您的位置:360文档中心› 外部人员安全管理制度

外部人员安全管理制度

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

XXX网安技术有限公司

商密三级

XXX信息安全管理体系文档

XXX

外部人员安全管理制度

编号:XXX-L2-011

XXX网安技术有限公司

二C一六年十月

版本控制信息

目录B

1.目的...............................................................1.

2.适用范围...........................................................工

3.术语定义...........................................................1.

4.职责与权限 (1)

5.政策 (2)

6.工作程序 (2)

6.1第三方安全管理 (2)

6.2长期供应商管理................................................... .4

6.2.1资格认定 (4)

6.2.2年度考核 (5)

6.2.3等级评定 (5)

6.2.4资料管理 (5)

6.3单一项目供应商管理 (5)

7.检查监督 (6)

8.附件及相关文件 (6)

1.目的

为加强对公司信息化相关第三方机构或个人的管理,规范第三方机构或个人行为,防范第三方机构或个人带来的信息安全风险,维护公司合法权益,特制定本细则。

2.适用范围

本细则适用于所有与公司信息化相关的第三方机构或个人的管理。

3.术语定义

第三方:与公司有合作关系或尚未建立合作关系的软硬件供应商、服务商、银行、电信等机构或个人。

长期供应商:指合作项目为在一定时间内定期或不定期提供产品或服务的厂商,公司对该项产品或服务可能在2年或2年以上时间都有一定需求,包括系统维护服务供应商、办公电脑供应商、软件维护供应商等。

单一项目供应商:合作项目为在固定期限内提供一批或几批有固定要求的产品或服务的厂商,包括单一项目硬件产品供应商、单一软件产品开发外包商等。

4,职责与权限

5.1外部人员访问公司信息资源,应遵从公司相关信息安全政策及《电脑终端安全管理办法》相关

规定,如有违反,公司有权立即中止其对公司信息资源的访问,由此造成的直接或间接损失由外部人员承担。

5.2原则上外部电脑接入公司内部网络或外部人员访问公司内部信息系统,按照‘外部电脑接入公

司内部网络、外部人员访问公司内部信息资源管理流程”进行背景验证和管理。特殊或紧急情况下,由接待外部人员的接口部门负责人审核后,可不采用“外部电脑接入公司内部网络、外部人员访问公司内部信息系统管理流程”,由接口部门承担相应职责。

6.工作程序

6.1第三方安全管理

规定:与对公司信息资源进行访问的外部人员签订“信息安全保密协议”,由负责接待外部机构的接口部门联络人负责协调“信息安全保密协议”的签署,“信息安全保密协议”按照公司合同管理相关规定进行管理。

外部电脑接入公司内部网络、外部人员访问公司内部信息资源管理流程:

阶段 流程说明和控制要求

责任部门/ 岗位

控制要点

支持文件

/记录

1.访问

1.1外部接入申请人提出申请,填写

外部人员

网安公司访 前准备 “网安公司访问信息资源申请表”

(附

接口部门

问信息资源

工作

录一),并附加访问人身份证复印件

联络人

申请表

及签署的“信息安全保密协议”。

接口部门

信息安全保

1.2公司接口部门联络人接收申请、

负责人

密协议

签署意见。

信息技术

1.3如需要访问相关信息系统,按照

中心部门

对应信息系统权限管理办法申请相 负责人

关权限。

营业部电

1.4"网安公司访问信息资源申请表” 脑人员

提交接口部门负责人审核。

,是否需

,权P

要注

销;

协调权限注销

*

电脑检查

外部电脑接入公司内部网络、外部人员访问公司内部信息资源管理流程

信息技术中心人员 /营业部电脑人员 信息技术中心部门

负责人/营业部电 脑人员

支持文伟记录

分管信息技术中心

的总裁室领导 接口部门的分管 领导

外部人员访问 信息资源申请 表 信息安全保

密 协议

作工备准前问访

6.2长期供应商管理

长期供应商管理包括资格认定、年度考核、付款审核、等级评定、资料管理等。

6.2.1资格认定

合同签署后的长期合作软硬件供应商、服务商管理的法人、其他组织,均应纳入长期合作供应商管理。

长期供应商需提供资料:填报“信息技术长期供应商登记表”并提供经企业法定代表人签字确认和加盖公章的以下资料复印件:

(1)经年审的营业执照;

(2)组织机构代码证和法定代表人身份证;

(3)银行账户和资信等级;

(4)税务登记证;

(5)特许经营、特约经销或维修、业务资质、品牌授权代理等资格证明(授权人加盖公章);

(6)公司经营的主要产品目录;

(7)主要技术管理人员情况简介;

(8)生产经营场所的地址、场地规模情况。

6.2.2年度考核

(1)对供应商资格实行年度考核制,由信息技术中心供应商管理人员组织对供应商进行年度评审,评审人员根据评审结果填写信息技术供应商评分总表”,经审查符合条件可以续签为下年度供应商的,重新登记“信息技术长期供应商清单”。

(2)评审人员包括信息技术中心负责人、信息技术中心相关技术人员,可根据具体情况邀请风险控制部、法律合规部、相关业务人员(包括使用部门人员)参与评审,评审人员名单由信息技术中心负责人核定。

6.3.3等级评定

(1)供应商初次登记时,信息技术中心应综合各方面因素给出供应商相应的等级,分为:AAA、AA、A、B、C 五级。

(2)应按照“信息技术供应商评分标准”所列各项进行评分,每年更新供应商等级。

6.3.4资料管理

信息技术中心供应商管理员负责“信息技术长期供应商清单”的管理与维护,并应妥善保管供应商相关资料。

6.3单一项目供应商管理

在合同的最后一笔款项支付前需由付款申请人组织对供应商进行评审,评审人员根据评审结果填

相关文档
最新文档