外部人员信息安全管理规定.pdfVIP

外部人员信息安全管理规定

第一章总则

第一条为加强对外部人员在XXX公司重要信息系统的信息安全管理，防范外部人员带

来的信息安全风险，规范外部人员在重要信息系统范围内各项与信息系统相关的活动所

要遵守的行为准则，特制定本规定。

第二章适用范围

第二条本规定适用于控制XXX公司第三方访问。本规定中的外部人员，是指在XXX

公司信息安全管理范围内，除XXX公司以外所有的组织和人员。

第三章外部人员风险识别

第三条接待人是指受访单位、部门派出的、负责接待外部人员的接口人。

第四条各单位、部门在与外部人员进行接触过程中，应防范外部人员对于XXX公司可

能带来的各类信息安全风险，这些风险包括但不限于如下内容：

（一）外部人员的物理访问带来的设备、资料盗窃；

（二）外部人员的误操作导致各种软硬件故障；

（三）外部人员对资料、信息管理不当导致泄密；

（四）外部人员对计算机系统的滥用和越权访问；

（五）外部人员给计算机系统、软件留下后门；

（六）外部人员对计算机系统的恶意攻击。

第五条接待单位、部门应对进出接待区域的物理和信息风险进行识别和防范；关键区

域的进出应通过主管领导的审批，根据管理要求进行记录和审核，确保内部人员的全程

陪同。

第六条涉及XXX公司业务合作的外部人员风险识别由各业务合作单位、部门负责管

1

理，各有关单位、部门应正确、合理识别各类业务信息的关键程度和保密程度，根据外

部人员或项目保密协议严格控制，对XXX公司信息访问进行安全管理。

第四章基本安全要求

第七条未经相关单位、部门领导的审核审批，禁止外部人员了解和查阅XXX公司的敏

感、重要及秘密信息。

第八条非临时来访外部人员必须签署安全保密协议后才能进场工作。禁止外部人员试

图了解和查阅与工作无关的资料以及访问与工作无关的信息系统，外部人员如因业务需

要查阅XXX公司资料或访问重要信息系统信息系统，必须获得相关负责人批准并详细

登记，并确认已签署有效的保密协议。

第九条未经批准，禁止外部人员携带移动存储介质进入XXX公司。

第十条外部人员如因特殊原因需要使用移动存储介质，必须在接待人的监控下使用。

第一条未经相关负责人特别许可，外部人员不得在办公区域和机房内摄影、拍照。

第五章外部访问管理

第十一条外部人员在访问时可以分成物理访问和信息访问，具体如下：

（一）物理访问，如对办公室、机房的物理访问；

（二）信息访问，如对信息系统、主机、网络设备、数据库的访问。

第十二条临时来访外部人员进入XXX公司时，须在接待室登记相关信息，包括来访

人姓名、工作单位、接待人单位、部门和姓名、进入时间等，领取来宾出入卡，或直接

由接待人领进。

第十三条接待人必须全程陪同临时外部人员，告知有关安全管理规定，不应透露与第

三方工作无关的信息，不得任其自行走动和未经允许使用XXX公司的计算机设备。

第十四条非临时来访外部人员，在签订XXX公司《参与人员保密责任书》后，由接

2

待人代为申请临时出入证。必须按照临时出入证申请流程，提交申请人姓名、照片、单

位证明、身份证复印件、工作时间等资料，经接待人所在单位、部门负责人批准后向信

息中心申请。

第十五条非临时来访外部人员进入XXX公司时，必须向警卫出示临时出入证，获准

后方可进入。

第十六条未经批准，禁止外部人员携带的电脑接入XXX公司网络。外部人员使用的

机器必须独立组网，不能连接到XXX公司网络。外部人员如因工作需要（如软件开发

测试）访问XXX公司网络，必须向有关单位、部门申请，并使用XXX公司的设备或经

过检查认可的设备。

第十七条外部人员如有需要访问XXX公司信息时，需要依照如下几个阶段进行：

(一)访问申请阶段，接待人根据外部人员实际需要提出某时间段内访问网络、主