第三方人員管理制度第三方人員管理制度「篇一」為加強外來人員進入信息網絡中心辦公區及中心機房的管理，保證信息網絡中心正常的工作秩序，確保學院數據等機密不被竊取，保障工作人員安全，特制定本制度。1、凡來信息網絡中心聯系工作或接洽業務者，需持本人有效證件，私人來訪需出示本人有效證件，征得接待部門相關領導同意，并辦理相關手續后，方可進入。2、來訪人員應自覺遵守學院各項規章制度，不得擅自進入與被訪人員無關的部門，如辦公室及其他場地。3、凡需進入中心機房參觀或學習的外來人員，應征得信息網絡中心負責人的同意后，由信息網絡中心領導安排辦理相關手續，按相關程序進入中心機房；并應在有關部門人員的陪同、帶領下，方可進入中心機房。4、來訪人員所攜帶的物品，進入信息網絡中心辦公區及中心機房時必須進行相關注明，以便出門時核對。5、外來人員不得在信息網絡中心辦公區及中心機房與工作人員閑談、嬉笑、影響工作人員工作。第三方人員管理制度「篇二」第一章總則第一條為了規范第三方用戶在共享學校內部信息、或訪問內部信息系統時的行為，保護學校網絡與信息系統安全，特制定本管理辦法，用于內部管理對第三方機構和人員進行安全管理。第二章適用范圍第二條本管理辦法適用的第三方包括學校的其他部門、相關的教育機構、網絡監管部門、網絡信息的產品供應商、代維服務商、合作廠商等，制度的執行和責任由與第三方接觸的相關部門承擔。第三條第三方合作伙伴在涉及到共享內部信息、或訪問內部信息系統時，必須遵守本管理辦法。第四條在網絡與信息安全工作中，本管理辦法是指導第三方安全管理的基本依據，相關組織和人員必須認真執行本管理辦法，并根據工作實際情況，制定并遵守相應的實施細則和操作流程，做好第三方安全管理工作。第三章來訪出入管理第五條第三方人員進入學校中心機房或相關實驗室時，應遵守學校相關安保制度。第六條接待部門應當建立第三方來訪預約制度和接待記錄制度。對第三方人員的訪問應進行登記，詳細登記來訪原因、工作單位、出入時間、會見人、目的、有效證件。第七條第三方人員訪問過程中，必須安排專人陪同，不得任其自行走動。第八條未經特別許可，第三方人員不得在機房、實驗室內攝影、拍照。第九條如因業務需要須向第三方提供含有學校內部保密信息的文件、資料或實物的，接待人應當在獲得相應的批準或授權，并與第三方簽訂保密協議后再行提供，提供時應開具清單請第三方簽收。第四章機房出入管理第十條除以下情況外，不得引領和允許第三方人員訪問機房等重要區域：1.學校領導批準的參觀活動；2.必要的儀器設備現場安裝、維修、調測；3.第三方因業務需要進入上述區域的其它情形。第十一條第三方人員訪問機房須遵守機房管理相關規定。第十二條第三方人員進入計算機房或進行上機操作，須經信息化部門領導或安全負責人批準，并進行相應登記，記錄原因、目的及操作內容，指定專人全程陪同。第五章網絡訪問管理第十三條第三方人員不允許私自連接學校內部網絡。如果必要，必須提出申請，征得允許后方可接入。第三方人員連接網絡要進行相應登記備案，并簽訂網絡使用安全協議。第十四條第三方人員如果需要訪問網絡資源，須提前明確申請要訪問資源的類型、范圍和方式，以便管理員進行審批，并提供相應的訪問權限和訪問方法。除了明確授權可以訪問的資源以及相應訪問方式以外，其他所有資源和資源訪問方式都應該理解為禁止的。第十五條第三方人員操作服務器或網絡設備，必須使用臨時帳號，使用之后由相應的管理人員及時清除。第十六條網絡信息管理部門有權對第三方人員在內部網絡的活動進行檢查、審計和監控。第六章標準維護與解釋第十七條本管理辦法由部門信息安全領導小組每年復核一次，在必要時進行修訂，并頒發執行。第十八條本管理辦法解釋權歸信息管理中心。第三方人員管理制度「篇三」1總則1.1目的為了加強對第三方合作伙伴、人員、系統的安全管理，特制定本管理辦法。1.2范圍本規范適用于合肥師范學院在信息安全管理過程中對外來人員和第三方人員的行為規范管理。1.3職責合肥師范學院第三方信息安全管理由信息技術中心負責，并應按照本辦法嚴格落實。2管理細則2.1解釋（1）本辦法所指第三方包括第三方公司、第三方系統、第三方人員：（2）第三方公司是指向我院提供設備、產品、服務的外部公司。（3）第三方系統是指為我院服務或與我院合作運營的系統。這些系統可能不在我院機房內，但能通過接口與我院的系統發生數據交互。（4）第三方人員是指為我院提供開發、測試、運維等服務或參與合作運營系統管理的非本單位人員。（5）對第三方公司的信息安全管理應遵循如下原則：“誰主管誰負責、誰運營誰負責、誰使用誰負責、誰接入誰負責”的原則。2.2總體要求（1）對于與我院開展合作運營的第三方公司，信息技術中心要求其按照相關網絡與信息安全的管理規定，嚴格落實信息安全責任，建立日常安全運維、檢查制度，確保不發生信息泄密、重大安全漏洞。（2）信息技術中心須要求在我院開展現場長期服務的第三方公司，在派駐現場設立專職人員，其主要職責包括：負責按照國家法律及我院的信息安全管理要求，開展派駐現場的安全管理，指導和監督派駐現場人員的信息安全，確保不發生違規行為；接受我院的監督和考核等。（3）第三方公司信息安全管理人員發生變更時，應在變更前1周將有關變更信息報送我院信息技術中心。（4）信息技術中心要督促指導第三方公司及人員遵循我院的安全管理制度和規范，將安全要求作為考核內容，納入雙方合作協議，定期組織對第三方安全檢查。2.3第三方公司及人員管理（1）第三方公司必須與我院簽訂保密協議，在協議中明確第三方公司的保密責任以及違約罰則；第三方公司應與其員工簽訂保密協議，在協議中明確第三方公司員工的保密責任以及違約罰則。（2）第三方公司必須嚴格遵守我院客戶服務的要求和規定。（3）第三方公司在合作過程中，如不可避免地接觸到相關敏感信息（下面簡稱敏感信息），應保證不損害敏感信息的保密性、完整性、可用性、真實性、可核查性、可靠性、防抵賴性。（4）第三方人員管理的范疇包括臨時人員和長期人員：臨時人員指因業務洽談、技術交流、提供短期和不頻繁技術支持服務的人員；長期人員指因從事合作開發、參與項目工程建設、提供技術支持或顧問服務的人員。（5）由第三方公司參與開發并提供服務的業務系統或軟件程序，如系統或程序能接觸到客戶敏感信息，應要求將第三方系統開發文檔提交信息技術中心留檔，文檔應注明分發范圍，并要求開發人員、測試人員、項目管理人員嚴格遵守分發控制要求。（6）第三方公司參與或獨立開發的業務系統或軟件程序，應落實版本管理工作，并主動在上線驗收前向信息技術中心提交其源代碼或代碼審計報告、以及安全測試報告，信息技術中心進行備案存檔。（7）第三方公司應對其參與或獨立開發的業務系統或軟件程序源代碼進行妥善保管，嚴格控制第三方人員訪問權限，避免代碼泄漏。2.4第三方接入管理（1）第三方人員進入我院核心區域或者登錄我院各業務系統操作時，應嚴格遵守我院的各項安全管理制度和規范。（2）第三方人員工作區域與我院的教學、內部辦公、維護區域分離，在安全域中劃分獨立的第三方用戶接入區，如系統開發接入區、系統維護接入區等，并應采用更嚴格的訪問控制策略和管控手段。（3）第三方用戶接入區部署的常駐終端，應有嚴格的接入認證，并滿足我院相關終端安全合規性檢查標準。（4）第三方用戶接入區內的非常駐終端，需按照相應申請審批流程向信息技術中心申請，并按照我院終端相關安全合規性標準進行檢查，獲得授權后方可接入，信息技術中心應將申請審批記錄備案。（5）信息技術中心應組織對現場服務的第三方人員終端進行安全審核、檢查，不定期抽查。（6）禁止第三方人員在未授權的情況下通過遠程方式接入第三方用戶接入區，如第三方人員因特殊情況需要通過遠程登錄，須經過信息技術中心審批授權后，臨時開通遠程登錄功能，并及時撤銷。遠程登錄必須通過堡壘機系統等進行集中認證、授權和審計，應遵循權限最小化原則，控制用戶訪問的系統及權限。2.5第三方帳號及權限管理（1）第三方人員需與所屬公司簽訂保密協議，報備信息技術中心后，方可申請相關系統帳號（不含超級帳號和系統帳號管理員帳號）、接入或訪問我院內部的生產系統以及其他相關信息系統。（2）第三方人員申請新增或變更帳號時，必須符合專人專號原則、權限最小化原則。帳號申請應經過信息技術中心審核并批準方可生效，帳號申請授權書應約定使用者、權限、使用期限等事項。（3）信息技術中心授權的第三方人員臨時遠程接入帳號，其帳號及權限有效期最長不能超過3天，帳號到期或者接入任務完成后，應及時刪除臨時帳號并審核。（4）第三方人員的帳號口令不得使用弱密碼。帳號口令必須是在必要時間或次數內不循環使用。口令不得以任何形式明文存放于可公共訪問的設備或物理界面上，保證帳號口令在傳輸和存儲時的安全。（5）在運維和運營環節，由于工作需要在一定時間段內頻繁接觸敏感信息的第三方人員，必須提前獲得信息技術中心授權，經審批通過后方可被授予相應權限，信息技術中心應備案申請審批記錄及事后審計。（6）第三方人員訪問我院信息系統時，第三方人員的帳號、認證、授權管理和安全審計應納入堡壘機系統集中管控。3附件附1：第三方人員保密協議第三方人員管理制度「篇四」第一章總則第一條為規范和加強河北藝術職業學院（以下簡稱“河北藝校”）對第三方人員的管理、有效防范第三方人員進入河北藝校帶來的信息安全風險，制定本制度。第二章適用范圍第二條本制度適用于長期或臨時進入河北藝校工作的非河北藝校員工的信息安全管理。第三章定義和風險第三條本制度所描述的第三方人員包括來自軟件開發商、產品供應商、系統集成商、設備維護商和服務提供商等非河北藝校人員。第三方人員分為臨時第三方人員和長期第三方人員。第四條臨時第三方人員指因業務洽談、技術交流、提供短期和不頻繁的技術支持服務而臨時來訪的第三方人員。第五條長期第三方人員指因從事合作開發、參與項目工程、提供技術支持或顧問服務，必須在一定時間內在河北藝校內部辦公的第三方人員。第六條第三方人員的訪問方式包括現場訪問和遠程網絡訪問。第七條接待人是指河北藝校相關部門派出的，負責接待和管理第三方人員的員工。第八條信息安全執行小組負責組織相關管理員定期評估第三方人員帶來的信息安全風險，至少每季度評估一次。必須防范第三方人員帶來的以下信息安全風險：1、第三方人員的物理訪問帶來的設備、資料丟失。2、第三方人員的誤操作導致各種軟硬件故障。3、第三方人員導致的資料、信息外傳泄密。4、第三方人員對計算機系統的濫用和越權訪問。5、第三方人員給計算機系統、軟件留下后門。6、第三方人員對計算機系統的惡意攻擊。第四章進出安全管理第九條臨時第三方人員進入河北藝校時，必須按照XXXX相關管理制度流程進行登記后方可進入。第十條長期第三方人員，在其所在單位簽訂保密協議后，由接待人按照XXXX相關管理制度流程代為申請臨時出入證。第三方人員服務期結束或人員更換前，應及時收回臨時出入證。第十一條接待人應向第三方人員告知有關信息安全管理規則，不應透露與第三方人員工作無關的信息，不得任其任意走動和未經允許使用XXXX的計算機設備。第十二條長期第三方人員工作完成后，由河北藝校組織相關人員對第三方人員的工作進行安全檢查和安全評估。第十三條除預定的工作內容外，接待人員不得為第三方人員安排其他活動。第十四條對接待人員的接待工作，部門負責人和本部門其他人員有責任進行監督。第五章安全保密管理第十五條第三方人員必須簽署安全保密協議后才能進場工作。第十六條在確認已與河北藝校簽署有效的保密協議的情況下，第三方人員如因業務需要查閱河北藝校資料、文件、實物和訪問信息系統，必須獲得相關負責人批準并詳細登記。提供資料時應由河北藝校開具清單請第三方人員簽收，簽收清單由資料提供部門妥善保存。第十七條未經批準，禁止第三方人員攜帶移動設備或移動存儲介質進入河北藝校，移動存儲介質必須在接待人的監控下使用。第十八條未經許可，第三方人員不得在辦公區域和機房內攝影、拍照。攝影和拍照內容要經過主管領導許可和接待人確認。接待人需要對拍攝內容審核。第十九條禁止第三方人員試圖了解和查閱與工作無關的河北藝校其他資料。第二十條第三方人員必須遵守與河北藝校簽訂的保密協議，嚴禁向任何人員透露河北藝校內部敏感信息。第六章安全操作管理第二十一條未經批準禁止第三方人員攜帶的計算機接入河北藝校內部網絡。第二十二條第三方人員如業務需要必須接入河北藝校內部網絡的，必須由網絡管理員為其分配固定IP以便進行管理，并報安全管理員審核并備案。第二十三條第三方人員開發測試環境只能連接測試網，且必需采用防火墻進行有效隔離，嚴禁接入信息系統實際運行環境。確需在線測試的項目，應上報信息安全執行小組批準，由安全管理員進行備案，采取必要的防護措施，選擇適當的時間進行。第二十四條第三方人員如因維護工作而需要遠程訪問，必須報信息安全管理小組審核、批準，由安全管理員制定相應的安全策略并進行全程監控和記錄。遠程網絡訪問結束后，應馬上切斷外部連接，檢查服務器狀態是否正常，確認后開啟應用。第二十五條未經授權禁止第三方人員直接對網絡設備和主機進行操作，第三方人員可以協助（如口述操作過程）相關管理或操作人員完成所需操作。第二十六條第三方人員在機房內的所有工作情況，都必需說明該工作可能引起的安全風險，并由接待人確認后才能操作。接待人必須對第三方人員的操作進行全程監控，記錄第三方人員的操作內容，操作完成后由第三方人員和接待人員共同簽字確認后存檔備案。接待人員對第三方人員的所有行為負責。第二十七條第三方人員更換硬件設備前需向接待人員指出硬件損壞的證據，由接待人員上報信息安全執行小組批準，由信息系統相關管理員對設備的信息備份及相應的處理后，方可進行更換。第二十八