外部人员安全管理制度.docx
《外部人员安全管理制度.docx》由会员分享,可在线阅读,更多相关《外部人员安全管理制度.docx(10页珍藏版)》请在冰点文库上搜索。
外部人员安全管理制度
XX信息安全管理体系文档
XX
外部人员安全管理制度
编号:
XX
二○XX年十月
版本控制信息
版本
日期
拟稿和修改
说明
A
初版发行
XXX
1.目的
为加强对公司信息化相关第三方机构或个人的管理,规范第三方机构或个人行为,防范第三方机构或个人带来的信息安全风险,维护公司合法权益,特制定本细则。
2.适用范围
本细则适用于所有与公司信息化相关的第三方机构或个人的管理。
3.术语定义
第三方:
与公司有合作关系或尚未建立合作关系的软硬件供应商、服务商、银行、电信等机构或个人。
长期供应商:
指合作项目为在一定时间内定期或不定期提供产品或服务的厂商,公司对该项产品或服务可能在2年或2年以上时间都有一定需求,包括系统维护服务供应商、办公电脑供应商、软件维护供应商等。
单一项目供应商:
合作项目为在固定期限内提供一批或几批有固定要求的产品或服务的厂商,包括单一项目硬件产品供应商、单一软件产品开发外包商等。
4.职责与权限
部门/岗位
职责
不相容职责
4.1信息技术中心
4.1.1负责长期供应商、单一项目供应商管理;
4.1.2负责第三方电脑接入审核;
4.1.3依据本文件规定控制付款进度。
无
4.2公司各部室、各分支机构
4.2.1遵守公司制度,协调第三方机构签署“信息安全保密协议”;
4.2.2所接待的外部机构或个人的外部电脑需接入时,依据有关要求实施审核;
4.2.3配合信息技术中心对长期供应商进行考核。
无
4.3信息技术中心供应商管理员
4.3.1负责长期供应商资格认定、年度考核等管理;
4.3.2妥善保管供应商相关档案。
无
4.4经纪业务各中心、各证券营业部电脑人员
4.4.1负责本部外部人员访问信息资源审核;
4.4.2负责本部第三方电脑接入审核。
无
4.5接口部门的分管公司领导
4.5.1如第三方需要访问敏感数据,接口部门的分管公司领导负责审核访问申请。
无
4.6信息技术中心分管公司领导
4.6.1如第三方需要访问敏感数据,由分管信息技术中心的公司领导负责审批访问申请。
无
5.政策
5.1外部人员访问公司信息资源,应遵从公司相关信息安全政策及《电脑终端安全管理办法》相关规定,如有违反,公司有权立即中止其对公司信息资源的访问,由此造成的直接或间接损失由外部人员承担。
5.2原则上外部电脑接入公司内部网络或外部人员访问公司内部信息系统,按照“外部电脑接入公司内部网络、外部人员访问公司内部信息资源管理流程”进行背景验证和管理。
特殊或紧急情况下,由接待外部人员的接口部门负责人审核后,可不采用“外部电脑接入公司内部网络、外部人员访问公司内部信息系统管理流程”,由接口部门承担相应职责。
6.工作程序
6.1第三方安全管理
规定:
与对公司信息资源进行访问的外部人员签订“信息安全保密协议”,由负责接待外部机构的接口部门联络人负责协调“信息安全保密协议”的签署,“信息安全保密协议”按照公司合同管理相关规定进行管理。
外部电脑接入公司内部网络、外部人员访问公司内部信息资源管理流程:
阶段
流程说明和控制要求
责任部门/岗位
控制要点
支持文件
/记录
1.访问前准备工作
1.1外部接入申请人提出申请,填写“网安公司访问信息资源申请表”(附录一),并附加访问人身份证复印件及签署的“信息安全保密协议”。
1.2公司接口部门联络人接收申请、签署意见。
1.3如需要访问相关信息系统,按照对应信息系统权限管理办法申请相关权限。
1.4“网安公司访问信息资源申请表”提交接口部门负责人审核。
1.5“网安公司访问信息资源申请表”提交信息技术中心部门负责人/营业部电脑人员审批。
外部人员
接口部门联络人
接口部门负责人
信息技术中心部门负责人
营业部电脑人员
网安公司访问信息资源申请表
信息安全保密协议
2.来访
2.1外部人员来访。
2.2接口部门联络人根据1.1提交的身份证复印件验证来访人员身份。
2.3如需要电脑接入,由信息技术中心相关人员/营业部电脑人员对接入电脑进行安全检查。
经检查合格,方可注册并接入公司网络;按照申请的权限要求,严格限制外部电脑的使用权限。
2.4如第三方需要访问敏感数据,需要接口部门分管领导及信息技术中心分管公司领导审批通过。
2.5接口部门联络人对外部接入人员进行有效的行为监督,确保外部人员仅获得与其从事的项目直接相关的资源和信息。
外部人员
接口部门联络人
总裁室领导
信息技术中心人员
营业部电脑人员
3.来访后处理
3.1如涉及信息系统访问,接口部门联络人应及时协调注销外部人员系统权限。
6.2长期供应商管理
长期供应商管理包括资格认定、年度考核、付款审核、等级评定、资料管理等。
6.2.1资格认定
合同签署后的长期合作软硬件供应商、服务商管理的法人、其他组织,均应纳入长期合作供应商管理。
长期供应商需提供资料:
填报“信息技术长期供应商登记表”并提供经企业法定代表人签字确认和加盖公章的以下资料复印件:
(1)经年审的营业执照;
(2)组织机构代码证和法定代表人身份证;
(3)银行账户和资信等级;
(4)税务登记证;
(5)特许经营、特约经销或维修、业务资质、品牌授权代理等资格证明(授权人加盖公章);
(6)公司经营的主要产品目录;
(7)主要技术管理人员情况简介;
(8)生产经营场所的地址、场地规模情况。
6.2.2年度考核
(1)对供应商资格实行年度考核制,由信息技术中心供应商管理人员组织对供应商进行年度评审,评审人员根据评审结果填写“信息技术供应商评分总表”,经审查符合条件可以续签为下年度供应商的,重新登记“信息技术长期供应商清单”。
(2)评审人员包括信息技术中心负责人、信息技术中心相关技术人员,可根据具体情况邀请风险控制部、法律合规部、相关业务人员(包括使用部门人员)参与评审,评审人员名单由信息技术中心负责人核定。
6.3.3等级评定
(1)供应商初次登记时,信息技术中心应综合各方面因素给出供应商相应的等级,分为:
AAA、AA、A、B、C五级。
(2)应按照“信息技术供应商评分标准”所列各项进行评分,每年更新供应商等级。
6.3.4资料管理
信息技术中心供应商管理员负责“信息技术长期供应商清单”的管理与维护,并应妥善保管供应商相关资料。
6.3单一项目供应商管理
在合同的最后一笔款项支付前需由付款申请人组织对供应商进行评审,评审人员根据评审结果填写“信息技术供应商评分总表”。
评审人员包括信息技术中心负责人、信息技术中心相关技术人员,可根据具体情况邀请风险控制部、法律合规部、相关业务人员(包括使用部门人员)参与评审,评审人员名单由信息技术中心负责人核定。
“信息技术供应商评分总表”交由信息技术中心供应商管理员存档。
7.检查监督
由信息技术中心监督本文件的执行。
8.附件及相关文件
8.1外部人员访问信息资源申请表
8.2信息安全保密协议
8.3信息技术长期供应商登记表
8.4信息技术供应商评分标准
8.5信息技术长期供应商清单
8.6信息技术供应商评分总表
附录一:
外部人员访问信息资源申请表
日期:
年月日
外部访问机构:
外部访问人员清单:
(请附来访人员身份证复印件)
访问事宜:
是否需要电脑接入:
○是○否
接入起止日期:
是否需要访问信息系统:
○是○否
信息系统清单:
是否需要访问敏感数据:
○是(需要接口部门分管领导和分管信息技术中心的总裁室领导审批)
○否(不需要接口部门分管领导和分管信息技术中心的总裁室领导审批)
是否签署信息安全保密协议:
○是(请附已签署的信息安全保密协议)
○否(请注明原因)
网安公司接口部门联络人意见:
网安公司接口部门负责人意见:
网安公司信息技术中心负责人/营业部电脑人员意见:
电脑检查意见:
(接口部门为总部各部室接入时,由信息技术中心填写,接口部门在经纪业务各中心、各营业部时,由本部电脑人员填写)
接口部门分管领导意见:
(如第三方需要访问敏感数据,必须经过接口部门分管领导审批通过)
分管信息技术中心的总裁室领导意见:
(如第三方需要访问敏感数据,必须经过分管信息技术中心的总裁室领导审批通过)
注:
如涉及相关信息系统权限申请,请按照相关信息系统权限管理要求办理申请、注销处理。
本表格原件及所有附件由接口部门归档管理。
执行。