园区信息安全管理体系文档—第三方人员安全管理规定.docx
《园区信息安全管理体系文档—第三方人员安全管理规定.docx》由会员分享,可在线阅读,更多相关《园区信息安全管理体系文档—第三方人员安全管理规定.docx(13页珍藏版)》请在冰点文库上搜索。
园区信息安全管理体系文档
—第三方人员安全管理规定
本文档版权由(单位名称)所有。
未经版权人书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部内容,并以任何形式传播。
文件编码:
(单位名称)-GFXY_3_3版 本:
发布日期:
2019年7月
第三方人员安全管理规定_V0.1
V0.1 报批稿
文档信息
文档名称
基本信息
第三方人员安全管理规定
保密级别
内部
文档编号分发范围
生效日期
(单位名称)-GFXY_3_3
所有部门
版本修订
版本号 版本说明
牵头部门
制作
信息中心
复审 批准
注:
文档基本信息记录本文档提交时的当前有效的基本控制信息,当前版本文档有效
期将在新版本文档生效时自动结束。
文档版本小于1.0时,表示该版本文档为草案,仅可
作为参照资料之目的。
10
目录
1目的 4
2适用范围 4
3职责 4
4管理规定 4
4.1定义 4
4.2第三方组织管理 5
4.2.1合同和保密协议 5
4.2.2考评 5
4.2.3保密 5
4.2.4知识产权 5
4.3第三方人员管理 5
4.3.1入职审核 5
4.3.2日常安全管理 6
4.3.3工作场地管理 7
4.3.4转岗或离岗 7
5附录 8
附录1第三方人员信息安全保证书 8
附录2第三方人员变更申请书 9
附录3第三方工作备案表 11
附录4第三方工作汇报 12
附录5系统第三方工作考核表 13
1目的
为加强对第三方组织(软件开发商、设备供应商、系统集成商等)及第三方人员(厂商技术人员、第三方人员、咨询服务人员)的管理,保障(单位名称)技术系统信息安全、稳定开发、运行与维护过程安全,加强(单位名称)保密工作,特制定本规定。
2适用范围
适用于与(单位名称)有契约合作关系的所有第三方组织和人员。
3职责
由(单位名称)人事处负责监督此文件的执行,其他各个部门主管负责本部门的具体执行。
4管理规定
4.1定义
本规定所称的第三方组织包括软件开发商、设备供应商、咨询服务商、系统集成商与运维服务商。
在第三方人员访问受控区域前必须经过授权或审批,在批准后由专人全程陪同或监督,并登记在《第三方工作备案表》。
本规定所称第三方人员是指第三方组织长期派驻(单位名称)的员工或临时到(单位名称)现场工作的人员。
本办法所称的秘密主要包括:
Ø(单位名称)规定的秘密;
Ø (单位名称)或上级主管、关联单位的内部规章制度和有关政策与程序,内部办公信息与非市场公开信息;
Ø(单位名称)或上级主管、关联单位的技术系统信息。
包含但不限于相
关硬件、软件、方案、设计、算法、数据、源码、记录、报告、设置、
设施等;
Ø(单位名称)与第三方组织合作项目中的商业秘密;
Ø其他经(单位名称)确定应予保密的事项。
4.2第三方组织管理
4.2.1合同和保密协议
第三方组织与(单位名称)签订合同和同时签订指定的保密协议。
第三方组织应严格按照合同及附属保密协议的条款履行承担的责任。
4.2.2考评
(单位名称)每季度对第三方组织进行考评并召开第三方组织例会;如特殊情况需要,(单位名称)可召集临时第三方组织会议。
第三方组织应指派专人参加厂商会议,不得缺席。
4.2.3保密
未经(单位名称)书面授权,第三方组织及其人员不得将在与单位合作过程中涉及或新产生的一切秘密信息在任何时间以任何方式泄露给任何第三方。
4.2.4知识产权
软件开发合同必须明确开发软件的知识产权归属。
4.3第三方人员管理
4.3.1入职审核
1.第三方组织若要指派人员为(单位名称)服务,则需要按照本管理办法与员工签订《第三方人员岗位信息安全保证书》,加盖单位公章,提交给人事处审核。
由人事处审核之后,签署审核意见,档案保存保证书,方可允许第三方人员为(单位名称)服务。
2.第三方组织派遣至(单位名称)现场工作的人员必须具有所工作领域的相关资格或丰富经验,其工作能力能胜任在(单位名称)现场工作的要求。
3.第三方组织应对来(单位名称)现场工作的人员进行岗前信息安全教育培训。
未经过岗前信息安全教育的新增人员,不得在(单位名称)现场工作。
4.第三方组织应为长期派驻(单位名称)工作的人员制定考勤制度,并且严格执行。
5.第三方人员在(单位名称)工作时,应遵守(单位名称)相关规章制度。
软件开发商人员在软件开发过程中还应遵循(单位名称)技术开发规范并接受(单位名称)审计。
6.因工作需要为第三方人员在系统中创建帐户时,应参照(单位名称)开发人员标准执行。
软件开发商帐户由(单位名称)的项目负责人发起申请,并按照单位现有帐号申请审批流程执行。
7.第三方人员用户的密码应按(单位名称)相关规定进行设置。
用户必须保管好自己的密码,禁止借给其他人员使用。
8.第三方人员用户使用完毕,应及时告知(单位名称)项目负责人。
由项目负责人按照单位现有的帐号管理办法进行帐号的删除申请流程,由相关系统管理员负责及时删除用户。
9.第三方人员要严格遵守(单位名称)已经颁布的各种规章、制度及流程。
4.3.2日常安全管理
1.第三方人员应严格保守(单位名称)的秘密。
不得利用工作之便窃取(单位名称)的秘密信息;未经许可,不得将秘密信息带出(单位名称)。
2.第三方组织长期派驻(单位名称)工作的人员所使用的个人电脑必须安装
(单位名称)规定的防病毒软件及相关安全软件、并接受统一管理。
3.第三方组织来(单位名称)临时工作的人员未经许可不得将个人电脑及各类移动存储设备接入(单位名称)网络及各类系统。
需要临时接入网络时,需要向我方接口人提出申请,并且由我方接口人按照单位规定的流程进行。
4.第三方人员因工作需要将设备带入或带出(单位名称)指定的工作场所工作,应征得(单位名称)同意,并严格遵守(单位名称)相关制度。
5.第三方人员在开发、维护过程中,不得对系统设置“后门”,“木马”
等隐藏通道绕开系统安全路径的程序或设备。
6.第三方人员只能接触或接入与其工作相关的网络与主机,不得接触或接入与工作无关的网络与主机。
软件开发商长期派驻(单位名称)人员只能将电脑连接到指定网段内进行软件开发,不得私自拨号连接Internet。
7.当发生信息安全事件时,第三方人员必须服从(单位名称)信息安全工作小组的统一指挥。
8.第三方系统相关部门的负责人制定专人作为第三方公司和第三方人员的接口人,负责整理和更新《第三方工作备案表》,并且定期对第三方工作进行考核;考核结果填写在《第三方工作考核记录表》中。
9.第三方人员需要每周填写《第三方工作汇报》对所第三方的系统进行工作汇报,每周末下班前直接以电子文档或文本形式递交给相应第三方系统的接口人。
4.3.3工作场地管理
1.第三方人员应在(单位名称)指定的工作场所工作,并保持工作场所的清洁、安全。
2.第三方人员未经(单位名称)相关负责人的同意,不得进入有特别权限规定的区域。
4.3.4转岗或离岗
若第三方人员要转岗或离岗,提交第三方人员转岗或离岗申请书并由第三方公司主管签署审核意见,(单位名称)主管部门根据《(单位名称)帐号、口令及权限管理规定》,完成转岗或离岗第三方人员的帐号回收和安全审计等工作,并签署转岗或离岗申请意见。
5附录
附录1第三方人员信息安全保证书
现有 (下称甲方)派遣员工(下称乙方),作为(单位名称)的业务系统第三方人员,乙方郑重向甲方和(单位名称)作出如下承诺:
1.恪守良好的职业道德,严格遵照(单位名称)的相关规定进行业务支撑系统的相关工作,做到诚信和守法;
2.严格遵守(单位名称)关于信息管理、信息安全、信息持有等方面的规定;不得利用知悉工作过程中的设备口令、帐户信息、任何加解密程序和软件、加解密数据文件以及测试工作和软件等在职期间或离职后为本人或第三方谋取利益。
3.不利用职务上的便利或技能从事任何损害(单位名称)及(单位名称)客户利益的行为。
4.乙方除履行职务的需要外,未经甲方事先书面同意,不得泄漏、传播、公布、发布、传授、转让或其他任何方式让第三方(包括按照甲方保密规定无权知悉该秘密的甲方职员)知悉属于甲方或虽属他人但甲方承诺有保密义务的技术秘密和商业秘密,也不得在履行职务之外使用这些秘密信息。
5.乙方在甲方任职期间因职务上的需要,乙方所持有或保管的一切记录有甲方规定为秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归甲方所有,无论这些秘密信息有无商业上的价值,乙方在离职离岗时,必须返还属于甲方,不得将这些载体及其复制件擅自保留或嫁给其他任何人。
6.甲方保密规章制度中未作规定或规定不明确之处,乙方亦应本着谨慎和负责的态度,严格保守本人知悉的技术秘密和商业秘密。
乙方确认已充分知晓和理解本承诺,并正式做出以上承诺,保证严格遵守上述内容。
如果违背以上承诺,乙方愿意承担全部法律责任。
甲方单位代表签名:
乙方签名:
甲方单位盖章:
乙方身份证号码:
时 间:
年 月 日 时 间:
年 月 日
附录2第三方人员变更申请书
基本信息
姓名
身份证号
联系电话
单位职务
申请类别
到岗□/
离岗□/
其他□
申请内容
申请人
日期
第三方公司审批
第三方公司主管审批意见:
第三方公司主管:
日期:
(单位名称)审批
系统相关部门审批意见:
主管:
日期:
信息中心审批意见:
主管:
日期:
备注:
第三方人员安全管理规定_V0.1
附录3第三方工作备案表
序号 第三方公司 第三方人员
电话
系统名称
第三方工作内容
主管部门
部门接口人 备注
11
第三方人员安全管理规定_V0.1
第三方人员
第三方系统名称
基本信息
第三方公司
系统第三方工作汇报
(1)系统第三方工作综述
(2)本周(或本月)第三方工作描述
(3)遗留问题或需单位配合事宜
汇报人:
日期:
备注
附录4第三方工作汇报
13
附录5系统第三方工作考核表
基本信息
第三方人员 第三方公司
第三方系统名称
第三方工作考核记录
(1)系统第三方工作综述(本次考核期间)
(2)(单位名称)规定的第三方工作完成情况
(3)违规事件发生情况
考核结果
(1)第三方考核结论:
(2)第三方考核评级:
(可以参考5级评分机制:
优秀、良好、一般、较差、差)
考核人(签字):
部门主管(签字):
日期:
日期:
备注
升级会员 