第三方安全管理方案.doc

陕西广电网络传媒股份有限公司 第三方安全管理制度 文档信息 机密级分类 版版本控制 版本 日期 人员 更新说明 V1.0 2010-10-27 文文档审核 审核人 职务 审核日期 文文档批准 批准人 职务 批准日期 复分发控制 部门 人员 文档权限 复复查计划 复查时间 复查人员 复查结果  第一章 总 则 目的：为有效防范“第三方”（详见第二章 术语解释）人员带来的安全风险，加强和规范“第三方”人员的安全管理，保证计算机系统及网络的安全，根据有关规定，制定本制度； 适用人员范围：陕西广电范围内的所有第三方人员和“中心”员工； 第二章　术语解释 本制度所述的“中心”是指陕西广电信息化部； 本制度适用于中心拥有的、控制和管理的所有软硬件系统； 本制度中的第三方，是指除中心以外，所有的组织和人员。第三方分为临时来访的第三方和非临时来访的第三方。临时来访的第三方是指来中心时间周期较短的人员，例如：进行业务交流，来访参观等；非临时来访是指中心来访时间较长的第三方，例如：项目建设人员，可以在批准情况下进入中心工作（办公区域工作活动不需陪同，机房工作活动需相关人员陪同）； “随工人员”是指中心派出的，负责接待“第三方”人员的接口人； “第三方”人员将带来的以下安全风险： “第三方”人员的物理访问带来的设备、资料盗窃； “第三方”人员的误操作导致各种软硬件故障； “第三方”人员的资料、信息外传导致泄密； “第三方”人员对计算机系统的滥用和越权访问； “第三方”人员给计算机系统、软件留下后门； “第三方”人员对计算机系统的恶意攻击。 为防范以上风险，安全管理员须结合日常的安全维护工作，评估“第三方”带来的安全现状。 第三章 人员与职责 随工人员负责临时来访的第三方人员自进入中心起至离开为止的全程陪同； 第四章　临时来访的第三方管理制度 除以下情况外，随工人员不得引领和允许第三方进入机房、办公室和其他机要区域： 中心高层领导批准的参观活动； 必要的设备和软件等现场安装、维修、调测； 临时来访第三方因业务需要进入上述区域的其他情形。 在情况2)、3)下，随工人员以令第三方进入上述区域，需经主管上述区域的部门负责人批准。临时来访第三方在上述区域活动时，随工人员须全程陪同。 业务交流一般应当在接待室或会议室内进行，招标、谈判等正式洽谈和重大项目的会谈应当在专门的会议室进行，不得在办公室进行,应当避免同一领域的临时来访第三方在同一会议室同时进行业务洽谈； 除预定的工作内容外，随工人员不得为临时来访第三方随意安排其它活动；不得向临时来访第三方透露业务范围之外的中心技术、商务情况； 结束业务活动后，临时来访第三方如与中心其它部门有业务联系，随工人员应通知相关部门另行接待，随工人员的义务至相关部门人员领走临时来访第三方为止；如无其它业务，随工人员应陪送临时来访第三方离开中心。随工人员在无法陪送的情况下应委托本部门其他人员陪送； 对随工人员的接待工作，部门负责人和本部门其他人员有权进行监督。随工人员违反上述规定，应由部门负责人给予批评警告； 未经中心领导批准，临时来访的第三方不得在中心机房内摄影、拍照； 为临时人员终端接入应遵照《陕西广电IT终端设备使用管理办法》执行； 为临时第三方开设的临时帐号以及权限设置、临时网络接入要在他们离开后及时删除和撤销； 第五章 非临时来访的第三方管理制度 非临时来访第三方出入中心允许的区域时，原则上不需安排专门人员陪同； 非临时来访的第三方只允许在经允许的区域（除机房）进行业务活动； 由于必要的设备和软件等现场安装、维修、调测；随工人员可以引领非临时来访第三方进入机房，但随工人员必须全程陪同； 非临时来访的第三方在进行维护工作时还应遵守中心所有相关管理和技术规范； 未经中心领导批准，非临时来访的第三方不得在中心内摄影、拍照； 如因业务需要须向非临时来访的第三方提供含有中心保密信息的文件、资料或实物的，随工人员应当在获得相应的批准或授权，并与非临时来访的第三方签订保密协议后再行提供，提供时应开具清单请非临时来访的第三方签收。提供文字保密材料的应当有保密标识。保密协议在相关部门存档，签收清单由相关部门妥善保存； 对非临时来访第三方的技术人员因业务需要须在中心进行工作的，应与其所在公司签订保密协议，向其明确“中心”的保密制度。这些人如需接触或查阅内部文件的，必须经过相关部门负责人签字批准，并由其本人填写查阅记录； 非临时来访第三方