第三方访问管理制度

XX院

网络信息中心

第三方访问管理制度

修订及复核记录

目录

第一章总则 (4)

第二章定义和风险 (4)

第三章进出安全管理 (4)

第四章安全保密管理 (5)

第六章安全操作管理 (5)

第七章相关记录 (6)

第八章附则 (6)

第一章总则

第一条为规范XX院网络信息中心对第三方人员（非本院工作人员）来访的有效管理，管理外来第三方人员进入本院所带来的安全风险。提供第三方人员在本院活动所要遵守的行为准则，保证计算机系统及网络的安全，根据有关规定制定本制度。

第二条适用于XX院网络信息中心、产品供应商、服务提供商和施工方等各单位。及除本院与信息系统相关的操作、管理和维护人员以外的所有人员。

第二章定义和风险

第三条本制度所描述的第三方人员包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等非XX院的内部人员。第三方人员分为临时第三方人员和长期第三方人员。

第四条临时第三方人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的第三方人员。

第五条长期第三方人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务，必须在一定时间内呆在本院内部进行办公的第三方人员。

第六条第三方人员的范畴包括临时第三方和长期第三方人员。

第七条第三方人员的访问方式包括现场访问和通过网络远程访问。

第八条接待人是指本院指定的负责接待和管理来访第三方人员的内部的正式员工。

第九条必须定期评估第三方人员带来的安全风险，至少每季度评估一次。必须防范第三方人员带来的以下安全风险：

（一）第三方人员的物理访问带来多大设备损坏、信息泄露、资料失窃、系统当机和网络中断等。

（二）第三方人员的误操作导致的各种软硬件故障。

（三）第三方人员的资料、信息外传导致的泄密。

（四）第三方人员对计算机系统的滥用和非授权访问。

（五）第三方人员给计算机系统和软件留下后门。

（六）第三方人员对计算机系统的恶意攻击尝试。

（七）第三方人员访问计算机信息系统引入的恶意代码传播。

第三章进出安全管理

第十条第三方人员进入本院必须遵守本院在物理安全控制方面的相关规定。

第十一条长期第三方人员工作完成后，由网络信息中心组织技术专家或顾问对第三方人员的工作进行安全检查和安全评估。

第十二条除预订的工作内容外，接待人员不得为第三方人员随意安排其它活动；

第十三条对接待人员的接待工作，部门负责人和本部门人员有权进行监督并指正。

第四章安全保密管理

第十四条第三方人员必须签署安全保密协议后才能进场工作。

第十五条在确认已与XX院签署有效的保密协议的情况下，第三方人员如因业务需要查阅本院机密资料、文件、实物和访问本院网络系统，必须获得相关负责人批准并详细登记。提供时应开具清单请第三方人员牵收。提供文字保密材料的应该加盖保密章或有其它保密标记。保密协议在相关部门存档，签收清单由相关管理部门妥善保存。

第十六条未经批准，禁止第三方人员携带移动存储介质进入本院，移动存储介质必须在XX院指定接待人的监控下使用。

第十七条未经本院相关主管领导特别许可，第三方人员不得在办公区域和机房内摄影或摄像，并且摄影和拍照内容需经过相关主管领导许可和接待人的确认。接待人需要对摄影或拍照内容进行审核。

第十八条禁止第三方人员试图了解和查阅与工作无关的单位机密。

第十九条第三方人员必须保守本院机密，严禁向任何人员（包括本单位无关人员）以口述、文件等方式透露单位机密。

第二十条接待人员以及参加会晤的其他的第三方人员应该自觉保守本单位的机密，不得透露业务范围之外的单位敏感信息。

第六章安全操作管理

第二十一条禁止第三方人员携带的计算机未经接待人授权之前接入本院网络。第三方人员使用的计算机必须属于独立的局域网，不能以任何形式连接到本单位的网络中。

第二十二条第三方人员开发测试环境只能连接测试网，且必须采用防火墙进行有效隔离，严禁接入业务网络。确需在线测试的项目，应上报分管领导批准，采取必要的防护措施，选择在适当的时间进行。并报本院网络信息中心审核并备案。

第二十四条不允许第三方人员进行远程网络访问。如确因维护需要远程访问，必须报本院网络信息中心审核，并由分管领导批准，选择在非业务时间，关闭所有应用，做好当天的数据备份后，由本院信息管理人员配合输入口令，进行全程监控和记录。远程网络访问结束后，应马上切断外部连接，检查设备状态是否正常，确认后开启应用。

第二十五条禁止第三方人员直接对网络设备和主机进行操作，第三方人员可以协助（如口述操作过程）本院相关系统管理或操作人员完成所需操作。

第二十六条第三方人员在机房内的所有工作情况，都必须说明该工作可能引起的安全风险，并由接待人确认后才能操作。接待人必须对第三方人员的操作进行全程监控，记录第三方

人员的操作内容，工作完成后由第三方人员和接待人员共同签字确认并存档备案。接待人员对第三方人员的所有行为负责。

第二十七条第三方人员更换设备部件的操作需要向本院接待人员说明更换理由和提供硬件损坏的依据，由接待人员上报分管领导批准，将设备上的应用切换到其它设备上后方可进行更换。

第七章相关记录

XX院机房进出权限申请单、XX院网络服务接入申请单、XX院网络空间申请登记单

第八章附则

第二十八条本制度自发布之日起开始实施；

第二十九条本管理规定的解释和修改权属于XX院网络信息中心；

第三十条 XX院网络信息中心每年统一检查和评估本管理规定，并做出适当更新。在业务环境和安全需求发生重大变化时，也将对本规定进行检查和更新；