4.XX单位第三方人员安全管理制度

xx单位外方人员安全管理制度

为了保障xx单位信息系统业务的安全、正常运行，规范系统安全管理规范，提高工作效率，为规范进入本单位机房的外部人员的操作行为，特制定本制度。

第1条第三方人员包括软件开发商，硬件供应商，系统集成商，设备维护商和服务提供商，以及实习学生和临时工作人员。

第2条应对第三方人员的物理访问和逻辑访问实施访问控制，根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。

第3条第三方人员的现场工作或远程维护工作内容应在合同中明确规定，如工作涉及机密或秘密信息内容，应要求其签署保密协议。

第4条一般情况下第三方人员的现场工作，如数据库、系统、漏洞扫描、入侵检测、渗透以及其他软件的安装等，应按照下列要求加强。

（一）禁止外部人员携带与工作无关的具有录音、录像、拍照、信息存储等功能的设备。

（二）禁止外部人员将具有无线通信功能设备（如手机和具有无线联网功能的计算机）带入场所，如已经带入需关闭其设备或对其进行屏蔽。

第5条第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权，其操作应受到审计。

第6条第三方人员工作结束后，应及时清除有关账户、过程记录等信息。

第7条旁站陪同控制，对所有进入系统现场进行维修、服务、参观等的外部人员进行全程旁站陪同。

第8条本制度自发布之日起执行。