第三方人員管理制度

第三方人員管理制度第三方人員管理制度「篇一」為加強外來人員進入信息網(wǎng)絡(luò)中心辦公區(qū)及中心機房的管理，保證信息網(wǎng)絡(luò)中心正常的工作秩序，確保學(xué)院數(shù)據(jù)等機密不被竊取，保障工作人員安全，特制定本制度。1、凡來信息網(wǎng)絡(luò)中心聯(lián)系工作或接洽業(yè)務(wù)者，需持本人有效證件，私人來訪需出示本人有效證件，征得接待部門相關(guān)領(lǐng)導(dǎo)同意，并辦理相關(guān)手續(xù)后，方可進入。2、來訪人員應(yīng)自覺遵守學(xué)院各項規(guī)章制度，不得擅自進入與被訪人員無關(guān)的部門，如辦公室及其他場地。3、凡需進入中心機房參觀或?qū)W習(xí)的外來人員，應(yīng)征得信息網(wǎng)絡(luò)中心負責(zé)人的同意后，由信息網(wǎng)絡(luò)中心領(lǐng)導(dǎo)安排辦理相關(guān)手續(xù)，按相關(guān)程序進入中心機房；并應(yīng)在有關(guān)部門人員的陪同、帶領(lǐng)下，方可進入中心機房。4、來訪人員所攜帶的物品，進入信息網(wǎng)絡(luò)中心辦公區(qū)及中心機房時必須進行相關(guān)注明，以便出門時核對。5、外來人員不得在信息網(wǎng)絡(luò)中心辦公區(qū)及中心機房與工作人員閑談、嬉笑、影響工作人員工作。第三方人員管理制度「篇二」第一章總則第一條為了規(guī)范第三方用戶在共享學(xué)校內(nèi)部信息、或訪問內(nèi)部信息系統(tǒng)時的行為，保護學(xué)校網(wǎng)絡(luò)與信息系統(tǒng)安全，特制定本管理辦法，用于內(nèi)部管理對第三方機構(gòu)和人員進行安全管理。第二章適用范圍第二條本管理辦法適用的第三方包括學(xué)校的其他部門、相關(guān)的教育機構(gòu)、網(wǎng)絡(luò)監(jiān)管部門、網(wǎng)絡(luò)信息的產(chǎn)品供應(yīng)商、代維服務(wù)商、合作廠商等，制度的執(zhí)行和責(zé)任由與第三方接觸的相關(guān)部門承擔(dān)。第三條第三方合作伙伴在涉及到共享內(nèi)部信息、或訪問內(nèi)部信息系統(tǒng)時，必須遵守本管理辦法。第四條在網(wǎng)絡(luò)與信息安全工作中，本管理辦法是指導(dǎo)第三方安全管理的基本依據(jù)，相關(guān)組織和人員必須認真執(zhí)行本管理辦法，并根據(jù)工作實際情況，制定并遵守相應(yīng)的實施細則和操作流程，做好第三方安全管理工作。第三章來訪出入管理第五條第三方人員進入學(xué)校中心機房或相關(guān)實驗室時，應(yīng)遵守學(xué)校相關(guān)安保制度。第六條接待部門應(yīng)當(dāng)建立第三方來訪預(yù)約制度和接待記錄制度。對第三方人員的訪問應(yīng)進行登記，詳細登記來訪原因、工作單位、出入時間、會見人、目的、有效證件。第七條第三方人員訪問過程中，必須安排專人陪同，不得任其自行走動。第八條未經(jīng)特別許可，第三方人員不得在機房、實驗室內(nèi)攝影、拍照。第九條如因業(yè)務(wù)需要須向第三方提供含有學(xué)校內(nèi)部保密信息的文件、資料或?qū)嵨锏?，接待人?yīng)當(dāng)在獲得相應(yīng)的批準或授權(quán)，并與第三方簽訂保密協(xié)議后再行提供，提供時應(yīng)開具清單請第三方簽收。第四章機房出入管理第十條除以下情況外，不得引領(lǐng)和允許第三方人員訪問機房等重要區(qū)域：1.學(xué)校領(lǐng)導(dǎo)批準的參觀活動；2.必要的儀器設(shè)備現(xiàn)場安裝、維修、調(diào)測；3.第三方因業(yè)務(wù)需要進入上述區(qū)域的其它情形。第十一條第三方人員訪問機房須遵守機房管理相關(guān)規(guī)定。第十二條第三方人員進入計算機房或進行上機操作，須經(jīng)信息化部門領(lǐng)導(dǎo)或安全負責(zé)人批準，并進行相應(yīng)登記，記錄原因、目的及操作內(nèi)容，指定專人全程陪同。第五章網(wǎng)絡(luò)訪問管理第十三條第三方人員不允許私自連接學(xué)校內(nèi)部網(wǎng)絡(luò)。如果必要，必須提出申請，征得允許后方可接入。第三方人員連接網(wǎng)絡(luò)要進行相應(yīng)登記備案，并簽訂網(wǎng)絡(luò)使用安全協(xié)議。第十四條第三方人員如果需要訪問網(wǎng)絡(luò)資源，須提前明確申請要訪問資源的類型、范圍和方式，以便管理員進行審批，并提供相應(yīng)的訪問權(quán)限和訪問方法。除了明確授權(quán)可以訪問的資源以及相應(yīng)訪問方式以外，其他所有資源和資源訪問方式都應(yīng)該理解為禁止的。第十五條第三方人員操作服務(wù)器或網(wǎng)絡(luò)設(shè)備，必須使用臨時帳號，使用之后由相應(yīng)的管理人員及時清除。第十六條網(wǎng)絡(luò)信息管理部門有權(quán)對第三方人員在內(nèi)部網(wǎng)絡(luò)的活動進行檢查、審計和監(jiān)控。第六章標準維護與解釋第十七條本管理辦法由部門信息安全領(lǐng)導(dǎo)小組每年復(fù)核一次，在必要時進行修訂，并頒發(fā)執(zhí)行。第十八條本管理辦法解釋權(quán)歸信息管理中心。第三方人員管理制度「篇三」1總則1.1目的為了加強對第三方合作伙伴、人員、系統(tǒng)的安全管理，特制定本管理辦法。1.2范圍本規(guī)范適用于合肥師范學(xué)院在信息安全管理過程中對外來人員和第三方人員的行為規(guī)范管理。1.3職責(zé)合肥師范學(xué)院第三方信息安全管理由信息技術(shù)中心負責(zé)，并應(yīng)按照本辦法嚴格落實。2管理細則2.1解釋（1）本辦法所指第三方包括第三方公司、第三方系統(tǒng)、第三方人員：（2）第三方公司是指向我院提供設(shè)備、產(chǎn)品、服務(wù)的外部公司。（3）第三方系統(tǒng)是指為我院服務(wù)或與我院合作運營的系統(tǒng)。這些系統(tǒng)可能不在我院機房內(nèi)，但能通過接口與我院的系統(tǒng)發(fā)生數(shù)據(jù)交互。（4）第三方人員是指為我院提供開發(fā)、測試、運維等服務(wù)或參與合作運營系統(tǒng)管理的非本單位人員。（5）對第三方公司的信息安全管理應(yīng)遵循如下原則：“誰主管誰負責(zé)、誰運營誰負責(zé)、誰使用誰負責(zé)、誰接入誰負責(zé)”的原則。2.2總體要求（1）對于與我院開展合作運營的第三方公司，信息技術(shù)中心要求其按照相關(guān)網(wǎng)絡(luò)與信息安全的管理規(guī)定，嚴格落實信息安全責(zé)任，建立日常安全運維、檢查制度，確保不發(fā)生信息泄密、重大安全漏洞。（2）信息技術(shù)中心須要求在我院開展現(xiàn)場長期服務(wù)的第三方公司，在派駐現(xiàn)場設(shè)立專職人員，其主要職責(zé)包括：負責(zé)按照國家法律及我院的信息安全管理要求，開展派駐現(xiàn)場的安全管理，指導(dǎo)和監(jiān)督派駐現(xiàn)場人員的信息安全，確保不發(fā)生違規(guī)行為；接受我院的監(jiān)督和考核等。（3）第三方公司信息安全管理人員發(fā)生變更時，應(yīng)在變更前1周將有關(guān)變更信息報送我院信息技術(shù)中心。（4）信息技術(shù)中心要督促指導(dǎo)第三方公司及人員遵循我院的安全管理制度和規(guī)范，將安全要求作為考核內(nèi)容，納入雙方合作協(xié)議，定期組織對第三方安全檢查。2.3第三方公司及人員管理（1）第三方公司必須與我院簽訂保密協(xié)議，在協(xié)議中明確第三方公司的保密責(zé)任以及違約罰則；第三方公司應(yīng)與其員工簽訂保密協(xié)議，在協(xié)議中明確第三方公司員工的保密責(zé)任以及違約罰則。（2）第三方公司必須嚴格遵守我院客戶服務(wù)的要求和規(guī)定。（3）第三方公司在合作過程中，如不可避免地接觸到相關(guān)敏感信息（下面簡稱敏感信息），應(yīng)保證不損害敏感信息的保密性、完整性、可用性、真實性、可核查性、可靠性、防抵賴性。（4）第三方人員管理的范疇包括臨時人員和長期人員：臨時人員指因業(yè)務(wù)洽談、技術(shù)交流、提供短期和不頻繁技術(shù)支持服務(wù)的人員；長期人員指因從事合作開發(fā)、參與項目工程建設(shè)、提供技術(shù)支持或顧問服務(wù)的人員。（5）由第三方公司參與開發(fā)并提供服務(wù)的業(yè)務(wù)系統(tǒng)或軟件程序，如系統(tǒng)或程序能接觸到客戶敏感信息，應(yīng)要求將第三方系統(tǒng)開發(fā)文檔提交信息技術(shù)中心留檔，文檔應(yīng)注明分發(fā)范圍，并要求開發(fā)人員、測試人員、項目管理人員嚴格遵守分發(fā)控制要求。（6）第三方公司參與或獨立開發(fā)的業(yè)務(wù)系統(tǒng)或軟件程序，應(yīng)落實版本管理工作，并主動在上線驗收前向信息技術(shù)中心提交其源代碼或代碼審計報告、以及安全測試報告，信息技術(shù)中心進行備案存檔。（7）第三方公司應(yīng)對其參與或獨立開發(fā)的業(yè)務(wù)系統(tǒng)或軟件程序源代碼進行妥善保管，嚴格控制第三方人員訪問權(quán)限，避免代碼泄漏。2.4第三方接入管理（1）第三方人員進入我院核心區(qū)域或者登錄我院各業(yè)務(wù)系統(tǒng)操作時，應(yīng)嚴格遵守我院的各項安全管理制度和規(guī)范。（2）第三方人員工作區(qū)域與我院的教學(xué)、內(nèi)部辦公、維護區(qū)域分離，在安全域中劃分獨立的第三方用戶接入?yún)^(qū)，如系統(tǒng)開發(fā)接入?yún)^(qū)、系統(tǒng)維護接入?yún)^(qū)等，并應(yīng)采用更嚴格的訪問控制策略和管控手段。（3）第三方用戶接入?yún)^(qū)部署的常駐終端，應(yīng)有嚴格的接入認證，并滿足我院相關(guān)終端安全合規(guī)性檢查標準。（4）第三方用戶接入?yún)^(qū)內(nèi)的非常駐終端，需按照相應(yīng)申請審批流程向信息技術(shù)中心申請，并按照我院終端相關(guān)安全合規(guī)性標準進行檢查，獲得授權(quán)后方可接入，信息技術(shù)中心應(yīng)將申請審批記錄備案。（5）信息技術(shù)中心應(yīng)組織對現(xiàn)場服務(wù)的第三方人員終端進行安全審核、檢查，不定期抽查。（6）禁止第三方人員在未授權(quán)的情況下通過遠程方式接入第三方用戶接入?yún)^(qū)，如第三方人員因特殊情況需要通過遠程登錄，須經(jīng)過信息技術(shù)中心審批授權(quán)后，臨時開通遠程登錄功能，并及時撤銷。遠程登錄必須通過堡壘機系統(tǒng)等進行集中認證、授權(quán)和審計，應(yīng)遵循權(quán)限最小化原則，控制用戶訪問的系統(tǒng)及權(quán)限。2.5第三方帳號及權(quán)限管理（1）第三方人員需與所屬公司簽訂保密協(xié)議，報備信息技術(shù)中心后，方可申請相關(guān)系統(tǒng)帳號（不含超級帳號和系統(tǒng)帳號管理員帳號）、接入或訪問我院內(nèi)部的生產(chǎn)系統(tǒng)以及其他相關(guān)信息系統(tǒng)。（2）第三方人員申請新增或變更帳號時，必須符合專人專號原則、權(quán)限最小化原則。帳號申請應(yīng)經(jīng)過信息技術(shù)中心審核并批準方可生效，帳號申請授權(quán)書應(yīng)約定使用者、權(quán)限、使用期限等事項。（3）信息技術(shù)中心授權(quán)的第三方人員臨時遠程接入帳號，其帳號及權(quán)限有效期最長不能超過3天，帳號到期或者接入任務(wù)完成后，應(yīng)及時刪除臨時帳號并審核。（4）第三方人員的帳號口令不得使用弱密碼。帳號口令必須是在必要時間或次數(shù)內(nèi)不循環(huán)使用。口令不得以任何形式明文存放于可公共訪問的設(shè)備或物理界面上，保證帳號口令在傳輸和存儲時的安全。（5）在運維和運營環(huán)節(jié)，由于工作需要在一定時間段內(nèi)頻繁接觸敏感信息的第三方人員，必須提前獲得信息技術(shù)中心授權(quán)，經(jīng)審批通過后方可被授予相應(yīng)權(quán)限，信息技術(shù)中心應(yīng)備案申請審批記錄及事后審計。（6）第三方人員訪問我院信息系統(tǒng)時，第三方人員的帳號、認證、授權(quán)管理和安全審計應(yīng)納入堡壘機系統(tǒng)集中管控。3附件附1：第三方人員保密協(xié)議第三方人員管理制度「篇四」第一章總則第一條為規(guī)范和加強河北藝術(shù)職業(yè)學(xué)院（以下簡稱“河北藝校”）對第三方人員的管理、有效防范第三方人員進入河北藝校帶來的信息安全風(fēng)險，制定本制度。第二章適用范圍第二條本制度適用于長期或臨時進入河北藝校工作的非河北藝校員工的信息安全管理。第三章定義和風(fēng)險第三條本制度所描述的第三方人員包括來自軟件開發(fā)商、產(chǎn)品供應(yīng)商、系統(tǒng)集成商、設(shè)備維護商和服務(wù)提供商等非河北藝校人員。第三方人員分為臨時第三方人員和長期第三方人員。第四條臨時第三方人員指因業(yè)務(wù)洽談、技術(shù)交流、提供短期和不頻繁的技術(shù)支持服務(wù)而臨時來訪的第三方人員。第五條長期第三方人員指因從事合作開發(fā)、參與項目工程、提供技術(shù)支持或顧問服務(wù)，必須在一定時間內(nèi)在河北藝校內(nèi)部辦公的第三方人員。第六條第三方人員的訪問方式包括現(xiàn)場訪問和遠程網(wǎng)絡(luò)訪問。第七條接待人是指河北藝校相關(guān)部門派出的，負責(zé)接待和管理第三方人員的員工。第八條信息安全執(zhí)行小組負責(zé)組織相關(guān)管理員定期評估第三方人員帶來的信息安全風(fēng)險，至少每季度評估一次。必須防范第三方人員帶來的以下信息安全風(fēng)險：1、第三方人員的物理訪問帶來的設(shè)備、資料丟失。2、第三方人員的誤操作導(dǎo)致各種軟硬件故障。3、第三方人員導(dǎo)致的資料、信息外傳泄密。4、第三方人員對計算機系統(tǒng)的濫用和越權(quán)訪問。5、第三方人員給計算機系統(tǒng)、軟件留下后門。6、第三方人員對計算機系統(tǒng)的惡意攻擊。第四章進出安全管理第九條臨時第三方人員進入河北藝校時，必須按照XXXX相關(guān)管理制度流程進行登記后方可進入。第十條長期第三方人員，在其所在單位簽訂保密協(xié)議后，由接待人按照XXXX相關(guān)管理制度流程代為申請臨時出入證。第三方人員服務(wù)期結(jié)束或人員更換前，應(yīng)及時收回臨時出入證。第十一條接待人應(yīng)向第三方人員告知有關(guān)信息安全管理規(guī)則，不應(yīng)透露與第三方人員工作無關(guān)的信息，不得任其任意走動和未經(jīng)允許使用XXXX的計算機設(shè)備。第十二條長期第三方人員工作完成后，由河北藝校組織相關(guān)人員對第三方人員的工作進行安全檢查和安全評估。第十三條除預(yù)定的工作內(nèi)容外，接待人員不得為第三方人員安排其他活動。第十四條對接待人員的接待工作，部門負責(zé)人和本部門其他人員有責(zé)任進行監(jiān)督。第五章安全保密管理第十五條第三方人員必須簽署安全保密協(xié)議后才能進場工作。第十六條在確認已與河北藝校簽署有效的保密協(xié)議的情況下，第三方人員如因業(yè)務(wù)需要查閱河北藝校資料、文件、實物和訪問信息系統(tǒng)，必須獲得相關(guān)負責(zé)人批準并詳細登記。提供資料時應(yīng)由河北藝校開具清單請第三方人員簽收，簽收清單由資料提供部門妥善保存。第十七條未經(jīng)批準，禁止第三方人員攜帶移動設(shè)備或移動存儲介質(zhì)進入河北藝校，移動存儲介質(zhì)必須在接待人的監(jiān)控下使用。第十八條未經(jīng)許可，第三方人員不得在辦公區(qū)域和機房內(nèi)攝影、拍照。攝影和拍照內(nèi)容要經(jīng)過主管領(lǐng)導(dǎo)許可和接待人確認。接待人需要對拍攝內(nèi)容審核。第十九條禁止第三方人員試圖了解和查閱與工作無關(guān)的河北藝校其他資料。第二十條第三方人員必須遵守與河北藝校簽訂的保密協(xié)議，嚴禁向任何人員透露河北藝校內(nèi)部敏感信息。第六章安全操作管理第二十一條未經(jīng)批準禁止第三方人員攜帶的計算機接入河北藝校內(nèi)部網(wǎng)絡(luò)。第二十二條第三方人員如業(yè)務(wù)需要必須接入河北藝校內(nèi)部網(wǎng)絡(luò)的，必須由網(wǎng)絡(luò)管理員為其分配固定IP以便進行管理，并報安全管理員審核并備案。第二十三條第三方人員開發(fā)測試環(huán)境只能連接測試網(wǎng)，且必需采用防火墻進行有效隔離，嚴禁接入信息系統(tǒng)實際運行環(huán)境。確需在線測試的項目，應(yīng)上報信息安全執(zhí)行小組批準，由安全管理員進行備案，采取必要的防護措施，選擇適當(dāng)?shù)臅r間進行。第二十四條第三方人員如因維護工作而需要遠程訪問，必須報信息安全管理小組審核、批準，由安全管理員制定相應(yīng)的安全策略并進行全程監(jiān)控和記錄。遠程網(wǎng)絡(luò)訪問結(jié)束后，應(yīng)馬上切斷外部連接，檢查服務(wù)器狀態(tài)是否正常，確認后開啟應(yīng)用。第二十五條未經(jīng)授權(quán)禁止第三方人員直接對網(wǎng)絡(luò)設(shè)備和主機進行操作，第三方人員可以協(xié)助（如口述操作過程）相關(guān)管理或操作人員完成所需操作。第二十六條第三方人員在機房內(nèi)的所有工作情況，都必需說明該工作可能引起的安全風(fēng)險，并由接待人確認后才能操作。接待人必須對第三方人員的操作進行全程監(jiān)控，記錄第三方人員的操作內(nèi)容，操作完成后由第三方人員和接待人員共同簽字確認后存檔備案。接待人員對第三方人員的所有行為負責(zé)。第二十七條第三方人員更換硬件設(shè)備前需向接待人員指出硬件損壞的證據(jù)，由接待人員上報信息安全執(zhí)行小組批準，由信息系統(tǒng)相關(guān)管理員對設(shè)備的信息備份及相應(yīng)的處理后，方可進行更換。第二十八