完整word版,08第三方人員訪問控制管理制度

1、好收益（北京）金融信息服務(wù)有限公司第三方人員訪問控制管理制度第一章總 則第一條 為加強(qiáng)對(duì)外部人員在好收益（北京）金融信息服務(wù)有限公司（以下簡 稱“公司”）的信息安全管理，防范外部人員帶來的信息安全風(fēng)險(xiǎn)，規(guī)范 外部人員在公司各項(xiàng)與信息系統(tǒng)相關(guān)的活動(dòng)所要遵守的行為準(zhǔn)則，特制定 本辦法。第二條 本辦法所述的外部人員是指非公司內(nèi)部員工，包括產(chǎn)品供應(yīng)商、設(shè) 備維護(hù)商、服務(wù)提供商、業(yè)務(wù)合作單位、臨時(shí)雇工、實(shí)習(xí)生等外來人員，外 部人員分為臨時(shí)外部人員和非臨時(shí)外部人員。（一）臨時(shí)外部人員指因業(yè)務(wù)洽談、技術(shù)交流、提供短期和不頻繁的 技術(shù)支持服務(wù)而臨時(shí)來訪的外部人員；（二）非臨時(shí)外部人員指因從事合作開發(fā)、參與項(xiàng)目

2、工程、提供技術(shù) 支持或顧問服務(wù)，必須在相關(guān)單位辦公的外部人員。第三條本辦法適用于公司。第二章外部人員風(fēng)險(xiǎn)識(shí)別第四條各部門在與第三方進(jìn)行接觸過程中，應(yīng)防范外部人員對(duì)于公司可能 帶來的各類信息安全風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)包括但不限于如下內(nèi)容：（一）外部人員的物理訪問帶來的設(shè)備、資料盜竊;外部人員的誤操作導(dǎo)致各種軟硬件故障;外部人員對(duì)資料、信息管理不當(dāng)導(dǎo)致泄密;外部人員對(duì)計(jì)算機(jī)系統(tǒng)的濫用和越權(quán)訪問;外部人員給計(jì)算機(jī)系統(tǒng)、軟件留下后門;外部人員對(duì)計(jì)算機(jī)系統(tǒng)的惡意攻擊。第五條 接待部門應(yīng)對(duì)外部人員進(jìn)出接待區(qū)域的物理和信息風(fēng)險(xiǎn)進(jìn)行識(shí)別和 防范；關(guān)鍵區(qū)域的進(jìn)出應(yīng)填寫好收益（北京）金融信息服務(wù)有限公司外 部人員訪問申請(qǐng)

3、表，經(jīng)部門負(fù)責(zé)人簽字確認(rèn)后，由內(nèi)部人員的全程陪同，方可進(jìn)入。第六條 涉及公司業(yè)務(wù)合作的外部人員風(fēng)險(xiǎn)識(shí)別由各業(yè)務(wù)合作部門負(fù)責(zé)管 理，各部門應(yīng)正確、合理識(shí)別各類業(yè)務(wù)信息的關(guān)鍵程度和保密程度，根據(jù)外 部人員或項(xiàng)目保密協(xié)議嚴(yán)格控制，依照“按需訪問”的原則對(duì)公司信息進(jìn)行 安全管理。第三章基本安全管理第七條 在未經(jīng)公司相關(guān)部門負(fù)責(zé)人的審核審批的情況下，禁止外部人員了 解和查閱公司的敏感、重要和商業(yè)秘密信息。第八條 外部人員如因業(yè)務(wù)需要查閱公司敏感資料或訪問公司網(wǎng)絡(luò)和信息系 統(tǒng)資源，必須經(jīng)過相關(guān)部門負(fù)責(zé)人批準(zhǔn)并詳細(xì)登記，須與公司簽署有效的 好收益（北京）金融信息服務(wù)有限公司外部人員保密協(xié)議。第九條 未經(jīng)相關(guān)

4、部門負(fù)責(zé)人的許可，外部人員不得在辦公區(qū)域、設(shè)備間、 機(jī)房等關(guān)鍵區(qū)域攝影、拍照。第四章 外部人員物理訪問控制第十條外部人員進(jìn)出公司時(shí)，遵守信息安全工作組相關(guān)管理規(guī)定公司辦公環(huán)境信息安全管理辦法，接待人必須全程陪同臨時(shí)外部人員，告知有關(guān)安全管理辦法。第一條 業(yè)務(wù)洽談和技術(shù)交流應(yīng)當(dāng)在接待室、會(huì)議室或培訓(xùn)教室內(nèi)進(jìn) 行，招標(biāo)、談判等正式洽談和重大項(xiàng)目的會(huì)談應(yīng)當(dāng)在專門的會(huì)議室進(jìn)行，不 得在辦公區(qū)域內(nèi)進(jìn)行。第十二條 外部人員進(jìn)入機(jī)房、設(shè)備間等重要區(qū)域時(shí)，應(yīng)遵從公司機(jī)房環(huán) 境安全管理辦法等相關(guān)辦法。第五章外部人員信息系統(tǒng)使用控制第十三條 未經(jīng)允許，禁止外部人員攜帶的電腦接入公司網(wǎng)絡(luò)，如因工作需要訪問公司網(wǎng)絡(luò)和

5、信息系統(tǒng)資源，必須填寫好收益（北京）金融信息 服務(wù)有限公司臨時(shí)接入公司網(wǎng)絡(luò)申請(qǐng)表，由接待人負(fù)責(zé)向信息安全工作 組申請(qǐng)，并使用指定的設(shè)備。第十四條 未經(jīng)允許，禁止外部人員遠(yuǎn)程訪問公司網(wǎng)絡(luò)。如確因工作需要（例如維護(hù)、故障處理）需要遠(yuǎn)程訪問，必須由遠(yuǎn)程接入業(yè)務(wù)的需求部門 填寫好收益（北京）金融信息服務(wù)有限公司臨時(shí)接入公司網(wǎng)絡(luò)申請(qǐng)表 經(jīng)部門負(fù)責(zé)人審批，報(bào)信息安全工作組領(lǐng)導(dǎo)批準(zhǔn)。第十五條 外部人員在機(jī)房內(nèi)的所有操作，都必需說明該操作可能引起的 安全風(fēng)險(xiǎn)，并由接待人認(rèn)可后才能操作。接待人必須對(duì)外部人員的操作進(jìn)行 全程監(jiān)控，參照公司機(jī)房環(huán)境安全管理辦法中的相關(guān)附件，記錄外部人 員的操作內(nèi)容并存檔備案。第十六

6、條 更換機(jī)器硬件的操作需向接待人指出硬件損壞的證據(jù)，由接待 人員上報(bào)信息安全工作組批準(zhǔn)，將機(jī)器上的應(yīng)用切換到其它機(jī)器上后，方可 進(jìn)行更換，并參照公司機(jī)房環(huán)境安全管理辦法中的附件記錄并存檔。第十七條外部人員對(duì)機(jī)房附屬設(shè)備（如空調(diào)、 UPS等）的維護(hù)和保養(yǎng)，事 先要由接待人員上報(bào)信息安全工作組領(lǐng)導(dǎo)批準(zhǔn)后選擇合適的時(shí)間進(jìn)行，確保 操作不影響公司系統(tǒng)的正常運(yùn)行，并參照公司機(jī)房環(huán)境安全管理辦法中 的附件記錄并存檔。第十八條未經(jīng)信息安全工作組批準(zhǔn)，禁止外部人員攜帶移動(dòng)存儲(chǔ)介質(zhì)進(jìn)入機(jī)房。第十九條 外部人員如因工作需要使用移動(dòng)存儲(chǔ)介質(zhì)，必須在接待人的監(jiān)控下 使用，由此而產(chǎn)生的安全風(fēng)險(xiǎn)由接待人承擔(dān)。第六章附則第

7、二十條 本辦法由公司信息安全工作組制定，并負(fù)責(zé)解釋和修訂。第二一條本辦法自發(fā)布之日起執(zhí)行。10附件1公司外部人員保密協(xié)議本協(xié)議中涉及的項(xiàng)目:涉及到的公司（簡稱“公司”）信息 （信息系統(tǒng)、文檔、數(shù)據(jù)等）包括:為了保證公司及其上級(jí)和合作單位的專有信息不被泄露，人員（承諾人）.所屬公承諾如下:保密內(nèi)容1.在項(xiàng)目中接觸到的或以任何方式獲得的所有信息，包括但不限于如下所列：商業(yè)秘密、技術(shù)秘密、通信或與其相關(guān)的其他信息；無論是書面的、口頭的、圖形的、電磁的或其它任何形式的信息，包括（但不限于）數(shù)據(jù)、模型、技術(shù)、方法和其它信息均為承諾保密的專有2.信息。不將專有信息透露給項(xiàng)目組內(nèi)非必須人員和/或項(xiàng)目組之外的

8、任何人;3.不得為本合同規(guī)定目的之外的其他目的使用專有信息;4.不將此專有信息的全部或部分進(jìn)行復(fù)制或仿造。例外情況必須以如下形式確定1.獲得書面授權(quán)，承諾人可以披露的專有信息。2.承諾人能夠證明在承諾人披露公司專有信息之前，公司已經(jīng)通過其他途徑公開披露的專有信息。3.有書面材料證明，公司在未附加保密義務(wù)的情況下公開透露的信息;4.有書面材料證明，承諾人從公司獲取任何專有信息之前在未受任何保密義務(wù)限制的情況下已經(jīng)擁有的專有信息。專有信息的交回1.當(dāng)公司以書面形式要求承諾人交回專有信息時(shí)，承諾人應(yīng)當(dāng)立即交回所有書面的或其他有形的專有信息以及所有描述和概括該專有信息的文件。2.如無公司的書面許可，承

9、諾人不得丟棄和處理任何書面的或其他有形的專有信息。四、否認(rèn)許可除非公司明確地授權(quán)，承諾人不能認(rèn)為公司授予其包含該專有信息的任何專利權(quán)、專利申請(qǐng)權(quán)、商標(biāo)權(quán)、著作權(quán)、商業(yè)秘密或其它的知識(shí)產(chǎn)權(quán)。五、違約處理承諾人未按照公司要求采取有效措施對(duì)信息進(jìn)行保密，由此帶來的任何損失由承諾人及所屬公司承擔(dān)，如造成法律糾紛或涉及違法，承諾人承擔(dān)法律責(zé)任。八、保密期限本協(xié)議規(guī)定的保密責(zé)任期限于月 日到期。承諾人（簽字）：好收益（北京）金融信息服務(wù)有限公司（蓋章）授權(quán)代表（簽字）：簽字時(shí)間:附件2公司臨時(shí)接入網(wǎng)絡(luò)申請(qǐng)表外部人員:接待人姓名使用單位日期接入時(shí)段聯(lián)系電話接入設(shè)備序列號(hào)接入網(wǎng)絡(luò)原因:特殊訪問需求:使用人保密責(zé)任承諾如下:1、外部人員所使用的接入設(shè)備應(yīng)安裝防病毒產(chǎn)品，確保病毒碼保持最新，避免本機(jī)對(duì)網(wǎng)絡(luò)中其他計(jì)算機(jī) 造成病毒影響。2、外部人員應(yīng)嚴(yán)格按照需要訪問資源，訪問與自身工作相關(guān)的工作資源，不得隨意訪問與工作無關(guān)的其 他網(wǎng)絡(luò)資源和信息。3、在接入公司網(wǎng)絡(luò)的同時(shí)，本機(jī)不允許使用任何無線和外聯(lián)設(shè)備，嚴(yán)格執(zhí)行保密管理要求，自覺接受保 密監(jiān)督，嚴(yán)格遵守“上網(wǎng)不涉密，涉密不上網(wǎng)”的原則。4、自覺遵守公司的保密管理要求，若