1、精選優質文檔-傾情為你奉上第三方和外包人員安全管理制度第一條 第三方和外包人員安全管理包括外部人員分類及管理責任、基本安全、賬戶管理、計算機設備接入管理、遠程訪問管理、IT外部人員特別規定以及違規處罰。第二條 外部人員須填寫外部人員信息安全承諾書（附件十）。第三條 外部人員分類及管理責任： （一）外部人員分為如下四類：（1）貴賓外部人員：指由上級領導或本機構領導直接陪同或委派專人陪同，在本機構信息技術部安全區域內進行活動的外部人員；（2）臨時外部人員：指由于業務關系、行政關系或其他特殊原因，在本機構安全區域內進行活動，且活動時間不超過一天的外部人員；（3）短期外部人員：指由于業務關系、行政關系

2、或其他特殊原因，在本機構信息技術部安全區域內進行活動，且活動時間在一周以上、三個月以內的外部人員；（4）長期外部人員：指由于業務關系、行政關系或其他特殊原因，在本機構安全區域內進行活動，且活動時間在三個月以上的外部人員。（二）外部人員的信息安全管理實行“誰接待，誰負責；誰引入，誰負責”的原則。對口部門或對口人員負責監督、管理外部人員在本機構工作或訪問期間的一切行為，并對其所對口的外部人員的行為、影響和后果負有全部責任。（三）信息技術部指派專門人員對進入安全區域的外部人員進行身份確認與登記。（四）對于在安全區域內活動的長期外部人員，如需對其進行考勤，則由對口部門向信息技術部提出申請，由信息技術部

3、統一進行考勤工作。第四條 基本安全： （一）所有外部人員必須遵守本機構發布的與信息科技風險管理和信息安全相關的方針策略、實施規范、管理辦法等。（二）貴賓外部人員由對口部門或對口人員確定其能訪問的物理安全區域；臨時外部人員人員僅允許訪問一級物理安全區域；短期外部和長期外部人員經過審批后，可以允許其訪問二級及以上安全區域；所有外部人員進入三級及以上安全區域須本機構信息技術部員工全程陪同。（三）外部人員在本機構工作期間，必須遵守本機構的工作人員信息安全守則，未經許可，外部人員不允許訪問本機構信息處理設施；外部人員因工作需要使用本機構相關文檔資料，需根據文檔的敏感性級別由相關責任部門進行審批并登記備案

4、，所借文檔資料未經許可不得復印。（四）短期外部人員和長期外部人員，以及工作中涉及到本機構專有和保密信息的其它外部人員，需與本機構簽署保密協議后才能開始工作。人力資源部負責外部人員保密協議的簽署與保管。（五）對于送水、送快遞、送設備等臨時送貨人員，只能在指定的場所交接貨物，安全保衛人員要對其行為進行全程監督。（六）本機構保留隨時對外部人員的信息安全狀況進行檢查的權利，外部人員必須給予配合和協助。第五條 賬戶管理： （一）貴賓外部人員由對口部門或對口人員確定是否為其開通OA賬號和登陸內網；臨時外部人員不允許開通OA賬號和登陸內網；短期和長期外部人員如需開通OA賬號登陸內網，需要單獨申請，并報信息技

5、術部負責人審批。（二）外部人員為完成其工作，需要對本機構信息系統進行臨時訪問（訪問時間不超過一天），由信息技術部員工在本機構管理的設備上，輸入滿足其工作需要的最小權限用戶的用戶登錄信息，來獲得臨時性登錄權限，并全程負責檢查監督其對該帳戶的使用情況。（三）外部人員為完成其工作，需要對本機構信息系統進行短期訪問（訪問時間超過一天，不超過三個月），由信息技術部員工為其申請相應環境和相應時間的短期賬戶，并全程負責檢查監督其對該帳戶的使用情況。（四）外部人員為完成其工作，需要對本機構信息系統進行長期訪問（訪問時間超過三個月），由信息技術部員工為其申請相應環境和相應時間的長期賬戶，并定期檢查監督其對該賬戶

6、的使用情況。（五）外部人員在使用完賬戶后，需通知信息技術部。信息技術部相應崗位人員須立即斷開該外部人員的全部系統連接，并確認刪除該外部人員所屬的全部賬戶。第六條 計算機設備接入管理： （一）臨時外部人員的計算機設備不允許接入本機構網絡，不允許通過本網絡設備登陸互聯網；貴賓外部人員、短期外部人員和長期外部人員的計算機設備如需接入本機構網絡，或通過本機構網絡設備登陸互聯網，須由信息技術部負責人審批。（二）在沒有得到授權的情況下，外部人員的計算機設備不得接入本機構任何安全域的網絡端口。外部人員的計算機設備如果需要接入本機構網絡，須向信息技術部提出申請，經批準后使用專門的網段進行接入。（三）外部人員的

7、計算機設備接入前，必須安裝本機構規定的安全控制軟件、系統安全補丁和防病毒軟件，及時升級病毒庫，并進行病毒掃描。第七條 遠程訪問管理： （一）外部人員為完成其工作，需要通過遠程方式訪問到本機構網絡系統或設備，必須事先制定工作計劃與工作方案，報對口部門和信息技術部負責人審批通過后，才能允許進行遠程訪問。（二）外部人員進行遠程訪問時，必須嚴格按照審批通過后的工作計劃與工作方案進行工作，對口部門或對口人員負責檢查監督其工作。第八條 IT外部人員特別規定： （一）IT外部人員是指從事IT相關工作的本機構外部人員。進入本機構工作的IT外部人員除了要遵守以上所有規定外，還應當符合下列規定：（1）當IT外部人

8、員進入生產系統進行系統安裝、測試時，必須信息技術部相關人員全程陪同并進行監督。其使用過的賬號，必須在安裝、測試工作完成后進行刪除或進行口令變更；（2）當IT外部人員所涉及的系統含有敏感數據時，需要由信息技術部相關人員進行脫敏，并采取必要的控制措施；（3）開發、測試和檢查過程中產生或獲取的數據與資料，未經授權不得帶出現場；（4）進入機房及其他生產測試環境的IT外部人員，應遵守本機構有關機房管理及辦公場所的有關規定，禁止吸煙，符合用電及消防要求；（5）未經授權，IT外部人員不得使用本機構的信息資產，不得對本機構的網絡進行漏洞掃描和滲透測試，不得把移動介質帶入機房及其他生產測試環境；（6）IT外部人員不得利用工作之便，私自搜集、復制、傳播、泄露本機構敏感信息。第九條 違規處罰： （1）外部人員如違反本機構信息安全有關規定，須對其進行處罰，相關處罰方法遵照本機構人力資源部的有關規定執行。（2）對于違規情節特別嚴重的