完整word版,08第三方人員訪問控制管理制度

1、好收益（北京）金融信息服務有限公司第三方人員訪問控制管理制度第一章總 則第一條 為加強對外部人員在好收益（北京）金融信息服務有限公司（以下簡 稱“公司”）的信息安全管理，防范外部人員帶來的信息安全風險，規(guī)范 外部人員在公司各項與信息系統(tǒng)相關的活動所要遵守的行為準則，特制定 本辦法。第二條 本辦法所述的外部人員是指非公司內(nèi)部員工，包括產(chǎn)品供應商、設 備維護商、服務提供商、業(yè)務合作單位、臨時雇工、實習生等外來人員，外 部人員分為臨時外部人員和非臨時外部人員。（一）臨時外部人員指因業(yè)務洽談、技術交流、提供短期和不頻繁的 技術支持服務而臨時來訪的外部人員；（二）非臨時外部人員指因從事合作開發(fā)、參與項目

2、工程、提供技術 支持或顧問服務，必須在相關單位辦公的外部人員。第三條本辦法適用于公司。第二章外部人員風險識別第四條各部門在與第三方進行接觸過程中，應防范外部人員對于公司可能 帶來的各類信息安全風險，這些風險包括但不限于如下內(nèi)容：（一）外部人員的物理訪問帶來的設備、資料盜竊;外部人員的誤操作導致各種軟硬件故障;外部人員對資料、信息管理不當導致泄密;外部人員對計算機系統(tǒng)的濫用和越權訪問;外部人員給計算機系統(tǒng)、軟件留下后門;外部人員對計算機系統(tǒng)的惡意攻擊。第五條 接待部門應對外部人員進出接待區(qū)域的物理和信息風險進行識別和 防范；關鍵區(qū)域的進出應填寫好收益（北京）金融信息服務有限公司外 部人員訪問申請

3、表，經(jīng)部門負責人簽字確認后，由內(nèi)部人員的全程陪同，方可進入。第六條 涉及公司業(yè)務合作的外部人員風險識別由各業(yè)務合作部門負責管 理，各部門應正確、合理識別各類業(yè)務信息的關鍵程度和保密程度，根據(jù)外 部人員或項目保密協(xié)議嚴格控制，依照“按需訪問”的原則對公司信息進行 安全管理。第三章基本安全管理第七條 在未經(jīng)公司相關部門負責人的審核審批的情況下，禁止外部人員了 解和查閱公司的敏感、重要和商業(yè)秘密信息。第八條 外部人員如因業(yè)務需要查閱公司敏感資料或訪問公司網(wǎng)絡和信息系 統(tǒng)資源，必須經(jīng)過相關部門負責人批準并詳細登記，須與公司簽署有效的 好收益（北京）金融信息服務有限公司外部人員保密協(xié)議。第九條 未經(jīng)相關

4、部門負責人的許可，外部人員不得在辦公區(qū)域、設備間、 機房等關鍵區(qū)域攝影、拍照。第四章 外部人員物理訪問控制第十條外部人員進出公司時，遵守信息安全工作組相關管理規(guī)定公司辦公環(huán)境信息安全管理辦法，接待人必須全程陪同臨時外部人員，告知有關安全管理辦法。第一條 業(yè)務洽談和技術交流應當在接待室、會議室或培訓教室內(nèi)進 行，招標、談判等正式洽談和重大項目的會談應當在專門的會議室進行，不 得在辦公區(qū)域內(nèi)進行。第十二條 外部人員進入機房、設備間等重要區(qū)域時，應遵從公司機房環(huán) 境安全管理辦法等相關辦法。第五章外部人員信息系統(tǒng)使用控制第十三條 未經(jīng)允許，禁止外部人員攜帶的電腦接入公司網(wǎng)絡，如因工作需要訪問公司網(wǎng)絡和

5、信息系統(tǒng)資源，必須填寫好收益（北京）金融信息 服務有限公司臨時接入公司網(wǎng)絡申請表，由接待人負責向信息安全工作 組申請，并使用指定的設備。第十四條 未經(jīng)允許，禁止外部人員遠程訪問公司網(wǎng)絡。如確因工作需要（例如維護、故障處理）需要遠程訪問，必須由遠程接入業(yè)務的需求部門 填寫好收益（北京）金融信息服務有限公司臨時接入公司網(wǎng)絡申請表 經(jīng)部門負責人審批，報信息安全工作組領導批準。第十五條 外部人員在機房內(nèi)的所有操作，都必需說明該操作可能引起的 安全風險，并由接待人認可后才能操作。接待人必須對外部人員的操作進行 全程監(jiān)控，參照公司機房環(huán)境安全管理辦法中的相關附件，記錄外部人 員的操作內(nèi)容并存檔備案。第十六

6、條 更換機器硬件的操作需向接待人指出硬件損壞的證據(jù)，由接待 人員上報信息安全工作組批準，將機器上的應用切換到其它機器上后，方可 進行更換，并參照公司機房環(huán)境安全管理辦法中的附件記錄并存檔。第十七條外部人員對機房附屬設備（如空調(diào)、 UPS等）的維護和保養(yǎng)，事 先要由接待人員上報信息安全工作組領導批準后選擇合適的時間進行，確保 操作不影響公司系統(tǒng)的正常運行，并參照公司機房環(huán)境安全管理辦法中 的附件記錄并存檔。第十八條未經(jīng)信息安全工作組批準，禁止外部人員攜帶移動存儲介質(zhì)進入機房。第十九條 外部人員如因工作需要使用移動存儲介質(zhì)，必須在接待人的監(jiān)控下 使用，由此而產(chǎn)生的安全風險由接待人承擔。第六章附則第

7、二十條 本辦法由公司信息安全工作組制定，并負責解釋和修訂。第二一條本辦法自發(fā)布之日起執(zhí)行。10附件1公司外部人員保密協(xié)議本協(xié)議中涉及的項目:涉及到的公司（簡稱“公司”）信息 （信息系統(tǒng)、文檔、數(shù)據(jù)等）包括:為了保證公司及其上級和合作單位的專有信息不被泄露，人員（承諾人）.所屬公承諾如下:保密內(nèi)容1.在項目中接觸到的或以任何方式獲得的所有信息，包括但不限于如下所列：商業(yè)秘密、技術秘密、通信或與其相關的其他信息；無論是書面的、口頭的、圖形的、電磁的或其它任何形式的信息，包括（但不限于）數(shù)據(jù)、模型、技術、方法和其它信息均為承諾保密的專有2.信息。不將專有信息透露給項目組內(nèi)非必須人員和/或項目組之外的

8、任何人;3.不得為本合同規(guī)定目的之外的其他目的使用專有信息;4.不將此專有信息的全部或部分進行復制或仿造。例外情況必須以如下形式確定1.獲得書面授權，承諾人可以披露的專有信息。2.承諾人能夠證明在承諾人披露公司專有信息之前，公司已經(jīng)通過其他途徑公開披露的專有信息。3.有書面材料證明，公司在未附加保密義務的情況下公開透露的信息;4.有書面材料證明，承諾人從公司獲取任何專有信息之前在未受任何保密義務限制的情況下已經(jīng)擁有的專有信息。專有信息的交回1.當公司以書面形式要求承諾人交回專有信息時，承諾人應當立即交回所有書面的或其他有形的專有信息以及所有描述和概括該專有信息的文件。2.如無公司的書面許可，承

9、諾人不得丟棄和處理任何書面的或其他有形的專有信息。四、否認許可除非公司明確地授權，承諾人不能認為公司授予其包含該專有信息的任何專利權、專利申請權、商標權、著作權、商業(yè)秘密或其它的知識產(chǎn)權。五、違約處理承諾人未按照公司要求采取有效措施對信息進行保密，由此帶來的任何損失由承諾人及所屬公司承擔，如造成法律糾紛或涉及違法，承諾人承擔法律責任。八、保密期限本協(xié)議規(guī)定的保密責任期限于月 日到期。承諾人（簽字）：好收益（北京）金融信息服務有限公司（蓋章）授權代表（簽字）：簽字時間:附件2公司臨時接入網(wǎng)絡申請表外部人員:接待人姓名使用單位日期接入時段聯(lián)系電話接入設備序列號接入網(wǎng)絡原因:特殊訪問需求:使用人保密責任承諾如下:1、外部人員所使用的接入設備應安裝防病毒產(chǎn)品，確保病毒碼保持最新，避免本機對網(wǎng)絡中其他計算機 造成病毒影響。2、外部人員應嚴格按照需要訪問資源，訪問與自身工作相關的工作資源，不得隨意訪問與工作無關的其 他網(wǎng)絡資源和信息。3、在接入公司網(wǎng)絡的同時，本機不允許使用任何無線和外聯(lián)設備，嚴格執(zhí)行保密管理要求，自覺接受保 密監(jiān)督，嚴格遵守“上網(wǎng)不涉密，涉密不上網(wǎng)”的原則。4、自覺遵守公司的保密管理要求，若