学院第三方人员访问控制管理制度.docx

学院第三方人员访问控制管理制度第一章总则第一条为加强对外部人员在学院的信息安全管理，防范外部人员带来的信息安全风险，规范外部人员在学院各项与信息系统相关的活动所要遵守的行为准则，特制定本办法。第二条本办法所述的外部人员是指非学院内部员工，包括产品供应商、设备维护商、服务提供商、业务合作单位、临时雇工、实习生等外来人员，外部人员分为临时外部人员和非临时外部人员。（一）临时外部人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的外部人员；（二）非临时外部人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务，必须在相关单位办公的外部人员。第三条本办法适用于职业技术学院。第二章外部人员风险识别第四条各部门在与第三方进行接触过程中，应防范外部人员对于学院可能带来的各类信息安全风险，这些风险包括但不限于如下内容：（一）外部人员的物理访问带来的设备、资料盗窃；（二）外部人员的误操作导致各种软硬件故障；（三）外部人员对资料、信息管理不当导致泄密；（四）外部人员对计算机系统的滥用和越权访问；（五）外部人员给计算机系统、软件留下后门；（六）外部人员对计算机系统的恶意攻击。第五条接待部门应对外部人员进出接待区域的物理和信息风险进行识别和防范；关键区域的进出应填写外部人员访问申请表，经部门负责人签字确认后，由内部人员的全程陪同，方可进入。第六条涉及学院业务合作的外部人员风险识别由各业务合作部门负责管理，各部门应正确、合理识别各类业务信息的关键程度和保密程度，根据外部人员或项目保密协议严格控制，依照“按需访问”的原则对学院信息进行安全管理。第三章基本安全管理第七条在未经学院相关部门负责人的审核审批的情况下，禁止外部人员了解和查阅学院的敏感、重要和商业秘密信息。第八条外部人员如因业务需要查阅学院敏感资料或访问学院网络和信息系统资源，必须经过相关部门负责人批准并详细登记，须与学院签署有效的外部人员保密协议。第九条未经相关部门负责人的许可，外部人员不得在办公区域、设备间、机房等关键区域摄影、拍照。第四章外部人员物理访问控制第十条外部人员进出学院时，遵守信息安全工作组相关管理规定信息安全管理办法，接待人必须全程陪同临时外部人员，告知有关安全管理办法。第十一条业务洽谈和技术交流应当在接待室、会议室或培训教室内进行，招标、谈判等正式洽谈和重大项目的会谈应当在专门的会议室进行，不得在办公区域内进行。第十二条外部人员进入机房、设备间等重要区域时，应遵从机房安全管理办法等相关办法。第五章外部人员信息系统使用控制第十三条未经允许，禁止外部人员携带的电脑接入公司网络，如因工作需要访问学院网络和信息系统资源，必须填写临时接入学院网络申请表，由接待人负责向数据信息中心申请，并使用指定的设备。第十四条未经允许，禁止外部人员远程访问学院网络。如确因工作需要（例如维护、故障处理）需要远程访问，必须由远程接入业务的需求部门填写临时接入学院网络申请表，经部门负责人审批，报数据信息中心负责人批准。第十五条外部人员在机房内的所有操作，都必需说明该操作可能引起的安全风险，并由接待人认可后才能操作。接待人必须对外部人员的操作进行全程监控，参照机房安全管理办法中的相关要求，记录外部人员的操作内容并存档备案。第十六条更换机器硬件的操作需向接待人指出硬件损坏的证据，由接待人员上报数据信息中心负责人批准，将机器上的应用切换到其它机器上后，方可进行更换，并参照机房安全管理办法中的要求记录并存档。第十七条外部人员对机房附属设备（如空调、UPS等）的维护和保养，事先要由接待人员上报数据信息中心负责人批准后选择合适的时间进行，确保操作不影响学院系统的正常运行，并参照机房安全管理办法中的相关要求记录并存档。第十八条未经数据信息中心批准，禁止外部人员携带移动存储介质进入机房。第十九条外部人员如因工作需要使用移动存储介质，必须在接待人的监控下使用，由此而产生的安全风险由接待人承担。第六章附则第二十条本办法由数据信息中心组制定，并负责解释和修订。第二十一条本办法自发布之日起执行。