08第三方人员访问控制管理制度.docxVIP

08第三方人员访问控制管理制度 08第三方人员访问控制管理制度 PAGE / NUMPAGES 08第三方人员访问控制管理制度 好利润（北京）金融信息服务有限企业 第三方人员接见控制管理制度 第一章 总 则 第一条 为增强对外面人员在好利润（北京）金融信息服务有限企业（以下简称“企业”）的信息安全管理，防备外面人员带来的信息安全风险，规范外面人员在企业各项与信息系统有关的活动所要恪守的行为准则，特拟订本方法。 第二条 本方法所述的外面人员是指非企业内部职工，包含产品供给商、设施保护商、服务供给商、业务合作单位、暂时雇工、实习生等外来人员，外面人员分为暂时外面人员和非暂时外面人员。 ( 一) 暂时外面人员指因业务洽商、技术沟通、供给短期和不屡次的技术支持服务而暂时来访的外面人员； ( 二) 非暂时外面人员指因从事合作开发、参加项目工程、供给技术支持或顾问服务，一定在有关单位办公的外面人员。 第三条 本方法合用于企业。 第二章 外面人员风险辨别 第四条 各部门在与第三方进行接触过程中，应防备外面人员关于企业可能带来的各种信息安全风险，这些风险包含但不限于以下内容： ( 一) 外面人员的物理接见带来的设施、资料偷窃； ( 二) 外面人员的误操作致使各样软硬件故障； ( 三) 外面人员对资料、信息管理不妥致使泄密； ( 四) 外面人员对计算机系统的滥用和越权接见； ( 五) 外面人员给计算机系统、软件留下后门； ( 六) 外面人员对计算机系统的歹意攻击。 第五条 招待部门应付外面人员出入招待地区的物理和信息风险进行辨别和防备；重点地区的出入应填写《好利润（北京）金融信息服务有限企业外 部人员接见申请表》，经部门负责人署名确认后， 由内部人员的全程陪伴，方可进入。 第六条 波及企业业务合作的外面人员风险辨别由各业务合作部门负责管理，各部门应正确、合理辨别各种业务信息的重点程度和保密程度，依据外面人员或项目保密协议严格控制，依据“按需接见”的原则对企业信息进行安全管理。 第三章 基本安全管理 第七条 在未经企业有关部门负责人的审查审批的状况下，严禁外面人员认识和查阅企业的敏感、重要和商业奥密信息。 第八条 外面人员如因业务需要查阅企业敏感资料或接见企业网络和信息系统资源，一定经过有关部门负责人同意并详尽登记，须与企业签订有效的《好利润（北京）金融信息服务有限企业外面人员保密协议》。 第九条 未经有关部门负责人的同意，外面人员不得在办公地区、设施间、机房等重点地区拍照、拍照。 第四章 外面人员物理接见控制 第十条 外面人员出入企业时，恪守信息安全工作组有关管理规定《企业办公环境信息安全管理方法》， 招待人一定全程陪伴暂时外面人员，见告有关安全管理方法。 第十一条 业务洽商和技术沟通应该在招待室、会议室或培训教室内进行，招标、谈判等正式洽商和重要项目的会商应该在特意的会议室进行，不得在办公地区内进行。 第十二条 外面人员进入机房、设施间等重要地区时，应遵照《企业机房环境安全管理方法》等有关方法。 第五章 外面人员信息系统使用控制 第十三条 未经同意，严禁外面人员携带的电脑接入企业网络，如因工作需要接见企业网络和信息系统资源，一定填写《好利润（北京）金融信息服务有限企业暂时接入企业网络申请表》，由招待人负责向信息安全工作组申请，并使用指定的设施。 第十四条 未经同意，严禁外面人员远程接见企业网络。如确因工作需要（比如保护、故障办理）需要远程接见，一定由远程接入业务的需求部门 填写《好利润（北京）金融信息服务有限企业暂时接入企业网络申请表》 ，经部门负责人审批，报信息安全工作组领导同意。 第十五条 外面人员在机房内的所有操作，都必要说明该操作可能惹起的安全风险，并由招待人认同后才能操作。招待人一定对外面人员的操作进行全程监控，参照《企业机房环境安全管理方法》中的有关附件，记录外面人员的操作内容并存档存案。 第十六条 改换机器硬件的操作需向招待人指出硬件破坏的凭证，由招待 人员上报信息安全工作组同意，将机器上的应用切换到其余机器上后，方可进行改换，并参照《企业机房环境安全管理方法》中的附件记录并存档。 第十七条 外面人员对机房隶属设施（如空调、 UPS等）的保护和养护，预先要由招待人员上报信息安全工作组领导同意后选择适合的时间进行，保证 操作不影响企业系统的正常运转，并参照《企业机房环境安全管理方法》中的附件记录并存档。 第十八条 未经信息安全工作组同意，严禁外面人员携带挪动储存介质进入机房。 第十九条 外面人员如因工作需要使用挪动储存介质，一定在招待人的监控下使用，由此而产生的安全风险由招待人肩负。 第六章 附则 第二十条 本方法由企业信息安全工作组拟订，并负责解说和订正。 第二十一条 本方法自觉布之日起履行。 附件 1 企业外面人员保密协议