最新第三方安全管理辦法

1、第三方安全管理辦法第一章 總則第一條 為了規(guī)范 XXX 的外部第三方用戶在共享科技公司內(nèi)部信息、 或訪問科技 公司內(nèi)部信息系統(tǒng)時的行為，保護(hù)科技公司網(wǎng)絡(luò)與信息系統(tǒng)安全，特制 定本管理辦法，用于內(nèi)部管理機(jī)構(gòu)對第三方機(jī)構(gòu)和人員進(jìn)行安全管理。第二章 適用范圍第二條 本管理辦法適用的第三方包括科技公司的產(chǎn)品供應(yīng)商、代維服務(wù)商、合 作廠商等，制度的執(zhí)行和責(zé)任由與第三方接觸的科技公司相關(guān)部門承擔(dān)。第三條 第三方合作伙伴在涉及到共享科技公司內(nèi)部信息、或訪問企業(yè)內(nèi)部信息 系統(tǒng)時，必須遵守本管理辦法。第四條 在科技公司網(wǎng)絡(luò)與信息安全工作中，本管理辦法是指導(dǎo)第三方安全管理 的基本依據(jù)，相關(guān)組織和人員必須認(rèn)真執(zhí)行本

2、管理辦法，并根據(jù)工作實 際情況，制定并遵守相應(yīng)的實施細(xì)則和操作流程，做好第三方安全管理 工作。第三章 來訪出入管理第五條 第三方人員進(jìn)入科技公司所屬單位及其建筑物，應(yīng)遵守科技公司相關(guān)安 保制度。第六條 接待部門應(yīng)當(dāng)建立第三方來訪預(yù)約制度和接待記錄制度。對第三方人員 的訪問，科技公司前臺應(yīng)進(jìn)行登記，詳細(xì)登記來訪原因、工作單位、出 入時間、會見人、目的、有效證件。第七條 第三方人員訪問科技公司過程中，必須由接待部門安排專人陪同，不得 任其自行走動。第三方人員在科技公司內(nèi)活動應(yīng)當(dāng)佩戴來賓卡或訪問登 記單。第八條 對于需要長時間訪問科技公司的外部人員應(yīng)該建立檔案，檔案應(yīng)與通行證對應(yīng)，并簽訂安全保密協(xié)議

3、。第九條 未經(jīng)科技公司特別許可，第三方人員不得在科技公司內(nèi)攝影、拍照。第十條 科技公司員工要遵守相關(guān)安全保密規(guī)定，禁止與第三方人員談?wù)撆c其工 作無關(guān)的內(nèi)容，對共享給第三方人員的信息應(yīng)登記。第十一條 如因業(yè)務(wù)需要須向第三方提供含有科技公司保密信息的文件、資料 或?qū)嵨锏?，接待人?yīng)當(dāng)在獲得相應(yīng)的批準(zhǔn)或授權(quán)，并與第三方簽訂保密 協(xié)議后再行提供，提供時應(yīng)開具清單請第三方簽收。第十二條 訪問活動結(jié)束后，應(yīng)陪送第三方人員離開科技公司，并到前臺處注 銷訪問登記并歸還來賓卡或訪問登記單。第十三條 同科技公司合作的第三方如有人員變動應(yīng)及時通知科技公司相關(guān)部 門。第四章 機(jī)房出入管理第十四條 除以下情況外，不得引領(lǐng)

4、和允許第三方人員訪問機(jī)房等重要區(qū)域：1. 科技公司領(lǐng)導(dǎo)批準(zhǔn)的參觀活動；2. 必要的儀器設(shè)備現(xiàn)場安裝、維修、調(diào)測；3. 第三方因業(yè)務(wù)需要進(jìn)入上述區(qū)域的其它情形。第十五條 第三方人員訪問機(jī)房須遵守機(jī)房管理相關(guān)規(guī)定。第十六條 第三方人員進(jìn)入計算機(jī)房或進(jìn)行上機(jī)操作，須經(jīng)信息化部門領(lǐng)導(dǎo)或 安全負(fù)責(zé)人批準(zhǔn)，并進(jìn)行相應(yīng)登記，記錄原因、目的及操作內(nèi)容，指定 專人全程陪同。第五章 網(wǎng)絡(luò)訪問管理第十七條 科技公司員工有義務(wù)向第三方人員說明網(wǎng)絡(luò)接入安全要求。第十八條 第三方人員不允許私自連接企業(yè)網(wǎng)絡(luò)。如果必要，必須提出申請， 征得信息化管理部門允許后方可接入。第三方人員連接網(wǎng)絡(luò)要進(jìn)行相應(yīng) 登記備案，并簽訂網(wǎng)絡(luò)使用安

5、全協(xié)議。第十九條 長期使用內(nèi)部網(wǎng)絡(luò)的第三方人員的計算機(jī)必須接受科技公司的統(tǒng) 客戶端管理，包括客戶端管理軟件的安裝、安全策略的配置等。第二十條 第三方人員如果需要訪問網(wǎng)絡(luò)資源，須提前明確申請要訪問資源的 類型、范圍和方式，以便管理員進(jìn)行審批，并提供相應(yīng)的訪問權(quán)限和訪 問方法。除了明確授權(quán)可以訪問的資源以及相應(yīng)訪問方式以外，其他所 有資源和資源訪問方式都應(yīng)該理解為禁止的。第二十一條 第三方人員操作服務(wù)器或網(wǎng)絡(luò)設(shè)備，必須使用臨時帳號，使用之后 由相應(yīng)的管理人員及時清除；對于長期在科技公司工作的技術(shù)支持、顧 問、服務(wù)人員，如果需要長期操作服務(wù)器或網(wǎng)絡(luò)設(shè)備，管理人員應(yīng)該為 第三方人員創(chuàng)建單獨(dú)的帳號。第二十二條 科技公司有權(quán)對第三方人員在科技公司內(nèi)部網(wǎng)絡(luò)的活動進(jìn)行檢查、 審計和監(jiān)控。第二十三條 第三方人員的計算機(jī)要求安裝有防病毒軟件，不得攜帶有木馬、病 毒等破壞性程序。第二十四條 第三方人員不準(zhǔn)使用科技公司網(wǎng)絡(luò)從事同工作無關(guān)的網(wǎng)絡(luò)活動。第二十五條 第三方人員不準(zhǔn)在科技公司網(wǎng)絡(luò)內(nèi)部通過撥號或其它手段直接建立 到其它網(wǎng)絡(luò)的物理鏈路，包括其他公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)。第六章 標(biāo)準(zhǔn)維護(hù)與解