1、第三方人员安全管理制度1 范围本制度规定了第三方人员安全管理办法。本制度适用于对第三方的信息安全管理工作。2 术语和定义下列术语和定义适用于本制度2.1 第三方l 第三方人员包括为提供服务的软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等非本单位人员。l 第三方人员管理的范畴包括临时第三方人员和长期第三方人员。l 临时第三方人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的第三方人员。l 长期第三方人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务,必须在一定时间内在单位内部办公的第三方人员。l 接待人是指单位与来访第三方的相关部门派出的,负责接待和管理
2、第三方人员的单位员工。2.2 第三方人员带来的风险l 第三方人员访问单位的方式包括现场访问和远程网络访问。l 第三方人员带来的安全风险必须定期评估,防范以下安全风险:1) 第三方人员物理访问带来的设备、资料盗窃;2) 第三方人员误操作导致各种软硬件故障;3) 第三方人员的资料、信息外传导致泄密;4) 第三方人员对业务系统的滥用和越权访问;5) 第三方人员给主机系统、软件留下后门;6) 第三方人员对系统的恶意攻击。3 第三方信息安全具体管理办法3.1 第三方人员访问安全管理l 物理安全 第三方人员现场访问需要遵从各项安全管理制度,具体物理安全的负责部门是信息中心。要求如下:1) 第三方人员进出单
3、位均需登记,遵照单位各项安全管理制度执行。2) 工作时间内机房必须有当班、值班人员,对第三方人员进入机房内部一律进行登记。l 网络访问安全 第三方人员现场访问网络原则上不允许。如果必须,需要第三方人员及接待人员遵守如下安全要求:1) 临时接入或远程访问内网的第三方人员,需要计算机审计负责人同意,一旦发生并经核实其起因是第三方人员引起的安全事件,相关责任由单位接待人员及计算机审计负责人负责。2) 临时接入或远程访问内网的第三方人员在访问过程中,单位接待人员应能够确定其访问的内容;在访问结束后,单位接待人员应及时关闭或敦促相关技术负责人员关闭临时访问的通路,并在本部门内部记录访问结束时间。2 / 2
