安全信息等级保护-信息系统第三方人员访问管理制度
信息系统第三方人员访问管理制度第一章 总则第一条 为有效防范“第三方”人员带来的安全风险,加强和规范“第三方”人员的安全管理,保证计算机系统及网络的安全,特制定本规定。第二条 本规定适用于*公司企业信息化部。第二章 第三方访问管理第三条 本办法所述的“第三方”人员包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等外来人员。第四条 “第三方”人员的访问方式包括现场访问和远程网络访问。第五条 “第三方”人员进入信息系统所在机房时,必须按照合信信用服务有限公司机房管理制度中规定程序流程办理相关手续。第六条 接待人必须全程陪同 “第三方”人员,告知有关安全管理规定,不应透露与“第三方”工作无关的信息,不得任其自行走动和未经允许使用信息系统的服务器设备。第七条 原则上禁止“第三方”人员携带的电脑接入信息系统网络。第八条 原则上不允许“第三方”人员进行远程网络访问。如确因工作需要远程进行访问,必须先由“第三方”人员或所在单位、机构提出书面申请,并由企业信息化部批准后方可进行。第九条 “第三方”人员在机房内的所有操作,都必需说明该操作可能引起的安全风险,并由接待人确认后才能操作,接待人必须对“第三方”人员的操作进行全程监控。第十条 “第三方”人员维护网络、主机等设备的安全配置时必须符合相应的安全配置基线中相应规定。第十一条 必须防范“第三方”人员带来的以下安全风险:1、 “第三方”人员的物理访问带来的设备、资料盗窃;2、 “第三方”人员的误操作导致各种软硬件故障;3、 “第三方”人员的资料、信息外传导致泄密;4、 “第三方”人员对计算机系统的滥用和越权访问;5、 “第三方”人员给计算机系统、软件留下后门;6、 “第三方”人员对计算机系统的恶意攻击。第十二条 “第三方”人员工作结束,离开现场或结束系统接入时,必须由企业信息化部对其现场、系统等权限进行清除的确认。第三章 第三方安全要求第十三条 未经批准,禁止“第三方”人员私自将移动存储介质接入信息系统,移动存储介质必须在接待人的监控下使用。第十四条 未经相关负责人特别许可,“第三方”人员不得在办公区域和机房内摄影、拍照。第十五条 获取进入现场或网络、系统接入权限的“第三方”人员,必须与公司签署保密协议,明确保密责任。并且不得进行授权以外的操作,不得复制、泄露任何敏感信息。第四章 附则第十六条 本规定的解释权归企业信息化部。