本文为大家分享第三方人员管理制度相关范本模板,以供参考。
第三方人员管理制度 第1篇
第一章总则
第一条为规范和加强河北艺术职业学院(以下简称“河北艺校”)对第三方人员的管理、有效防范第三方人员进入河北艺校带来的信息安全风险,制定本制度。
第二章适用范围
第二条本制度适用于长期或临时进入河北艺校工作的非河北艺校员工的信息安全管理。
第三章定义和风险
第三条本制度所描述的第三方人员包括来自软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等非河北艺校人员。第三方人员分为临时第三方人员和长期第三方人员。
第四条临时第三方人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的第三方人员。
第五条长期第三方人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务,必须在一定时间内在河北艺校内部办公的第三方人员。
第六条第三方人员的访问方式包括现场访问和远程网络访问。
第七条接待人是指河北艺校相关部门派出的,负责接待和管理第三方人员的员工。
第八条信息安全执行小组负责组织相关管理员定期评估第三方人员带来的信息安全风险,至少每季度评估一次。必须防范第三方人员带来的以下信息安全风险:
1、第三方人员的物理访问带来的设备、资料丢失。
2、第三方人员的误操作导致各种软硬件故障。
3、第三方人员导致的资料、信息外传泄密。
4、第三方人员对计算机系统的滥用和越权访问。
5、第三方人员给计算机系统、软件留下后门。
6、第三方人员对计算机系统的恶意攻击。
第四章进出安全管理
第九条临时第三方人员进入河北艺校时,必须按照XXXX相关管理制度流程进行登记后方可进入。
第十条长期第三方人员,在其所在单位签订保密协议后,由接待人按照XXXX相关管理制度流程代为申请临时出入证。第三方人员服务期结束或人员更换前,应及时收回临时出入证。
第十一条接待人应向第三方人员告知有关信息安全管理规则,不应透露与第三方人员工作无关的信息,不得任其任意走动和未经允许使用XXXX的计算机设备。
第十二条长期第三方人员工作完成后,由河北艺校组织相关人员对第三方人员的工作进行安全检查和安全评估。
第十三条除预定的工作内容外,接待人员不得为第三方人员安排其他活动。
第十四条对接待人员的接待工作,部门负责人和本部门其他人员有责任进行监督。
第五章安全保密管理
第十五条第三方人员必须签署安全保密协议后才能进场工作。
第十六条在确认已与河北艺校签署有效的保密协议的情况下,第三方人员如因业务需要查阅河北艺校资料、文件、实物和访问信息系统,必须获得相关负责人批准并详细登记。提供资料时应由河北艺校开具清单请第三方人员签收,签收清单由资料提供部门妥善保存。
第十七条未经批准,禁止第三方人员携带移动设备或移动存储介质进入河北艺校,移动存储介质必须在接待人的监控下使用。
第十八条未经许可,第三方人员不得在办公区域和机房内摄影、拍照。摄影和拍照内容要经过主管领导许可和接待人确认。接待人需要对拍摄内容审核。
第十九条禁止第三方人员试图了解和查阅与工作无关的河北艺校其他资料。
第二十条第三方人员必须遵守与河北艺校签订的保密协议,严禁向任何人员透露河北艺校内部敏感信息。
第六章安全操作管理
第二十一条未经批准禁止第三方人员携带的计算机接入河北艺校内部网络。
第二十二条第三方人员如业务需要必须接入河北艺校内部网络的,必须由网络管理员为其分配固定IP以便进行管理,并报安全管理员审核并备案。
第二十三条第三方人员开发测试环境只能连接测试网,且必需采用防火墙进行有效隔离,严禁接入信息系统实际运行环境。确需在线测试的项目,应上报信息安全执行小组批准,由安全管理员进行备案,采取必要的防护措施,选择适当的时间进行。
第二十四条第三方人员如因维护工作而需要远程访问,必须报信息安全管理小组审核、批准,由安全管理员制定相应的安全策略并进行全程监控和记录。远程网络访问结束后,应马上切断外部连接,检查服务器状态是否正常,确认后开启应用。
第二十五条未经授权禁止第三方人员直接对网络设备和主机进行操作,第三方人员可以协助(如口述操作过程)相关管理或操作人员完成所需操作。
第二十六条第三方人员在机房内的所有工作情况,都必需说明该工作可能引起的安全风险,并由接待人确认后才能操作。接待人必须对第三方人员的操作进行全程监控,记录第三方人员的操作内容,操作完成后由第三方人员和接待人员共同签字确认后存档备案。接待人员对第三方人员的所有行为负责。
第二十七条第三方人员更换硬件设备前需向接待人员指出硬件损坏的证据,由接待人员上报信息安全执行小组批准,由信息系统相关管理员对设备的信息备份及相应的处理后,方可进行更换。
第二十八条需要采用必要的设备和手段(如防火墙、IDS等设备。认证、审计等手段)对第三方人员的各种操作进行有效的监控和限制。信息安全执行小组需要不定期对第三方人员的行为进行抽查,确保河北艺校信息安全。
第七章相关文件
第二十九条与本制度相关的其他文件及表单包括:
1、《安全运维管理组织机构与职责》
2、《员工信息安全管理制度》
3、《信息安全岗位人员管理制度》
4、《培训及教育管理制度》
第八章附则
第三十条本制度自发布之日起执行。
第三十一条本制度的解释和修改权属于信息安全领导小组。
第三十二条信息安全领导小组每年统一检查和评估本制度,并做出适当更新。在业务环境和安全需求发生重大变化时,也将对本制度进行检查和更新。
第三方人员管理制度 第2篇
1总则
1.1目的
为了加强对第三方合作伙伴、人员、系统的安全管理,特制定本管理办法。
1.2范围
本规范适用于合肥师范学院在信息安全管理过程中对外来人员和第三方人员的行为规范管理。
1.3职责
合肥师范学院第三方信息安全管理由信息技术中心负责,并应按照本办法严格落实。
2管理细则
2.1解释
(1)本办法所指第三方包括第三方公司、第三方系统、第三方人员:
(2)第三方公司是指向我院提供设备、产品、服务的外部公司。
(3)第三方系统是指为我院服务或与我院合作运营的系统。这些系统可能不在我院机房内,但能通过接口与我院的系统发生数据交互。
(4)第三方人员是指为我院提供开发、测试、运维等服务或参与合作运营系统管理的非本单位人员。
(5)对第三方公司的信息安全管理应遵循如下原则:“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。
2.2总体要求
(1)对于与我院开展合作运营的第三方公司,信息技术中心要求其按照相关网络与信息安全的管理规定,严格落实信息安全责任,建立日常安全运维、检查制度,确保不发生信息泄密、重大安全漏洞。
(2)信息技术中心须要求在我院开展现场长期服务的第三方公司,在派驻现场设立专职人员,其主要职责包括:负责按照国家法律及我院的信息安全管理要求,开展派驻现场的安全管理,指导和监督派驻现场人员的信息安全,确保不发生违规行为;接受我院的监督和考核等。
(3)第三方公司信息安全管理人员发生变更时,应在变更前1周将有关变更信息报送我院信息技术中心。
(4)信息技术中心要督促指导第三方公司及人员遵循我院的安全管理制度和规范,将安全要求作为考核内容,纳入双方合作协议,定期组织对第三方安全检查。
2.3第三方公司及人员管理
(1)第三方公司必须与我院签订保密协议,在协议中明确第三方公司的保密责任以及违约罚则;第三方公司应与其员工签订保密协议,在协议中明确第三方公司员工的保密责任以及违约罚则。
(2)第三方公司必须严格遵守我院客户服务的要求和规定。
(3)第三方公司在合作过程中,如不可避免地接触到相关敏感信息(下面简称敏感信息),应保证不损害敏感信息的保密性、完整性、可用性、真实性、可核查性、可靠性、防抵赖性。
(4)第三方人员管理的范畴包括临时人员和长期人员:临时人员指因业务洽谈、技术交流、提供短期和不频繁技术支持服务的人员;长期人员指因从事合作开发、参与项目工程建设、提供技术支持或顾问服务的人员。
(5)由第三方公司参与开发并提供服务的业务系统或软件程序,如系统或程序能接触到客户敏感信息,应要求将第三方系统开发文档提交信息技术中心留档,文档应注明分发范围,并要求开发人员、测试人员、项目管理人员严格遵守分发控制要求。
(6)第三方公司参与或独立开发的业务系统或软件程序,应落实版本管理工作,并主动在上线验收前向信息技术中心提交其源代码或代码审计报告、以及安全测试报告,信息技术中心进行备案存档。
(7)第三方公司应对其参与或独立开发的业务系统或软件程序源代码进行妥善保管,严格控制第三方人员访问权限,避免代码泄漏。
2.4第三方接入管理
(1)第三方人员进入我院核心区域或者登录我院各业务系统操作时,应严格遵守我院的各项安全管理制度和规范。
(2)第三方人员工作区域与我院的教学、内部办公、维护区域分离,在安全域中划分独立的第三方用户接入区,如系统开发接入区、系统维护接入区等,并应采用更严格的访问控制策略和管控手段。
(3)第三方用户接入区部署的常驻终端,应有严格的接入认证,并满足我院相关终端安全合规性检查标准。
(4)第三方用户接入区内的非常驻终端,需按照相应申请审批流程向信息技术中心申请,并按照我院终端相关安全合规性标准进行检查,获得授权后方可接入,信息技术中心应将申请审批记录备案。
(5)信息技术中心应组织对现场服务的第三方人员终端进行安全审核、检查,不定期抽查。
(6)禁止第三方人员在未授权的情况下通过远程方式接入第三方用户接入区,如第三方人员因特殊情况需要通过远程登录,须经过信息技术中心审批授权后,临时开通远程登录功能,并及时撤销。远程登录必须通过堡垒机系统等进行集中认证、授权和审计,应遵循权限最小化原则,控制用户访问的系统及权限。
2.5第三方帐号及权限管理
(1)第三方人员需与所属公司签订保密协议,报备信息技术中心后,方可申请相关系统帐号(不含超级帐号和系统帐号管理员帐号)、接入或访问我院内部的生产系统以及其他相关信息系统。
(2)第三方人员申请新增或变更帐号时,必须符合专人专号原则、权限最小化原则。帐号申请应经过信息技术中心审核并批准方可生效,帐号申请授权书应约定使用者、权限、使用期限等事项。
(3)信息技术中心授权的第三方人员临时远程接入帐号,其帐号及权限有效期最长不能超过3天,帐号到期或者接入任务完成后,应及时删除临时帐号并审核。
(4)第三方人员的帐号口令不得使用弱密码。帐号口令必须是在必要时间或次数内不循环使用。口令不得以任何形式明文存放于可公共访问的设备或物理界面上,保证帐号口令在传输和存储时的安全。
(5)在运维和运营环节,由于工作需要在一定时间段内频繁接触敏感信息的第三方人员,必须提前获得信息技术中心授权,经审批通过后方可被授予相应权限,信息技术中心应备案申请审批记录及事后审计。
(6)第三方人员访问我院信息系统时,第三方人员的帐号、认证、授权管理和安全审计应纳入堡垒机系统集中管控。
3附件
附1:第三方人员保密协议
第三方人员管理制度 第3篇
为加强外来人员进入信息网络中心办公区及中心机房的管理,保证信息网络中心正常的工作秩序,确保学院数据等机密不被窃取,保障工作人员安全,特制定本制度。
1、凡来信息网络中心联系工作或接洽业务者,需持本人有效证件,私人来访需出示本人有效证件,征得接待部门相关领导同意,并办理相关手续后,方可进入。
2、来访人员应自觉遵守学院各项规章制度,不得擅自进入与被访人员无关的部门,如办公室及其他场地。
3、凡需进入中心机房参观或学习的外来人员,应征得信息网络中心负责人的同意后,由信息网络中心领导安排办理相关手续,按相关程序进入中心机房;并应在有关部门人员的陪同、带领下,方可进入中心机房。
4、来访人员所携带的物品,进入信息网络中心办公区及中心机房时必须进行相关注明,以便出门时核对。
5、外来人员不得在信息网络中心办公区及中心机房与工作人员闲谈、嬉笑、影响工作人员工作。