移动新媒体聚合管理系统外部人员访问控制规范.docVIP

新华通讯社山西分社 移动新媒体聚合管理系统 外部人员访问控制规范 文件编号： 版： ： 版本记录1） 版本号 版本日期 修改 审核 批准 修改  目录 外部人员访问控制规范 4 1. 总则 4 1.1 目的 4 1.2 范围 4 1.3 职责 4 2 管理细则 4 2.1 解释 4 2.2 总体要求 5 2.3 合作方单位及人员管理 5 2.4 合作方安全域及防护要求 6 2.5 合作方接入管理 7 2.6 合作方帐号及权限管理 7 3 附件 9 附1：合作方人员保密协议 9 附2：合作方接入访问申请表（附表2） 12 附3：第三方访问登记表（附表3） 13  外部人员访问控制规范 总则 目的 为了加强对合作伙伴、人员、系统的安全管理，防止引入单位移动新媒体聚合管理系统的安全风险，特制定本管理规范。 范围 本适用于信息技术部门 职责 管理细则 解释 本办法所指合作方包括第三方单位、第三方系统、第三方人员： 合作方单位是指向单位信息系统提供设备、产品、服务的外部单位。 合作方系统是指为单位信息技术部门服务或与单位信息技术部门合作运营的系统。这些系统可能不在单位信息技术部门机房内，但能通过接口与单位信息技术部门的系统发生数据交互。 合作方人员是指为单位信息技术部门提供开发、测试、运维等服务或参与合作运营系统管理的非单位信息技术部门工作人员。 对合作方单位的信息安全管理应遵循如下原则：“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。 总体要求 对于与单位开展合作运营的第三方单位，信息技术部门要求其按照信息技术部门网络与信息安全的管理规定，严格落实信息安全责任，建立日常安全运维、检查制度，确保不发生信息泄密、重大安全漏洞。 信息技术部门要求在单位开展现场长期服务的第三方单位，现场派驻专职人员，其主要职责：负责按照国家及信息技术部门的信息安全管理要求，开展派驻现场的安全管理，指导和监督派驻现场人员的信息安全，确保不发生违规行为；接受单位的管理和评价等。 合作方单位信息安全管理人员发生变更时，应在变更前1周将有关变更信息报送信息技术部门。 信息技术部门要督促指导第三方单位及人员遵循信息技术部门的安全管理制度和规范，将安全要求作为考核内容，纳入双方合作协议，定期组织对第三方安全检查。 合作方单位及人员管理 合作方单位必须严格遵守单位信息技术部门客户服务的要求和规定。 合作方单位在工作过程中，如不可避免地接触到单位客户资料等各类敏感信息及商业秘密（下面简称敏感信息），应保证不损害敏感信息的保密性、完整性、可用性、真实性、可核查性、可靠性、防抵赖性。 合作方人员管理的范畴包括临时人员和长期人员：临时人员指因业务洽谈、技术交流、提供短期和不频繁技术支持服务的人员；长期人员指因从事合作开发、参与项目工程建设、提供技术支持或顾问服务的人员。 由合作方单位参与开发并提供服务的业务系统或软件程序，如系统或程序能接触到客户敏感信息，应要求将第三方系统开发文档提交信息技术部门留档，文档应注明分发范围，并要求开发人员、测试人员、项目管理人员严格遵守分发控制要求。 合作方单位参与或独立开发的业务系统或软件程序，应落实版本管理工作，并主动在上线验收前向信息技术部门提交其源代码或代码审计报告、以及安全测试报告，信息技术部门进行备案存档。 合作方单位应对其参与或独立开发的业务系统或软件程序源代码进行妥善保管，严格控制合作方人员访问权限，避免代码泄漏。 合作方安全域及防护要求 根据单位信息技术部门网络与系统的安全域划分技术要求，与合作方单位相关联的安全域应设置为：核心业务区、第三方用户接入区（系统开发接入区、系统维护接入区）。 数据核心区安全级别最高，放置重要的设备和系统，包含但不限于提供关键应用的应用服务器、保存机密信息的数据库服务器，以及具有管理权限的管理控制台和服务。 合作方用户接入区是第三方人员（包含但不限于第三方维护人员、第三方开发人员等）终端接入的区域。第三方接入区不能直接访问数据核心安全区。第三方用户接入必须通过批准后，使用认证密钥登录。 合作方接入管理 合作方人员进入单位信息技术部门核心区域或者登录单位信息技术部门各业务系统操作时，应严格遵守单位的各项安全管理制度并规范操作。 合作方用户接入区部署的常驻终端，应有严格的接入认证，并满足单位信息技术部门相关终端安全合规性检查标准。 合作方用户接入区内的非常驻终端，需按照相应申请审批流程向信息技术部门申请，并按照单位信息技术部门终端相关安全合规性标准进行检查，获得授权后方可接入，信息技术部门应将申请审批记录备案。 信息技术部门应组织对现场服务的合作方人员终端进行安全审核、检查，不定期抽查。 禁止合作方人员在