外部人员安全管理制度.docx

1、外部人员安全管理制度 XX信息安全管理体系文档XX外部人员安全管理制度编号： XX二XX年十月版本控制信息版本日期拟稿和修改说明A初版发行XXX1.目的 为加强对公司信息化相关第三方机构或个人的管理，规范第三方机构或个人行为，防范第三方机构或个人带来的信息安全风险，维护公司合法权益，特制定本细则。2.适用范围本细则适用于所有与公司信息化相关的第三方机构或个人的管理。3.术语定义第三方：与公司有合作关系或尚未建立合作关系的软硬件供应商、服务商、银行、电信等机构或个人。长期供应商：指合作项目为在一定时间内定期或不定期提供产品或服务的厂商，公司对该项产品或服务可能在2年或2年以上时间都有一定需求，包

2、括系统维护服务供应商、办公电脑供应商、软件维护供应商等。单一项目供应商：合作项目为在固定期限内提供一批或几批有固定要求的产品或服务的厂商，包括单一项目硬件产品供应商、单一软件产品开发外包商等。4.职责与权限部门/岗位职责不相容职责4.1 信息技术中心4.1.1负责长期供应商、单一项目供应商管理；4.1.2负责第三方电脑接入审核；4.1.3依据本文件规定控制付款进度。无4.2 公司各部室、各分支机构4.2.1遵守公司制度，协调第三方机构签署“信息安全保密协议”；4.2.2所接待的外部机构或个人的外部电脑需接入时，依据有关要求实施审核；4.2.3配合信息技术中心对长期供应商进行考核。无4.3 信息

3、技术中心供应商管理员4.3.1负责长期供应商资格认定、年度考核等管理；4.3.2妥善保管供应商相关档案。无4.4经纪业务各中心、各证券营业部电脑人员4.4.1负责本部外部人员访问信息资源审核；4.4.2负责本部第三方电脑接入审核。无4.5 接口部门的分管公司领导4.5.1如第三方需要访问敏感数据，接口部门的分管公司领导负责审核访问申请。无4.6 信息技术中心分管公司领导4.6.1如第三方需要访问敏感数据，由分管信息技术中心的公司领导负责审批访问申请。无5.政策5.1 外部人员访问公司信息资源，应遵从公司相关信息安全政策及电脑终端安全管理办法相关规定，如有违反，公司有权立即中止其对公司信息资源的

4、访问，由此造成的直接或间接损失由外部人员承担。5.2 原则上外部电脑接入公司内部网络或外部人员访问公司内部信息系统，按照“外部电脑接入公司内部网络、外部人员访问公司内部信息资源管理流程”进行背景验证和管理。特殊或紧急情况下，由接待外部人员的接口部门负责人审核后，可不采用“外部电脑接入公司内部网络、外部人员访问公司内部信息系统管理流程”，由接口部门承担相应职责。6.工作程序6.1 第三方安全管理规定：与对公司信息资源进行访问的外部人员签订“信息安全保密协议”，由负责接待外部机构的接口部门联络人负责协调“信息安全保密协议”的签署，“信息安全保密协议”按照公司合同管理相关规定进行管理。外部电脑接入公

5、司内部网络、外部人员访问公司内部信息资源管理流程：阶段流程说明和控制要求责任部门/岗位控制要点支持文件/记录1.访问前准备工作1.1外部接入申请人提出申请，填写“网安公司访问信息资源申请表”（附录一），并附加访问人身份证复印件及签署的“信息安全保密协议”。1.2公司接口部门联络人接收申请、签署意见。1.3如需要访问相关信息系统，按照对应信息系统权限管理办法申请相关权限。1.4“网安公司访问信息资源申请表”提交接口部门负责人审核。1.5“网安公司访问信息资源申请表”提交信息技术中心部门负责人/营业部电脑人员审批。外部人员接口部门联络人接口部门负责人信息技术中心部门负责人营业部电脑人员网安公司访问

6、信息资源申请表信息安全保密协议2.来访2.1外部人员来访。2.2接口部门联络人根据1.1提交的身份证复印件验证来访人员身份。2.3如需要电脑接入，由信息技术中心相关人员/营业部电脑人员对接入电脑进行安全检查。经检查合格,方可注册并接入公司网络；按照申请的权限要求，严格限制外部电脑的使用权限。2.4 如第三方需要访问敏感数据，需要接口部门分管领导及信息技术中心分管公司领导审批通过。2.5接口部门联络人对外部接入人员进行有效的行为监督，确保外部人员仅获得与其从事的项目直接相关的资源和信息。外部人员接口部门联络人总裁室领导信息技术中心人员营业部电脑人员3.来访后处理3.1如涉及信息系统访问，接口部门

7、联络人应及时协调注销外部人员系统权限。6.2 长期供应商管理长期供应商管理包括资格认定、年度考核、付款审核、等级评定、资料管理等。6.2.1资格认定合同签署后的长期合作软硬件供应商、服务商管理的法人、其他组织，均应纳入长期合作供应商管理。长期供应商需提供资料：填报“信息技术长期供应商登记表”并提供经企业法定代表人签字确认和加盖公章的以下资料复印件：（1）经年审的营业执照；（2）组织机构代码证和法定代表人身份证；（3）银行账户和资信等级；（4）税务登记证；（5）特许经营、特约经销或维修、业务资质、品牌授权代理等资格证明（授权人加盖公章）；（6）公司经营的主要产品目录；（7）主要技术管理人员情况简

8、介；（8）生产经营场所的地址、场地规模情况。6.2.2年度考核 （1） 对供应商资格实行年度考核制，由信息技术中心供应商管理人员组织对供应商进行年度评审，评审人员根据评审结果填写“信息技术供应商评分总表”，经审查符合条件可以续签为下年度供应商的，重新登记“信息技术长期供应商清单”。 （2） 评审人员包括信息技术中心负责人、信息技术中心相关技术人员，可根据具体情况邀请风险控制部、法律合规部、相关业务人员（包括使用部门人员）参与评审，评审人员名单由信息技术中心负责人核定。6.3.3 等级评定 （1） 供应商初次登记时，信息技术中心应综合各方面因素给出供应商相应的等级，分为：AAA、AA、A、B、C

9、五级。 （2） 应按照“信息技术供应商评分标准”所列各项进行评分，每年更新供应商等级。6.3.4 资料管理 信息技术中心供应商管理员负责“信息技术长期供应商清单”的管理与维护，并应妥善保管供应商相关资料。6.3 单一项目供应商管理 在合同的最后一笔款项支付前需由付款申请人组织对供应商进行评审，评审人员根据评审结果填写“信息技术供应商评分总表”。 评审人员包括信息技术中心负责人、信息技术中心相关技术人员，可根据具体情况邀请风险控制部、法律合规部、相关业务人员（包括使用部门人员）参与评审，评审人员名单由信息技术中心负责人核定。“信息技术供应商评分总表”交由信息技术中心供应商管理员存档。7.检查监督

10、由信息技术中心监督本文件的执行。8.附件及相关文件8.1外部人员访问信息资源申请表8.2信息安全保密协议8.3信息技术长期供应商登记表8.4信息技术供应商评分标准8.5信息技术长期供应商清单8.6信息技术供应商评分总表 附录一：外部人员访问信息资源申请表日期： 年 月 日外部访问机构：外部访问人员清单：（请附来访人员身份证复印件）访问事宜：是否需要电脑接入： 是 否接入起止日期： 是否需要访问信息系统：是 否信息系统清单：是否需要访问敏感数据：是（需要接口部门分管领导和分管信息技术中心的总裁室领导审批）否（不需要接口部门分管领导和分管信息技术中心的总裁室领导审批）是否签署信息安全保密协议：是（请附已签署的信息安全保密协议）否（请注明原因）网安公司接口部门联络人意见：网安公司接口部门负责人意见：网安公司信息技术中心负责人/营业部电脑人员意见：电脑检查意见：（接口部门为总部各部室接入时，由信息技术中心填写，接口部门在经纪业务各中心、各营业部时，由本部电脑人员填写）接口部门分管领导意见：（如第三方需要访问敏感数据，必须经过接口部门分管领导审批通过）分管信息技术中心的总裁室领导意见：（如第三方需要访问敏感数据，必须经过分管信息技术中心的总裁室领导审批通过）注：如涉及相关信息系统权限申请，请按照相关信息系统权限管理要求办理申请、注销处理。 本表格原件及所有附件由接口部门归档管理。执行。