《第三方安全管理制度.doc》由会员分享,可在线阅读,更多相关《第三方安全管理制度.doc(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、陕西广电网络传媒股份有限公司第三方安全管理制度文档信息机密级分类版版本控制版本日期人员更新说明V1.02010-10-27文文档审核审核人职务审核日期文文档批准批准人职务批准日期复分发控制部门人员文档权限复复查计划复查时间复查人员复查结果第一章 总 则第一条 目的:为有效防范“第三方”(详见第二章 术语解释)人员带来的安全风险,加强和规范“第三方”人员的安全管理,保证计算机系统及网络的安全,根据有关规定,制定本制度;第二条 适用人员范围:陕西广电范围内的所有第三方人员和“中心”员工;第二章术语解释第三条 本制度所述的“中心”是指陕西广电信息化部;第四条 本制度适用于中心拥有的、控制和管理的所有
2、软硬件系统;第五条 本制度中的第三方,是指除中心以外,所有的组织和人员。第三方分为临时来访的第三方和非临时来访的第三方。临时来访的第三方是指来中心时间周期较短的人员,例如:进行业务交流,来访参观等;非临时来访是指中心来访时间较长的第三方,例如:项目建设人员,可以在批准情况下进入中心工作(办公区域工作活动不需陪同,机房工作活动需相关人员陪同);第六条 “随工人员”是指中心派出的,负责接待“第三方”人员的接口人;第七条 “第三方”人员将带来的以下安全风险:a) “第三方”人员的物理访问带来的设备、资料盗窃;b) “第三方”人员的误操作导致各种软硬件故障;c) “第三方”人员的资料、信息外传导致泄密
3、;d) “第三方”人员对计算机系统的滥用和越权访问;e) “第三方”人员给计算机系统、软件留下后门;f) “第三方”人员对计算机系统的恶意攻击。为防范以上风险,安全管理员须结合日常的安全维护工作,评估“第三方”带来的安全现状。第三章 人员与职责第八条 随工人员负责临时来访的第三方人员自进入中心起至离开为止的全程陪同;第四章临时来访的第三方管理制度第九条 除以下情况外,随工人员不得引领和允许第三方进入机房、办公室和其他机要区域:1) 中心高层领导批准的参观活动;2) 必要的设备和软件等现场安装、维修、调测;3) 临时来访第三方因业务需要进入上述区域的其他情形。在情况2)、3)下,随工人员以令第三
4、方进入上述区域,需经主管上述区域的部门负责人批准。临时来访第三方在上述区域活动时,随工人员须全程陪同。第十条 业务交流一般应当在接待室或会议室内进行,招标、谈判等正式洽谈和重大项目的会谈应当在专门的会议室进行,不得在办公室进行,应当避免同一领域的临时来访第三方在同一会议室同时进行业务洽谈;第十一条 除预定的工作内容外,随工人员不得为临时来访第三方随意安排其它活动;不得向临时来访第三方透露业务范围之外的中心技术、商务情况;第十二条 结束业务活动后,临时来访第三方如与中心其它部门有业务联系,随工人员应通知相关部门另行接待,随工人员的义务至相关部门人员领走临时来访第三方为止;如无其它业务,随工人员应
5、陪送临时来访第三方离开中心。随工人员在无法陪送的情况下应委托本部门其他人员陪送;第十三条 对随工人员的接待工作,部门负责人和本部门其他人员有权进行监督。随工人员违反上述规定,应由部门负责人给予批评警告;第十四条 未经中心领导批准,临时来访的第三方不得在中心机房内摄影、拍照;第十五条 为临时人员终端接入应遵照陕西广电IT终端设备使用管理办法执行;第十六条 为临时第三方开设的临时帐号以及权限设置、临时网络接入要在他们离开后及时删除和撤销;第五章 非临时来访的第三方管理制度第十七条 非临时来访第三方出入中心允许的区域时,原则上不需安排专门人员陪同;第十八条 非临时来访的第三方只允许在经允许的区域(除
6、机房)进行业务活动;第十九条 由于必要的设备和软件等现场安装、维修、调测;随工人员可以引领非临时来访第三方进入机房,但随工人员必须全程陪同;第二十条 非临时来访的第三方在进行维护工作时还应遵守中心所有相关管理和技术规范;第二十一条 未经中心领导批准,非临时来访的第三方不得在中心内摄影、拍照;第二十二条 如因业务需要须向非临时来访的第三方提供含有中心保密信息的文件、资料或实物的,随工人员应当在获得相应的批准或授权,并与非临时来访的第三方签订保密协议后再行提供,提供时应开具清单请非临时来访的第三方签收。提供文字保密材料的应当有保密标识。保密协议在相关部门存档,签收清单由相关部门妥善保存;第二十三条
7、 对非临时来访第三方的技术人员因业务需要须在中心进行工作的,应与其所在公司签订保密协议,向其明确“中心”的保密制度。这些人如需接触或查阅内部文件的,必须经过相关部门负责人签字批准,并由其本人填写查阅记录;第二十四条 非临时来访第三方因工作需要,所获得的中心相关资料,使用完后,应归还中心相关人员或销毁;第二十五条 第三方使用人终端接入要严格遵守陕西广电IT终端设备使用管理办法,接入前,应严格遵守审批流程,待批准后,方可接入。第六章检查表第二十六条 第三方人员安全管理制度检查表任务编号检查点检查内容取数方法检查周期1陪同和监督对于临时第三方人员,中心要指派专门的随工人员进行全程陪同1个月2操作记录
8、对于第三方人员由于技术支持而对系统的操作要留有记录检查第三方人员操作记录表1个月3帐号和权限为第三方临时创建的帐号及权限需要及时删除检查账号和权限分配表1个月第七章衡量指标第二十七条 对第三方因技术支持对系统的操作未进行登记的数量;第二十八条 未及时删除的帐号和权限的数量;第八章相关记录第二十九条 第三方人员接待登记表第三十条 第三方操作记录表第九章相关文件第三十一条 第三方安全保密协议第三十二条 系统账号管理办法第三十三条 终端设备安全管理办法第十章附则第三十四条 本方针由陕西广电网络传媒股份有限公司制定并负责解释和修订。第三十五条 本方针自发布之日起执行。附件一 中心第三方人员接待登记表姓名公司事由随工人员进入时间离开时间附件二 第三方人员操作记录表操作人员所属公司操作事由操作设备名操作内容随工人员