1、中腾信 外部人员访问控制管理制度第一章总 则第一条为加强对外部人员在中腾信(以下简称“公司”)的信息安全管理,防范外部人员带来的信息安全风险,规范外部人员在公司各项与信息系统相关的活动所要遵守的行为准则,特制定本办法。第二条本办法所述的外部人员是指非公司内部员工,包括产品供应商、设备维护商、服务提供商、业务合作单位、临时雇工、实习生等外来人员,外部人员分为临时外部人员和非临时外部人员。(一)临时外部人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的外部人员;(二)非临时外部人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务,必须在相关单位办公的外部人员。第三条本办法
2、适用于公司。第二章外部人员风险识别第四条各部门在与第三方进行接触过程中,应防范外部人员对于公司可能带来的各类信息安全风险,这些风险包括但不限于如下内容:(一)外部人员的物理访问带来的设备、资料盗窃;(二)外部人员的误操作导致各种软硬件故障;(三)外部人员对资料、信息管理不当导致泄密;(四)外部人员对计算机系统的滥用和越权访问;(五)外部人员给计算机系统、软件留下后门;(六)外部人员对计算机系统的恶意攻击。第五条接待部门应对外部人员进出接待区域的物理和信息风险进行识别和防范;关键区域的进出应填写中腾信外部人员访问申请表,经部门负责人签字确认后, 由内部人员的全程陪同,方可进入。第六条涉及公司业务
3、合作的外部人员风险识别由各业务合作部门负责管理,各部门应正确、合理识别各类业务信息的关键程度和保密程度,根据外部人员或项目保密协议严格控制,依照“按需访问”的原则对公司信息进行安全管理。第三章基本安全管理第七条在未经公司相关部门负责人的审核审批的情况下,禁止外部人员了解和查阅公司的敏感、重要和商业秘密信息。第八条外部人员如因业务需要查阅公司敏感资料或访问公司网络和信息系统资源,必须经过相关部门负责人批准并详细登记。第九条未经相关部门负责人的许可,外部人员不得在办公区域、设备间、机房等关键区域摄影、拍照。第四章外部人员物理访问控制第十条 外部人员进出公司时,遵守信息安全工作组相关管理规定公司办公
4、环境信息安全管理办法, 接待人必须全程陪同临时外部人员,告知有关安全管理办法。第十一条 业务洽谈和技术交流应当在接待室、会议室或培训教室内进行,招标、谈判等正式洽谈和重大项目的会谈应当在专门的会议室进行,不得在办公区域内进行。第十二条 外部人员进入机房、设备间等重要区域时,应遵从公司机房环境管理办法等相关办法。第五章外部人员信息系统使用控制第十三条 未经允许,禁止外部人员携带的电脑接入公司网络,如因工作需要访问公司网络和信息系统资源,由接待人负责向信息安全工作组申请,并使用指定的设备。第十四条 未经允许,禁止外部人员远程访问公司网络。如确因工作需要(例如维护、故障处理)需要远程访问,必须由远程
5、接入业务的需求部门填写临时接入公司网络申请表,经部门负责人审批,报信息安全工作组领导批准。第十五条 外部人员在机房内的所有操作,都必需说明该操作可能引起的安全风险,并由接待人认可后才能操作。接待人必须对外部人员的操作进行全程监控,参照公司机房环境安全管理办法中的相关附件,记录外部人员的操作内容并存档备案。第十六条 更换机器硬件的操作需向接待人指出硬件损坏的证据,由接待人员上报信息安全工作组批准,将机器上的应用切换到其它机器上后,方可进行更换,并参照公司机房环境安全管理办法中的附件记录并存档。第十七条 外部人员对机房附属设备(如空调、UPS等)的维护和保养,事先要由接待人员上报信息安全工作组领导
6、批准后选择合适的时间进行,确保操作不影响公司系统的正常运行,并参照公司机房环境安全管理办法中的附件记录并存档。第十八条 未经信息安全工作组批准,禁止外部人员携带移动存储介质进入机房。第十九条外部人员如因工作需要使用移动存储介质,必须在接待人的监控下使用,由此而产生的安全风险由接待人承担。第六章附则第二十条本办法由公司信息安全工作组制定,并负责解释和修订。附件1公司临时接入网络申请表外部人员:接待人姓名使用单位日期接入时段联系电话接入设备序列号接入网络原因:特殊访问需求:使用人保密责任承诺如下:1、外部人员所使用的接入设备应安装防病毒产品,确保病毒码保持最新,避免本机对网络中其他计算机造成病毒影
7、响。2、外部人员应严格按照需要访问资源,访问与自身工作相关的工作资源,不得随意访问与工作无关的其他网络资源和信息。3、在接入公司网络的同时,本机不允许使用任何无线和外联设备,严格执行保密管理要求,自觉接受保密监督,严格遵守“上网不涉密,涉密不上网”的原则。4、自觉遵守公司的保密管理要求,若违反相关保密管理要求,违反保密法律、法规,接入人员承担行政责任或法律责任。 申请人签字: 日期:申请部门领导意见: 签字: 日期:信息技术部意见:年 月 日账号信息账号IP地址附件2公司外部人员访问申请表申请日期: 单位姓名身份证号联系方式 事由携带物品操作内容部门负责人签字日期陪同人员进入时间离开时间值班人员签字日期备注
