14.外部人员访问管理制度

外部人员访问管理制度

第一章总则

第一条为维护国铁吉讯科技有限公司信息系统安全，确保各应用系统安全稳定运行和重要区域信息安全，制定本管理制度。

第二条非本单位机房工作人员访问本单位信息系统、进出机房，须按本制度执行。

第二章术语

第三条“外部人员”定义

“外部人员”——指除与网络系统相关的操作、管理和咨询人员以外的所有人员，包括本单位外的系统开发供应商、交流访问人员、咨询人员、外单位人员以及本单位内与“网络系统”无关的人员。

第四条制度适用系统定义

本制度所适用的系统，为本单位用于信息化管理的所有网络布线、网络设备、计算机设备、计算机外围设备、服务器、数据库以及在这些系统上运行的所有数据和程序。

第三章外部人员访问规定

第五条外部人员因工作需要进出重要区域，访问本单位信息系统，相关区域负责人员应根据操作内容，确定进入人员，选择进出时间，填写《机房等重要区域出入登记表》，整个工作过程需由相关工作人员陪同进行。

第六条机房、业务办理区等重要区域配备监控设施，未按规定进入者，如造成损失和泄密等不安全后果的，相关重要区域负责人和相关重要区域工作人员，给予严肃处理。损失后果情节严重的，由本单位依照有关规定进行处理；如触犯国家有关法律、法规者，移交公安、司法机关处理。违反本规定，给国家、集体或者他人财产或人身安全造成损失的，应当依法承担民事或刑事责任。

第七条实体访问规定

本制度所指实体为本单位机房、办公区域以及计算机设备专用场所或机柜，同时包括所有系统操作终端所在部门或机房。

“外部人员”在工作时间未经允许，不得进入这些场所；如需进入必须由相

关人员全程陪同，不允许“外部人员”人员单独滞留于上述场所；“外部人员”人员在滞留期间未经允许不得查看、使用场所内任何设施或文档。在非工作时间原则上不允许“外部人员”人员进入，如确有需要则必须通知值班，由相关人员全程陪同并做相关记录。

第八条有关逻辑访问的规定

外来人员原则上不允许操作、访问本单位的信息系统，如确有需要则必须在工作人员的全程陪同下使用系统的最低权限用户（如guest）进入系统进行所允许的操作。如果无最低权限用户而使用了其他用户进入系统，在外来人员离开后必须立即更改密码。

外来人员在访问系统期间未经许可不允许使用任何方法（如拷贝磁盘、刻录光盘、打印数据、手工记录等）带走任何数据和程序。

第九条有关系统开发供应商访问的规定

（一）在其所供产品实施期内的安全访问规定

在开发实施期间，开发商必须明确实施人员及其负责内容，规定所有人员的安全权限级别并由上报归档保存。在其所负责的信息系统中享有与管理人员等同的权限以及对内部实施人员的权限划分。但只适用于其当前正在实施的系统。

（二）在其所供产品验收后服务期内的安全访问规定

在产品验收之后，开发商必须上交所有权限并指定相对固定的人员为服务人员，并且由相关部门分配合适的权限。

（三）在其所供产品服务期之后的安全访问规定过服务期后，开发商的访问等同于“外来人员”访问。

第四章附则

第十条本制度由国铁吉讯科技有限公司负责解释和修订。

第十一条本制度自印发之日起执行。