08 第三方人员访问控制管理制度

好收益(*)金融信息服务有限公司

第三方人员访问控制管理制度

第一章 总 则

第一条 为加强对外部人员在好收益(*)金融信息服务有限公司(以下简称[公司")的信息安全管理，防范外部人员带来的信息安全风险，规范外部人员在公司各项与信息系统相关的活动所要遵守的行为准则，特制定本办法。

第二条 本办法所述的外部人员是指非公司内部员工，包括产品供应商、设备维护商、服务提供商、业务合作单位、临时雇工、实习生等外来人员，外部人员分为临时外部人员和非临时外部人员。

(一) 临时外部人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的外部人员；

(二) 非临时外部人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务，必须在相关单位办公的外部人员。 第三条 本办法适用于公司。

第二章 外部人员风险识别

第四条 各部门在与第三方进行接触过程中，应防范外部人员对于公司可能带来的各类信息安全风险，这些风险包括但不限于如下内容:

(一) 外部人员的物理访问带来的设备、资料盗窃； (二) 外部人员的误*作导致各种软硬件故障； (三) 外部人员对资料、信息管理不当导致泄密；

1

(四) 外部人员对计算机系统的滥用和越权访问； (五) 外部人员给计算机系统、软件留下后门； (六) 外部人员对计算机系统的恶意攻击。

第五条 接待部门应对外部人员进出接待区域的物理和信息风险进行识别和防范；关键区域的进出应填写<好收益(*)金融信息服务有限公司外部人员访问申请表>，经部门负责人签字确认后， 由内部人员的全程陪同，方可进入。

第六条 涉及公司业务合作的外部人员风险识别由各业务合作部门负责管理，各部门应正确、合理识别各类业务信息的关键程度和保密程度，根据外部人员或项目保密协议严格控制，依照[按需访问"的原则对公司信息进行安全管理。

第三章 基本安全管理

第七条 在未经公司相关部门负责人的审核审批的情况下，禁止外部人员了解和查阅公司的敏感、重要和商业秘密信息。

第八条 外部人员如因业务需要查阅公司敏感资料或访问公司网络和信息系统资源，必须经过相关部门负责人批准并详细登记，须与公司签署有效的<好收益(*)金融信息服务有限公司外部人员保密协议>。 第九条 未经相关部门负责人的许可，外部人员不得在办公区域、设备间、机房等关键区域摄影、拍照。

第四章 外部人员物理访问控制

第十条 外部人员进出公司时，遵守信息安全工作组相关管理规定<公司办公环境信息安全管理办法>， 接待人必须全程陪同临时外部人员，告知有关

2

安全管理办法。

第十一条 业务洽谈和技术交流应当在接待室、会议室或培训教室内进行，招标、谈判等正式洽谈和重大项目的会谈应当在专门的会议室进行，不得在办公区域内进行。

第十二条 外部人员进入机房、设备间等重要区域时，应遵从<公司机房环境安全管理办法>等相关办法。

第五章 外部人员信息系统使用控制

第十三条 未经允许，禁止外部人员携带的电脑接入公司网络，如因工作需要访问公司网络和信息系统资源，必须填写<好收益(*)金融信息服务有限公司临时接入公司网络申请表>，由接待人负责向信息安全工作组申请，并使用指定的设备。

第十四条 未经允许，禁止外部人员远程访问公司网络。如确因工作需要(例如维护、故障处理)需要远程访问，必须由远程接入业务的需求部门填写<好收益(*)金融信息服务有限公司临时接入公司网络申请表>，经部门负责人审批，报信息安全工作组领导批准。

第十五条 外部人员在机房内的所有*作，都必需说明该*作可能引起的安全风险，并由接待人认可后才能*作。接待人必须对外部人员的*作进行全程*，参照<公司机房环境安全管理办法>中的相关附件，记录外部人员的*作内容并存档备案。

第十六条 更换机器硬件的*作需向接待人指出硬件损坏的*据，由接待人员上报信息安全工作组批准，将机器上的应用切换到其它机器上后，方可进行更换，并参照<公司机房环境安全管理办法>中的附件记录并存档。 第十七条 外部人员对机房附属设备(如空调、ups等)的维护和保养，事

3

先要由接待人员上报信息安全工作组领导批准后选择合适的时间进行，确保*作不影响公司系统的正常运行，并参照<公司机房环境安全管理办法>中的附件记录并存档。

第*条 未经信息安全工作组批准，禁止外部人员携带移动存储介质进入机房。

第十九条

外部人员如因工作需要使用移动存储介质，必须在接待人的*下

使用，由此而产生的安全风险由接待人承担。

第六章 附则

第二十条 本办法由公司信息安全工作组制定，并负责解释和修订。 第二十一条

本办法自发布之日起执行。

4

附件1

公司外部人员保密协议

本协议中涉及的项目:________________________________________ 涉及到的公司(简称[公司")信息(信息系统、文档、数据等)包括:

________________________________________________________________________________________________________________________________________________________________________________________________________。

为了保*_______公司及其上级和合作单位的专有信息不被泄露，人员(承诺人)_________所属公司____________________________承诺如下: 一、 保密内容

1。 在项目中接触到的或以任何方式获得的所有信息，包括但不限于如下所列:商业秘密、技

术秘密、通信或与其相关的其他信息；无论是书面的、口头的、图形的、电磁的或其它任何形式的信息，包括(但不限于)数据、模型、技术、方法和其它信息均为承诺保密的专有信息。

2。 不将专有信息透露给项目组内非必须人员和/或项目组之外的任何人； 3。 不得为本合同规定目的之外的其他目的使用专有信息； 4。 不将此专有信息的全部或部分进行复制或仿造。 二、 例外情况必须以如下形式确定

1。 获得书面授权，承诺人可以披露的专有信息。

2。 承诺人能够*在承诺人披露公司专有信息之前，公司已经通过其他途径公开披露的专有

信息。

3。 有书面材料*，公司在未附加保密义务的情况下公开透露的信息；

4。 有书面材料*，承诺人从公司获取任何专有信息之前在未受任何保密义务限制的情况下

已经拥有的专有信息。

5

三、 专有信息的交回

1。 当公司以书面形式要求承诺人交回专有信息时，承诺人应当立即交回所有书面的或其他有

形的专有信息以及所有描述和概括该专有信息的文件。

2。 如无公司的书面许可，承诺人不得丢弃和处理任何书面的或其他有形的专有信息。 四、 否认许可

除非公司明确地授权，承诺人不能认为公司授予其包含该专有信息的任何专利权、专利申请权、商标权、著作权、商业秘密或其它的知识产权。 五、 违约处理

承诺人未按照公司要求采取有效措施对信息进行保密，由此带来的任何损失由承诺人及所属公司承担，如造成法律纠纷或涉及违法，承诺人承担法律责任。 六、 保密期限

本协议规定的保密责任期限于 年 月 日到期。

承诺人(签字):

好收益(*)金融信息服务有限公司(盖章) 授权代表(签字):

签字时间:

6

附件2

公司临时接入网络申请表

外部人员:

7

8

附件3

公司外部人员访问申请表

申请日期:

9

• 消控室管理制度

  消防控制室管理制度一、消防控制室工作人员应严格遵守消防控制室的各项安全*作规程和各项消防安全管理制度；二、消防控制室实行24小时值班制度，消防控制室的主管部门应按月制定工作人员值班表；三、消防控制室自动消防系统的*作人员应具备高中以上文化程...

• 人员管理制度

  引导语：一支高素质、高水平的团队服务于每一位客户公司制定了以下严格的管理规章制度，以下是小编整理的人员管理制度，欢迎参考阅读!一.基本要求1.1、全体员工要团结一致，各尽其职，献出真诚服务，做好本职工作。1.2、全体员工按照本店编排时间表，...

• 公司扬尘控制管理制度

  为了落实我市创建“世界现代田园城市”目标，树立良好城市形象，有效防治城市扬尘污染，改善城市环境空气质量，保障人体健康，根据《成都市城市扬尘污染防治管理暂行规定》、《成都市建筑施工现场监督管理规定》、《成都市房屋建筑和市政基础设施工程施工现场...

• 资产控制的管理制度

  第一条资产的保管与帐簿的记载，应由不同人员分别负责。第二条资产的保管，应明确指派人员负责，以免责任混淆。第三条有形资产应加防护，以免私自或不当使用。第四条应随时核对零用金与库存现金，并维持最少额度。第五条各项支出的核决与支付，应分责办理。第...

• 消防控制室管理制度

  一、消防控制室工作人员应严格遵守消防控制室的各项安全*作规程和各项消防安全管理制度； 二、消防控制室实行24小时值班制度，消防控制室的主管部门应按月制定工作人员值班表； 三、消防控制室工作人员每班不得少于2人，其中一名为领班，负责控制...