的信息安全风险，标准外部人员在公司各项与信息系统相关的活动所要遵守的行为准则，特制定本方法。其次条 本方法所述的外部人员是指非公司内部员工，包括产品供给商、设备维护商、效劳供给商、业务合作单位、临时雇工、实习生等外来人员，外部人员分为临时外部人员和非临时外部人员。(一) 临时外部人员指因业务洽谈、技术沟通、供给短期和不频繁的技术支持效劳而临时来访的外部人员；(二) 非临时外部人员指因从事合作开发、参与工程工程、供给技术支持或参谋效劳，必需在

2、相关单位办公的外部人员。第三条 本方法适用于公司。其次章 外部人员风险识别第四条 各部门在与第三方进展接触过程中，应防范外部人员对于公司可能带来的各类信息安全风险，这些风险包括但不限于如下内容：(一) 外部人员的物理访问带来的设备、资料盗窃；(二) 外部人员的误操作导致各种软硬件故障；(三) 外部人员对资料、信息治理不当导致泄密；(四) 外部人员对计算机系统的滥用和越权访问；(五) 外部人员给计算机系统、软件留下后门；(六) 外部人员对计算机系统的恶意攻击。第五条 接待部门应对外部人员进出接待区域的物理和信息风险进展识别和防范；关键区域的进出应填写好收益北京金融信息效劳外部人员访问申请表，经部

3、门负责人签字确认后， 由内部人员的全程伴随，方可进入。第六条 涉及公司业务合作的外部人员风险识别由各业务合作部门负责管理，各部门应正确、合理识别各类业务信息的关键程度和保密程度，依据外部人员或工程保密协议严格掌握，依照“按需访问”的原则对公司信息进展安全治理。第三章 根本安全治理第七条 在未经公司相关部门负责人的审核审批的状况下，制止外部人员了解和查阅公司的敏感、重要和商业隐秘信息。第八条 外部人员如因业务需要查阅公司敏感资料或访问公司网络和信息系统资源，必需经过相关部门负责人批准并具体登记，须与公司签署有效的好收益北京金融信息效劳外部人员保密协议。第九条 未经相关部门负责人的许可，外部人员不

4、得在办公区域、设备间、机房等关键区域摄影、拍照。第四章 外部人员物理访问掌握第十条 外部人员进出公司时，遵守信息安全工作组相关治理规定公司办公环境信息安全治理方法， 接待人必需全程伴随临时外部人员，告知有关安全治理方法。第十一条业务洽谈和技术沟通应当在接待室、会议室或培训教室内进行，招标、谈判等正式洽谈和重大工程的会谈应当在特地的会议室进展，不得在办公区域内进展。第十二条外部人员进入机房、设备间等重要区域时，应遵从公司机房环境安全治理方法等相关方法。第五章 外部人员信息系统使用掌握第十三条未经允许，制止外部人员携带的电脑接入公司网络，如因工作需要访问公司网络和信息系统资源，必需填写好收益北京金

5、融信息效劳临时接入公司网络申请表，由接待人负责向信息安全工作组申请，并使用指定的设备。第十四条未经允许，制止外部人员远程访问公司网络。如确因工作需要例如维护、故障处理需要远程访问，必需由远程接入业务的需求部门填写好收益北京金融信息效劳临时接入公司网络申请表， 经部门负责人审批，报信息安全工作组领导批准。第十五条外部人员在机房内的全部操作，都必需说明该操作可能引起的安全风险，并由接待人认可后才能操作。接待人必需对外部人员的操作进展全程监控，参照公司机房环境安全治理方法中的相关附件，记录外部人员的操作内容并存档备案。第十六条更换机器硬件的操作需向接待人指出硬件损坏的证据，由接待人员上报信息安全工作

6、组批准，将机器上的应用切换到其它机器上后，方可进展更换，并参照公司机房环境安全治理方法中的附件记录并存档。第十七条外部人员对机房附属设备如空调、UPS 等的维护和保养，事先要由接待人员上报信息安全工作组领导批准后选择适宜的时间进展，确保操作不影响公司系统的正常运行，并参照公司机房环境安全治理方法中的附件记录并存档。第十八条 未经信息安全工作组批准，制止外部人员携带移动存储介质进入机房。第十九条 外部人员如因工作需要使用移动存储介质，必需在接待人的监控下使用，由此而产生的安全风险由接待人担当。第六章 附则其次十条 本方法由公司信息安全工作组制定，并负责解释和修订。其次十一条本方法自公布之日起执行

7、。附件1公司外部人员保密协议本协议中涉及的工程： 涉及到的公司简称“公司”信息(信息系统、文档、数据等)包括： 。为了保证公司及其上级和合作单位的专有信息不被泄露，人员(承诺人)所属公司承诺如下：一、 保密内容1. 在工程中接触到的或以任何方式获得的全部信息，包括但不限于如下所列：商业隐秘、技 术隐秘、通信或与其相关的其他信息；无论是书面的、口头的、图形的、电磁的或其它任 何形式的信息，包括但不限于数据、模型、技术、方法和其它信息均为承诺保密的专有信息。2. 不将专有信息透露给工程组内非必需人员和/或工程组之外的任何人；3. 不得为本合同规定目的之外的其他目的使用专有信息；4. 不将此专有信息

8、的全部或局部进展复制或仿造。二、 例外状况必需以如下形式确定1. 获得书面授权，承诺人可以披露的专有信息。2. 承诺人能够证明在承诺人披露公司专有信息之前，公司已经通过其他途径公开披露的专有信息。3. 有书面材料证明，公司在未附加保密义务的状况下公开透露的信息；4. 有书面材料证明，承诺人从公司猎取任何专有信息之前在未受任何保密义务限制的状况下已经拥有的专有信息。三、 专有信息的交回1. 当公司以书面形式要求承诺人交回专有信息时，承诺人应当马上交回全部书面的或其他有形的专有信息以及全部描述和概括该专有信息的文件。2. 如无公司的书面许可，承诺人不得丢弃和处理任何书面的或其他有形的专有信息。四、

9、 否认许可除非公司明确地授权，承诺人不能认为公司授予其包含该专有信息的任何专利权、专利申请权、商标权、著作权、商业隐秘或其它的学问产权。五、 违约处理承诺人未依据公司要求实行有效措施对信息进展保密，由此带来的任何损失由承诺人及所属公司担当，如造成法律纠纷或涉及违法，承诺人担当法律责任。六、 保密期限本协议规定的保密责任期限于 年 月 日到期。承诺人签字：好收益北京金融信息效劳盖章 授权代表签字：签字时间：附件2公司临时接入网络申请表外部人员：接待人姓名日期联系 接入网络缘由：特别访问需求：使用人保密责任承诺如下：使用单位接入时段接入设备序列号1、 外部人员所使用的接入设备应安装防病毒产品，确保

10、病毒码保持最，避开本机对网络中其他计算机造成病毒影响。2、 外部人员应严格依据需要访问资源，访问与自身工作相关的工作资源，不得随便访问与工作无关的其他网络资源和信息。3、 在接入公司网络的同时，本机不允许使用任何无线和外联设备，严格执行保密治理要求，自觉承受保密监视，严格遵守“上网不涉密，涉密不上网”的原则。4、 自觉遵守公司的保密治理要求，假设违反相关保密治理要求，违反保密法律、法规，接入人员担当行政责任或法律责任。申请人签字：日期：申请部门领导意见：签字：日期：信息技术部意见：年月日账号信息账号IP 地址附件3公司外部人员访问申请表申请日期：单位姓名身份证号联系方式事由携带物品操作内容部门负责人签字日期伴随人员进入时间离开时间值班人员日期签字备注