文档信息
文档名称
|
外部人员管理制度
|
文档编号
|
|
文档类别
|
策略方针 □管理制度 ■工作流程 □操作指南 □运维记录 □其他 □
|
当前版本
|
1.0
|
创建日期
|
2020-10-18
|
文档编辑部门
|
信息中心
|
文档作者
|
|
联系方式
|
|
修订记录
文档版本
|
日期
|
修改人员
|
审阅人员
|
修订摘要
|
V1.0
|
2020-10-18
|
|
|
建立文档
|
|
|
|
|
|
审批发布
序号
|
审核记录
|
日期
|
审阅人员
|
1
|
审阅
|
2020-10-18
|
|
2
|
正式核准发布
|
2020-10-18
|
|
3
|
|
|
|
一总则
目的。为进一步加强对外部人员管理,依据《信息安全管理办法》制定本管理制度。
对象及范围。外部人员包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等外部人员,外部人员分为临时外部人员和非临时外部人员。
(1)临时外部人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的外部人员。
(2)非临时外部人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务,必须在办公的外部人员。
要求。信息系统的外部人员安全管理要求统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二外部人员的风险管理
外部人员访问包括现场访问和远程网络访问两种方式,在需要进行外部人员的访问时应评估可能带来的安全风险,内容包括:
n
外部人员的物理访问带来的设备、资料盗窃。
n
外部人员的误操作导致各种软硬件故障。
n
外部人员的资料、信息外传导致泄密。
n
外部人员对计算机系统的滥用和越权访问。
n
外部人员给计算机系统、软件留下后门。
n
外部人员对计算机系统的恶意攻击。
三来访登记控制
(1)所有到单位访问的外来人员必须依据来访登记表进行登记预约,未经单位相关人员确定的访客一律谢绝进入办公区域。登记表必须明确记录时间、姓名、证件名称(号码)、受访部门或人员名称、事由、来访值班员、离开时间和离开时值班员等相关信息,并在备注中说明其他需要明确或记录的事项。
(2)与单位业务有关但不确定具体情况的人员来访时,必须及时询问来访客人身份、目的、需要咨询了解事项认真登记后,再与相关部门办公人员核实处理。
(3)到访单位的外来人员实行谁接待谁负责的安全控制方式,需要进入办公区域的必须由受访部门安排人员陪同并控制范围,机房、财务室、档案室等重点部位非检查单位人员一律禁止入内。
(4)由单位副总级别以上领导带来的客户、访客一般不需要出示证件登记,但要与受访部门确认和记录来访人数、目的、逗留时间、参观范围等相关事项以做好后勤服务保障工作。
(5)单位前台和保安是控制外来人员的第一责任人,值班时必须按单位规定接待来访客户。
(6)前台人员负责来访客人的登记、预约和引导,来访人员到访时先引导至贵宾室或接待室等候,电话向受访部门(人)核实确定预约的才给予引导,没有预约或意图不明确的、明显没有业务关联的对其进行劝离处理。
四进出门禁系统控制
(1)单位所有内部员工必须凭借内部员工门禁信息登记卡进出办公区域。
(2)单位内部各办公区域间门禁系统日常工作时必须处于锁闭状态,内部员工均有责任有义务关闭门禁系统,避免闲杂人员进出办公区域。
(3)外来人员访问时由前台根据预约确定结果引导至贵宾室或接待室后,确定受访部门方便接待时由前台或保安开启门禁引导客人进入,将客人带给受访部门。
(4)受访部门与来访人员商谈相关业务后必须将客人送离办公区域,并及时通知保安或前台引导客人离开,避免访客随意走动影响办公秩序。
(5)确定访客业务商谈完毕已离开办公区域的前台不准再开启门禁系统让其返回,如有特殊情况必须经与受访部门确认才能再次引导进入。
(6)敏感行业人员要提示勿随意走动并只能在指定范围内活动(如业务员、外卖员、快件投递员等)。
五携带物品控制
(1)无论单位员工或外来人员在离开单位时携带办公、大件物品或其他文档资料时保安和前台必须进行查问,确定有放行条的才给予携带物品离开。
(2)重要客人来访需要携带物品的由接待部门负责人陪同离开后仍要补填放行条。
(3)工作时间以外禁止一切携带单位物品离开办公区域的行为,所有员工有义务配合保安检查。
(4)对来访者目视感觉可能携带危险品的必须立即采取措施进行处理,确保单位人员和财产安全。
六外部人员保密管理
(1)非临时外部人员必须签署安全保密协议后才能进场工作。外部人员如因业务需要查阅涉密资料或访问信息中心网络系统,必须获得相关负责人批准并详细登记,必须确认已与相关负责人签署有效的保密协议。
(2)未经批准,禁止外部人员携带移动存储介质,移动存储介质必须在接待人的监控下使用。
(3)未经特别许可,外部人员不得在办公区域和机房内摄影、拍照。
(4)禁止外部人员试图了解和查阅与工作无关的秘密。
(5)外部人员必须保守接待部门秘密,严禁向任何人员透露的秘密。
七外部人员的安全操作
(1)未经允许,禁止外部人员携带的电脑接入内部网络。外部人员使用的机器必须独立组网。
(2)外部人员如因工作需要(如软件开发测试)访问内部网络,必须向有关部门申请,并使用指定的设备。
(3)不允许外部人员进行远程网络访问。如确因维护需要远程访问,必须报分管领导批准。
(4)外部人员在机房内的所有操作,都必需说明该操作可能引起的安全风险,并由接待人确认后才能操作。接待人必须对外部人员的操作进行全程监控,记录外部人员的操作内容并存档备案。
(5)更换机器硬件的操作需向接待人员指出硬件损坏的证据,由接待人员上报分管领导批准,将机器上的应用切换到其它机器上后,方可进行更换。
(6)外部人员对机房附属设备(如空调、UPS等)的维护和保养,事先要由接待人员上报分管领导批准后选择合适的时间进行,确保操作不影响信息系统的正常运行。
八附则
对违反本制度的人员,将按照有关规定进行处罚。
本制度由信息安全工作小组负责制定、解释和修改。
本制度自发布之日起执行。
信息安全工作小组
2020年10月18日