外部人员安全管理制度

XX信息安全管理体系文档XX外部人员安全管理制度编号：XX二○XX年十月

编号：版本控制信息版本日期拟稿和修改说明A初版发行XXXA编号：目录目录B1.目的2.适用范围3.术语定义4.职责与权限5.政策6.工作程序6.1第三方安全管理6.2长期供应商管理6.2.1资格认定6.2.2年度考核6.3.3等级评定6.3.4资料管理6.3单一项目供应商管理.........................................................................................................................1..................................................................................................................1..................................................................................................................1..............................................................................................................1.........................................................................................................................2..................................................................................................................2.................................................................................................2.................................................................................................4.......................................................................................................4.......................................................................................................5......................................................................................................5......................................................................................................5..........................................................................................57.检查监督..................................................................................................................68.附件及相关文件.......................................................................................................6B编号：1.目的为加强对公司信息化相关第三方机构或个人的管理，规范第三方机构或个人行为，防范第三方机构或个人带来的信息安全风险，维护公司合法权益，特制定本细则。2.适用范围本细则适用于所有与公司信息化相关的第三方机构或个人的管理。3.术语定义第三方：与公司有合作关系或尚未建立合作关系的软硬件供应商、服务商、银行、电信等机构或个人。长期供应商：指合作项目为在一定时间内定期或不定期提供产品或服务的厂商，公司对该项产品或服务可能在2年或2年以上时间都有一定需求，包括系统维护服务供应商、办公电脑供应商、软件维护供应商等。单一项目供应商：合作项目为在固定期限内提供一批或几批有固定要求的产品或服务的厂商，包括单一项目硬件产品供应商、单一软件产品开发外包商等。4.职责与权限部门/岗位职责不相容职责4.1信息技术中心无、单一项目供应商管理4.1.1负责长期供应商；4.1.2负责第三方电脑接入审核；4.1.3依据本文件规定控制付款进度。4.2公司分支机构各部室、各4.2.1遵守公司制度，协调第三方机构签署“信息无安全保密协议”；4.2.2所接待的外部机构或个人的时入，依据有关要求实施审核；4.2.3配合信息技术中心对长期供应商进行考核。技术中心4.3.1负责长期供应商资格认定、年度考核等管无外部电脑需接4.3信息供应商管理员理；4.3.2妥善保管供应商相关档案。4.4经纪业务各中4.4.1负责本部外部人员访问信息资源审核；无第1页共8页编号：部门/岗位职责不相容职责心、各证券营业部电4.4.2负责本部第三方电脑接入审核。脑人员4.5接口部门的分4.5.1如第三方需要访问敏感数据，接口部门的分无管公司领导管公司领导负责审核访问申请。4.6信息技术中心4.6.1如第三方需要访问敏感数据，由分管信息技无分管公司领导术中心的公司领导负责审批访问申请。5.政策5.1外部人员访问公司信息资源，应遵从公司相关信息安全政策及《电脑终端安全管理办法》相关规定，如有违反，公司有权立即中止其对公司信息资源的访问，由此造成的直接或间接损失由外部人员承担。5.2原则上外部电脑接入公司内部网络或外部人员访问公司内部信息系统，按照“外部网络、外部人员访问公司内部信息资源管理流程”进行背景验证和管采用“外部信息系统管理流程”，由接口部门电脑接入公司内部理。特殊或紧急情况下，由接待外部人员的接口部门负责人审核后，可不电脑接入公司内部网络、外部人员访问公司内部承担相应职责。6.工作程序6.1第三方安全管理规定：与对公司信息资源进行访问的外部人员签订“信息安全保密协议”，由负责接待外部机构的接口部门联络人负责协调“信息安全保密协议”的签署，“信息安全保密协议”按照公司合同管理相关规定进行管理。外部电脑接入公司内部网络、外部人员访问公司内部信息资源管理流程：第2页共8页编号：<外部电脑接入公司内部网络、外部人员访问公司内部信息资源管理流程>信息技术中心部门门负责人负责人/营业部电脑人员信息技术中心人员接口部门的分管分管信息技术中心的总裁室领导外部人员接口部门联络人接口部支持文件/记录/营业部电脑人员领导提出申请外部人员访问信息资源申请表信息安全保密协议签署安全保密协议作工备准前问访否否否否接请收资料/授权申是否访问敏感数据是否同意是否同意是否同意是否同意是是是是.1否是来访人员验证电脑检查是是否需要电脑接入？否外部人员监督访来.2是否需要注销权限？是理处后协调权限注销.3责任部门/支持文件阶段流程说明和控制要求控制要点岗位/记录1.访问1.1外部接入前准备“网安公司访问信息资源申请表”（附接口部门录一），并附加访问人身份证复印件联络及签署的“信息安全保密协议”。接口部门1.2公司接人接收申请、负责人信息技术1.3如需要访问相关信息系统，按照中心部门申请人提出申请，填写外部人员网安公司访问信息资源申请表工作人信息安全保密协议口部门联络签署意见。对应信息系统权限管理办法申请相负责人关权限。营业部电1.4“网安公司访问信息资源申请表”脑人员提交接口部门负责人审核。第3页共8页编号：责任部门/支持文件阶段流程说明和控制要求控制要点岗位/记录1.5“网安公司访问信息资源申请表”提交信息技术中心部门负责人/营业部电脑人员审批。2.来访2.1外部人员来访。外部人员2.2接口部门联络人根据1.1提交的接口部门身份证复印件验证来访人员身份。联络人2.3如需要电脑接入，由信息技术中总裁室领心相关人员/营业部电脑人员对接入导电脑进行安全检查。经检查合格,方信息技术可注册并接入公司网络；按照申请中心人员的权限要求，严格限制外部电脑的营业部电使用权限。脑人员2.4如第三方需要访问敏感数据，需要接口部门分管领导及信息技术中心分管公司领导审批通过。2.5接口部门联络人对外部接入人员进行有效的行为监督，确保外部人员仅获得与其从事的项目直接相关的资源和信息。3.来访3.1如涉及信息系统后处理联络人应及时协调注销外部人员系统权限。访问，接口部门6.2长期供应商管理长期供应商管理包括资格认定、年度考核、付款审核、等级评定、资料管理等。6.2.1资格认定合同签署后的长期合作软硬件供应商、服务商管理的法人、其他组织，均应纳入长期合第4页共8页编号：作供应商管理。长期供应商需提供资料：填报确认和加盖公章的以下资料复印件：（1）经年审的营业执照；“信息技术长期供应商登记表”并提供经企业法定代表人签字（2）组织机构代码证和法定代表人身份证；（3）银行账户和资信等级；（4）税务登记证；（5）特许经营、特约经销或维修、业务资质、品牌授权代理等资格证明（授权人加盖公章）；（6）公司经营的（7）主要技术管理人（8）生产经营6.2.2年度考核（1）对供应商资主要产品目录；员情况简介；场所的地址、场地规模情况。格实行年度考核制，由信息技术中心供应商管理人员组织对供应商进行年度评审，评审人员根据评审结果填写“信息技术供应商以续签为下年度供应商的，重新登记“信息技术长期供应商”。（2）评审人员包括信息技术中心负责人、信息技术中心相关技术人员，可根据具体情况邀请风险控制部、法律合规部、相关业务人员（包括使用部门人员）参与评审，评审人评分总表”，经审查符合件条可清单员名单由信息技术中心负责人核定。6.3.3等级评定（1）供应商初次登记时，信息技术中心应综合各方面因素给出供应商相应的等级，分为：AAA、AA、A、B、C五级。（2）应按照“信息技术供应商评分标准”所列各项进行评分，每年更新供应商等级。6.3.4资料管理信息技术中心供应商管理员负责相关资料。6.3单一项目供应商管理在合同的最后一笔款项支付前需由付款申请审结果填写“信息技术供应商”。评审人员包括信息技术中心负责人、信息技术中“信息技术长期供应商清单”的管理与维护，并应妥善保管供应商人组织对供应商进行评审，评审人员根据评评分总表第5页共8页编号：心相关技术人员，可根据具体情况邀请风险控制部、法律合规部、相关业务人员（包括使用部门人员）参与评审，评审人员名单由信息技术中心负责人核定。“信息技术供应商评分总表”交由信息技术中心供应商管理员存档。7.检查监督由信息技术中心监督本文件的执行。8.附件及相关文件8.1外部人员访问信息资源申请表8.2信息安全保密协议8.3信息技术8.4信息技术8.5信息技术8.6信息技术长期供应商登记表供应商评分标准长期供应商清单供应商评分总表第6页共8页编号：附录一：外部人员访问信息资源申请表日期：年月日外部访问机构：访问事宜：外部访问人员清单：（请附来访人员身份证复印件）是否需要电脑接入：○是○否是否需要访问信息系统：○是○否接入起止日期：信息系统清单：是否需要访问敏感数据：○是（需要接口部门分管领导和分管信息技术中心的总裁室领导审批）○否（不需要接口部门分管领导和分管信息技术中心的总裁室领导审批）是否签署信息安全保密协议：○是（请附已签署的信息安全保密协议）○否（请注明原因）网安公司接口部门联络人