信息安全管理体系第方人员安全管理制度.docx

PAGE1

信息安全管理体系第方人员安全管理制度

目录

TOC\h\z\u第一章 总则 1

第二章 第三方人员安全管理 1

第三章 第三方人员安全操作 2

第四章 附则 2

附件 3

附件1：第三方人员访问申请流程 3

附件2：第三方人员入网申请表 4

总则

为有效防范第三方人员进入公司带来的安全风险，加强和规范各部门对第三方人员的安全管理，提供第三方人员在公司活动所要遵守的行为准则，特制定本管理制度。

本管理制度所涉及的第三方人员包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等非本公司人员。

第三方人员安全管理

第三方人员必须签署安全保密协议后才能进场工作。

在确认已与公司签署有效的保密协议的情况下，第三方人员如因业务需要查阅公司机密资料、文件以及接入公司网络系统，必须由内部接待人员向相应部门提出申请，申请表详见附件2，相关部门领导审批通过后记录存档。申请审批流程详见附件1。

未经批准，禁止第三方人员携带存储介质进入公司。

未经公司领导特别许可，第三方人员不得在办公区域和机房内摄影、拍照。

禁止第三方人员关注与工作无关的公司信息。

第三方人员必须保守公司机密，严禁向任何人员（包括公司无关人员）以口述、文件等方式透露公司机密。

接待人员应自觉保守公司机密，不得向第三方人员透露业务范围之外的公司技术和经营情况。

第三方人员安全操作

第三方人员携带的计算机接入公司网络需要经过网络服务部审批，审批通过后由网络工程师为其分配固定IP以便进行管理。

禁止第三方人员直接对网络设备和主机进行操作，第三方人员可以通过口述操作过程的方式，由公司技术人员完成所需操作。

第三方人员在机房内的所有工作情况，都必须说明该工作可能引起的安全风险，并由接待人员确认后才能操作。接待人员必须对第三方人员的操作进行全程监控，需要对第三方人员的所有行为负责。

网络运营中心技术人员需要采用必要的设备和手段（如防火墙、IDS等设备；认证、审计等手段）对第三方人员的各种操作进行有效的监控和限制，确保公司信息安全。

附则

本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管理委员会批准之日起生效。

本制度解释权属架构与安全委员会。

附件

附件1：第三方人员访问申请流程

附件2：第三方人员入网申请表

第三方人员入网申请表

申请时间

接待人

接待部门

第三方人员姓名

工作单位

手机号码

入网需求：

网络运营中心

意见：

签字：

时间：