單位網絡外部人員訪問管理制度規(guī)定模板

XXX外部人員訪問管理制度一、目的為加強XXX內部安全保衛(wèi)工作，提高工作人員的安全防范意識，防止各類事故發(fā)生，確保資產的安全，特制定本制度。二、范圍本文檔適用于XXX所有納入到信息安全管理范圍的相關部門和個人。三、職責各部門主管按照本制度外部人員訪問不同區(qū)域進行流程化管理，杜絕非法訪問無過程無審批的情況。四、識別與外部機構相關的風險(一)外部訪問的風險識別對外部機構的安全訪問各部門自行負責（具體工作由部門負責人指派）。當允許外部機構訪問XXX的信息處理設施或信息時，將實施風險評估并特別關注以下方面：1.外部機構需要訪問的信息處理設施；2.外部機構對信息和信息處理設施的訪問類型，例如：(1)物理訪問，例如進入辦公室，計算機機房；(2)邏輯訪問，例如訪問公司的數(shù)據(jù)庫，信息系統(tǒng)；(3)公司和外部機構網絡的網絡連接，例如永久性連接、遠程訪問；(4)現(xiàn)場訪問還是非現(xiàn)場訪問；(5)所涉及信息的價值和敏感性，及對業(yè)務運行的危險程度；(6)保護不打算被外部機構訪問到的信息所需要的控制；(7)處理信息中所涉及的外部機構的人員；(8)授權訪問的人員如何被識別、進行授權驗證，多長時間需要重新確認；(9)外部機構在貯存、處理、傳送、共享和交換信息過程中所使用的不同的方法和控制；(10)當需要時外部機構無法獲得訪問，外部機構進入或接收到不正確的信息或誤導信息的影響；(11)處理信息安全事故和潛在破壞的慣例和程序，當發(fā)生信息安全事故時外部機構繼續(xù)訪問的期限和條件；(12)應考慮與外部機構有關的法律法規(guī)要求和其他合同責任；(13)其他利益相關人的利益如何被安排所影響。(二)合同管理簽訂合同時，需明確規(guī)定外部機構連接或訪問以及合作的期限和條件后，才可允許外部機構訪問XXX信息系統(tǒng)。與外部機構合作的安全要求或內部控制須通過與外部機構的協(xié)議明確反映出來。(三)安全意識各部門管理人員應確保外部機構相關人員意識到他們的責任，以及處理信息設施所涉及的職責和責任。五、外部機構與人員訪問的安全需求對外部機構的安全訪問由被訪問的各部門負責，在允許外部機構或用戶訪問公司任何資產（依據(jù)訪問的類型和范圍，并不需要應用所有的條款）前解決安全問題將考慮下列條款：(一)資產保護，包括：1.保護機構資產（包括信息和軟件）的程序，以及對已知脆弱點的管理；2.確定資產是否受到損害（例如丟失數(shù)據(jù)或修改數(shù)據(jù)）的程序；3.完整性；4.對拷貝和泄露信息的限制；(二)要提供的產品或服務的描述；(三)外部機構或用戶訪問的不同原因、需求和利益；(四)訪問控制策略，包括：1.允許的訪問方法，唯一標識的控制和使用，例如用戶ID和口令；2.外部機構或用戶訪問和權限的授權過程；3.沒有明確授權的訪問均被禁止的聲明；4.撤消訪問權力或中斷系統(tǒng)間連接的過程；(五)信息錯誤（例如個人信息的錯誤）、信息安全事故和安全違規(guī)的報告、修改和調查的安排；(六)要提供確保每項服務可用的描述；(七)服務的目標級別和服務的不可接受級別；(八)監(jiān)視和撤銷與機構資產有關的任何活動的權利；(九)公司和外部機構或用戶各自的義務；(十)關于法律事件和如何確保滿足法律要求（例如，數(shù)據(jù)保護法律）的責任。如果該協(xié)議涉及與其他國家的消費者的合作，特別要考慮到不同國家的法律體系；(十一)知識產權和版權轉讓以及任何協(xié)作性工作的保護。六、與外部機構及人員的協(xié)議中強調安全協(xié)議將確保在公司和外部機構人員之間不存在誤解。為滿足識別的安全需求，下列條款將考慮包含在協(xié)議之內：(一)信息安全策略；(二)確保資產得到保護的控制措施，包括：1.保護資產（包括信息、軟件和硬件）的程序；2.所有需要的物理保護控制和機制；3.確保防止惡意軟件的控制；4.確定資產是否受到損害（例如信息、軟件和硬件的丟失或修改）的程序；5.確保在協(xié)議截止時或在合同執(zhí)行期間雙方同意的某一時間段對信息和資產的歸檔或銷毀的控制；6.保密性、完整性、可用性和任何其他相關的資產屬性；7.對拷貝和泄露信息，以及保密性協(xié)議的使用的限制；(三)對用戶和管理者在方法、程序和安全方面的培訓；(四)確保用戶意識到信息安全職責和問題；(五)關于硬件和軟件安裝和維護的職責；(六)訪問控制策略，包括：1.外部機構和外部人員訪問的必要性的不同原因、需求和利益；2.允許的訪問方法，唯一標識符（諸如用戶ID和口令）的控制和使用；3.用戶訪問和特權的認證過程；4.維護被授權使用正在提供的服務的個人清單的需求以及他們與這種使用相關的權利和特權是哪些；5.沒有明確授權的所有訪問都要禁止的聲明；6.撤消訪問權力或中斷系統(tǒng)間連接的過程；(七)報告、通知和調查信息安全事故和安全違規(guī)以及違背協(xié)議所聲明的要求的安排；(八)提供的每項產品和服務的描述，根據(jù)安全分類提供可獲得信息的描述；(九)服務的目標級別和服務的不可接受級別；(十)可驗證的性能要求的定義、監(jiān)督和報告；(十一)監(jiān)視和撤銷與機構資產有關的任何活動的權利；(十二)審核協(xié)議規(guī)定的職責，授權外部機構和外部人員進行這些審核，以及列舉審核員的法定權限的權利；(十三)建立逐級解決問題的過程；(十四)服務持續(xù)的要求，包括根據(jù)公司的業(yè)務優(yōu)先級對可用性和可靠性的測量；(十五)協(xié)議雙方的相關義務；(十六)關于法律事件和如何確保滿足法律要求（例如，數(shù)據(jù)保護法律）的責任。如果該協(xié)議涉及與其他國家的機構的合作，特別要考慮到不同國家的法律體系；(十七)知識產權（IPRs）和版權轉讓以及任何協(xié)作性工作的保護；(十八)包括具有轉包商的外部機構和外部人員，這