第三方安全管理制度

1、陕西广电网络传媒股份有限公司陕西广电网络传媒股份有限公司 第三方安全管理制度第三方安全管理制度 文档信息文档信息 机 密级分类 版本版本日期日期人员人员更新说明更新说明 V1.02010-10-27 版 版本控制 审核人审核人职务职务审核日期审核日期 文 文档审核 批准人批准人职务职务批准日期批准日期 文 文档批准 部门部门人员人员文档权限文档权限 复 分发控制 复查时间复查时间复查人员复查人员复查结果复查结果 复 复查计划 第一章第一章 总总 则则 第一条目的：为有效防范“第三方” （详见第二章 术语解释）人员带来 的安全风险，加强和规范“第三方”人员的安全管理，保证计算 机系统及网络的安全

2、，根据有关规定，制定本制度； 第二条适用人员范围：陕西广电范围内的所有第三方人员和“中心”员 工； 第二章第二章术语解释术语解释 第三条本制度所述的“中心”是指陕西广电信息化部； 第四条本制度适用于中心拥有的、控制和管理的所有软硬件系统； 第五条本制度中的第三方，是指除中心以外，所有的组织和人员。第三 方分为临时来访的第三方和非临时来访的第三方。临时来访的第 三方是指来中心时间周期较短的人员，例如：进行业务交流，来 访参观等；非临时来访是指中心来访时间较长的第三方，例如： 项目建设人员，可以在批准情况下进入中心工作（办公区域工作 活动不需陪同，机房工作活动需相关人员陪同） ； 第六条“随工人员

3、”是指中心派出的，负责接待“第三方”人员的接口 人； 第七条“第三方”人员将带来的以下安全风险： a) “第三方”人员的物理访问带来的设备、资料盗窃； b) “第三方”人员的误操作导致各种软硬件故障； c) “第三方”人员的资料、信息外传导致泄密； d) “第三方”人员对计算机系统的滥用和越权访问； e) “第三方”人员给计算机系统、软件留下后门； f) “第三方”人员对计算机系统的恶意攻击。 为防范以上风险，安全管理员须结合日常的安全维护工作，评估 “第三方”带来的安全现状。 第三章第三章 人员与职责人员与职责 第八条随工人员负责临时来访的第三方人员自进入中心起至离开为止的 全程陪同； 第四

4、章第四章临时来访的第三方管理制度临时来访的第三方管理制度 第九条除以下情况外，随工人员不得引领和允许第三方进入机房、办公 室和其他机要区域： 1) 中心高层领导批准的参观活动； 2) 必要的设备和软件等现场安装、维修、调测； 3) 临时来访第三方因业务需要进入上述区域的其他情形。 在情况 2)、3)下，随工人员以令第三方进入上述区域，需经主管上 述区域的部门负责人批准。临时来访第三方在上述区域活动时，随 工人员须全程陪同。 第十条业务交流一般应当在接待室或会议室内进行，招标、谈判等正式 洽谈和重大项目的会谈应当在专门的会议室进行，不得在办公室 进行,应当避免同一领域的临时来访第三方在同一会议室

5、同时进行 业务洽谈； 第十一条 除预定的工作内容外，随工人员不得为临时来访第三方随意安排 其它活动；不得向临时来访第三方透露业务范围之外的中心技术、 商务情况； 第十二条 结束业务活动后，临时来访第三方如与中心其它部门有业务联系， 随工人员应通知相关部门另行接待，随工人员的义务至相关部门 人员领走临时来访第三方为止；如无其它业务，随工人员应陪送 临时来访第三方离开中心。随工人员在无法陪送的情况下应委托 本部门其他人员陪送； 第十三条 对随工人员的接待工作，部门负责人和本部门其他人员有权进行 监督。随工人员违反上述规定，应由部门负责人给予批评警告； 第十四条 未经中心领导批准，临时来访的第三方不

6、得在中心机房内摄影、 拍照； 第十五条 为临时人员终端接入应遵照陕西广电 IT 终端设备使用管理办法 执行； 第十六条 为临时第三方开设的临时帐号以及权限设置、临时网络接入要在 他们离开后及时删除和撤销； 第五章第五章 非临时来访的第三方管理制度非临时来访的第三方管理制度 第十七条 非临时来访第三方出入中心允许的区域时，原则上不需安排专门 人员陪同； 第十八条 非临时来访的第三方只允许在经允许的区域（除机房）进行业务 活动； 第十九条 由于必要的设备和软件等现场安装、维修、调测；随工人员可以 引领非临时来访第三方进入机房，但随工人员必须全程陪同； 第二十条 非临时来访的第三方在进行维护工作时还

7、应遵守中心所有相关管 理和技术规范； 第二十一条 未经中心领导批准，非临时来访的第三方不得在中心内摄影、 拍照； 第二十二条 如因业务需要须向非临时来访的第三方提供含有中心保密信息 的文件、资料或实物的，随工人员应当在获得相应的批准或授权， 并与非临时来访的第三方签订保密协议后再行提供，提供时应开 具清单请非临时来访的第三方签收。提供文字保密材料的应当有 保密标识。保密协议在相关部门存档，签收清单由相关部门妥善 保存； 第二十三条 对非临时来访第三方的技术人员因业务需要须在中心进行工作 的，应与其所在公司签订保密协议，向其明确“中心”的保密制 度。这些人如需接触或查阅内部文件的，必须经过相关部

8、门负责 人签字批准，并由其本人填写查阅记录； 第二十四条 非临时来访第三方因工作需要，所获得的中心相关资料，使用 完后，应归还中心相关人员或销毁； 第二十五条 第三方使用人终端接入要严格遵守陕西广电 IT 终端设备使用 管理办法 ，接入前，应严格遵守审批流程，待批准后，方可接入。 第六章第六章检查表检查表 第二十六条 第三方人员安全管理制度检查表 任务任务 编号编号 检查点检查点检查内容检查内容取数方法取数方法检查检查 周期周期 1 陪同和监督对于临时第三方人员，中心要 指派专门的随工人员进行全程 陪同 1 个月 2 操作记录对于第三方人员由于技术支持 而对系统的操作要留有记录 检查第三方 人员操作记录 表 1 个月 3 帐号和权限为第三方临时创建的帐号及权 限需要及时删除 检查账号和 权限分配表 1 个月 第七章第七章衡量指标衡量指标 第二十七条 对第三方因技术支持对系统的操作未进行登记的数量； 第二十八条 未及时删除的帐号和权限的数量； 第八章第八章相关记录相关记录 第二十九条 第三方人员接待登记表 第三十条 第三方操作记录表 第九章第九章相关文件相关文件 第三十一条 第三方安全保密协议 第三十二条 系统账号管理办法 第三十三条 终端设备安全管理办法 第十章第十章附则附则 第三十四条本方针由陕西广电网络传媒股份有限公司制定并负责解释和修 订。 第三十五条 本方针