第三方人员安全管理办法
第三方人员安全管理办法目的是为了加强第三方人员的信息安全管理,规范第三方人员的入场、驻场、离场等方面的管理,有效防范和控制第三方人员安全风险。
第三方人员管理策略第三方人员管理以部门为单位,遵循“谁使用,谁管理”的原则,第三方人员使用部门是第三方人员信息安全管理的第一责任人,信息技术部门负责第三方人员管理的监督、检查。第三方人员使用部门应制定一名管理专员(信息安全员)进行第三方人员的管理,管理内容包括第三方人员的的入场、离场管理等。第三方人员使用部门通过简历筛选、面试、考试、资质审查等等手段对第三方人员的胜任能力进行审查,审查合格后方可使用。
第三方人员入场安全管理
第三方人员进场时,应由使用部门信息安全员为其办理入场手续。
第三方人员进场时,应将以下资料提交到信息安全员处:
第三方人员信息安全承诺书。
第三方人员简历(仅供应商服务人员提供)。如进场的第三方人员是涉及信息技术工作的外包人员,信息安全员应向供应商要求提供第三方人员背景调查表。
信息安全员应对第三方人员入场提供资料进行审核,保证所提交资料的完整性和准确性,原则上手续不齐全不能入场。第三方人员入场资料收集完成后,由信息安全员将第三方人员信息录入《第三方人员信息汇总表》。使用部门信息安全员应根据第三方人员的具体工作内容,为其申请专用的办公设备、出入证、账号权限等。
第三方人员驻场安全管理
第三方人员入场后,使用部门应会同信息技术部门组织第三方人员参加信息安全培训,培训内容包括信息安全制度、以及基本的信息安全意识等。
使用部门应加强保密意识,按照“内外有别、最小授权”的原则进行工作任务分配。
第三方人员访问信息处理设施及信息系统,必须进行审批、登记和备案,并采取相应的安全保护措施。应严格限制第三方人员对机房等重要物理区域的访问,如因工作原因需要,必须经相关负责人审批,在审批通过后还应由具有访问权限的内部员工全程陪同。
应严格控制第三方人员对内部网络、服务器、数据库以及应用系统的访问。如因工作原因需要,须经相关负责人审批,开通其工作所需的最小访问权限,并应对使用过程严格管理。第三方人员工作内容发生变动时,使用部门应及时根据新的工作职责对相应物理和逻辑访问权限进行变更申请。严禁第三方人员以任何手段,蓄意破坏网络及设备的正常运行,或窃取敏感信息。若造成系统、数据严重破坏或信息泄露造成损失的,追究其法律责任。第三方人员进入各工作区域,严禁触摸和按动各种消防设备按钮和开关,以防止影响上述设备的正常运行。第三方人员有责任爱护所有办公区设备,如有丢失或损坏,将视情况作出相应处理,必要时需给予一定赔偿。严禁任何第三方人员携带易燃、易爆、易碎、易腐蚀、易霉烂、易变质和强磁场、强辐射等危险物品进入工作区域。严禁任何第三方人员在办公区域内使用任何与工作无关的用电设备,如电炉、电水壶、电吹风等。
第三方人员离场安全管理
如果第三方人员需要离场,应由使用部门信息安全员为其办理离场手续。第三方人员离场过程中,应进行必要的工作交接、资产归还、账号权限处理等信息安全控制。第三方人员离场手续办理完毕后,由使用部门信息安全员负责更新第三方人员信息汇总表,对离场第三方人员的信息进行记录。
违规处罚管理
第三方人员必须遵守公司发布的与信息安全相关的各项规章制度。
第三方人员违反公司信息安全管理制度,依双方合同协商处理。对于违规情节特别严重的第三方人员,使用部门应中止与第三方人员所属单位的合作关系,并要求对方根据具体情况赔偿损失。对于违反国家法律法规的第三方人员,应将违规人员移交司法机关。