外部人员安全管理制度

1、XX信息安全管理体系文档外部人员安全管理制度编号:二。XX年十月版本控制信息版本日期拟稿和修改说明A初版发行目录B1. 目的12. 适用范围13. 术语定义14. 职责与权限15. 政策26. 工作程序26.1 第三方安全管理26.2 长期供应商管理4资格认定4622年度考核5等级评定5资料管理56.3 单一项目供应商管理57. 检査监督68. 附件及相关文件61. 目的为加强对公司信息化相关第三方机构或个人的管理，规范第三方机构或个人行为，防范 第三方机构或个人带来的信息安全风险，维护公司合法权益，特制左本细则。2. 适用范围本细则适用于所有与公司信息化相关的第三方机构或个人的管理。3. 术

2、语定义第三方：与公司有合作关系或尚未建立合作关系的软硬件供应商、服务商、银行、电 信等机构或个人。长期供应商：指合作项目为在一左时间内左期或不宦期提供产品或服务的厂商，公司对 该项产品或服务可能在2年或2年以上时间都有一左需求，包括系统维护服务供应商、办 公电脑供应商、软件维护供应商等。单一项目供应商：介作项目为在固泄期限内提供一批或几批有固泄要求的产品或服务的 厂商，包括单一项目硬件产品供应商、单一软件产品开发外包商等。4.职责与权限部门/岗位职责不相容职责4.1信息技术中心4.1.1负责长期供应商、单一项目供应商管理：4.1.2负责第三方电脑接入审核；4.1.3依据本文件规泄控制付款进度。

3、无4.2公司各部室、各分支机构4.2.1遵守公司制度，协调第三方机构签署信息 安全保密协议”；4.2.2所接待的外部机构或个人的外部电脑需接 入时，依据有关要求实施审核：4.2.3配合信息技术中心对长期供应商进行考核。无4.3信息技术中心供应商管理员4.3.1负责长期供应商资格认左、年度考核等管理：4.3.2妥善保管供应商相关档案。无4.4经纪业务各中4.4.1负责本部外部人员访问信息资源审核：无部门/岗位职责不相容职责心、各证券营业部电脑人员4.4.2负责本部第三方电脑接入审核。4.5接口部门的分管公司领导4.5.1如第三方需要访问敏感数据，接口部门的分 管公司领导负责审核访问申请。无4.6

4、信息技术中心分管公司领导4.6.1如第三方需要访问敏感数据，由分管信息技 术中心的公司领导负责审批访问申请。无5. 政策5.1外部人员访问公司信息资源，应遵从公司相关信息安全政策及电脑终端安全管理 办法相关规泄，如有违反，公司有权立即中止其对公司信息资源的访问，由此造成 的直接或间接损失由外部人员承担。5.2原则上外部电脑接入公司内部网络或外部人员访问公司内部信息系统，按照外部电 脑接入公司内部网络、外部人员访问公司内部信息资源笛理流程进行背景验证和管 理。特殊或紧急情况下，由接待外部人员的接口部门负责人审核后，可不采用“外部 电脑接入公司内部网络、外部人员访问公司内部信息系统管理流程，由接口

5、部门承 担相应职责。6. 工作程序6.1第三方安全管理规泄：与对公司信息资源进行访问的外部人员签订信息安全保密协议，由负责接待外 部机构的接口部门联络人负责协调“信息安全保密协议”的签署，信息安全保密协议按照公 司合同管理相关规立进行管理。外部电脑接入公司内部网络、外部人员访问公司内部信息资源管理流程：外部电脑接入公司内部网络、外部人员访问公司内部信息资源管理流程外部人员搂口部门联站人佶思技术中心部门接口部门负说人负资人/营业部电 脑人员佶息技术中心人员接口部门的分管 /营业部电脑人员领导支苻文件/记录外解人员访何饴息资液中请信g安全保密协仪來访外那人vjjnw v阶段流程说明和控制要求责任部

6、门/岗位控制要点支持文件/记录1.访问1.1外部接入申请人提出申请，填写外部人员网安公司访前准备网安公司访问信息资源申请表”（附接口部门问信息资源工作录一），并附加访问人身份证复印件联络人申请表及签署的信息安全保密协议”。接口部门信息安全保1.2公司接口部门联络人接收申请、负责人密协议签署意见。信息技术1.3如需要访问相关信息系统，按照中心部门对应信息系统权限管理办法申请相负责人关权限。营业部电1.4网安公司访问信息资源申请表”脑人员提交接口部门负责人审核。阶段流程说明和控制要求责任部门/岗位控制要点支持文件/记录1.5网安公司访问信息资源申请表” 提交信息技术中心部门负责人/营业 部电脑人员

7、审批。2來访2.1外部人员来访。2.2接口部门联络人根据1.1提交的 身份证复印件验证来访人员身份。23如需要电脑接入，由信息技术中 心相关人员/营业部电脑人员对接入 电脑进行安全检查。经检查合格，方 可注册并接入公司网络：按照申请 的权限要求，严格限制外部电脑的 使用权限。2.4如第三方需要访问敏感数据，需 要接口部门分管领导及信息技术中 心分管公司领导审批通过。2.5接口部门联络人对外部接入人 员进行有效的行为监督，确保外部 人员仅获得与英从事的项目直接相 关的资源和信息。外部人员 接口部门 联络人总裁室领导信息技术 中心人员营业部电 脑人员3.来访后处理3.1如涉及信息系统访问，接口部门

8、 联络人应及时协调注销外部人员系 统权限。6.2长期供应商管理长期供应商管理包括资格认左、年度考核、付款审核、等级评泄、资料管理等。资格认泄合同签署后的长期合作软硬件供应商、服务商管理的法人、其他组织均应纳入长期合 作供应商管理。长期供应商需提供资料:填报信息技术长期供应商登记表”并提供经企业法左代表人签字 确认和加盖公章的以下资料复印件：（1）经年审的营业执照；（2）组织机构代码证和法泄代表人身份证：（3）银行账户和资信等级：（4）税务登记证：（5）特许经营、特约经销或维修、业务资质、品牌授权代理等资格证明（授权人加 盖公章）；（6）公司经营的主要产品目录；（7 ）主要技术管理人员情况简介；

9、（8）生产经营场所的地址、场地规模情况。年度考核（1）对供应商资格实行年度考核制，由信息技术中心供应商管理人员组织对供应商 进行年度评审，评审人员根据评审结果填写信息技术供应商评分总表”，经审查符合条件可 以续签为下年度供应商的，重新登记信息技术长期供应商淸单”。（2）评审人员包括信息技术中心负责人、信息技术中心相关技术人员，可根据具体 情况邀请风险控制部、法律合规部、相关业务人员（包括使用部门人员）参与评审，评审人 员名单由信息技术中心负责人核泄。等级评左（1）供应商初次登记时，信息技术中心应综合冬方而因素给岀供应商相应的等级， 分为：AAA、AA、A、B、C 五级。（2）应按照信息技术供应

10、商评分标准”所列各项进行评分，每年更新供应商等级。资料管理信息技术中心供应商管理员负责“信息技术长期供应商清单”的管理与维护，并应妥善保 管供应商相关资料。6.3单一项目供应商管理在合同的最后一笔款项支付前需由付款申请人组织对供应商进行评审，评审人员根据评 审结果填写信息技术供应商评分总表”。评审人员包括信息技术中心负责人、信息技术中心相关技术人员，可根据具体情况邀请风险控制部、法律合规部、相关业务人员（包括使用 部门人员）参与评审，评审人员名单由信息技术中心负责人核左。信息技术供应商评分总 表交由信息技术中心供应商管理员存档。7.检査监it由信息技术中心监督本文件的执行。8.附件及相关文件8

11、.1外部人员访问信息资源申请表8.2信息安全保密协议8.3信息技术长期供应商登记表8.4信息技术供应商评分标准8.5信息技术长期供应商淸单8.6信息技术供应商评分总表编号： 附录一:外部人员访问信息资源申请表日期：年 月 日外部访问机构：外部访问人员淸单：（请附来访人员身份证复印件）访问事宜：是否需要电脑接入：。是。否接入起止日期：是否需要访问信息系统：。是。否信息系统淸单：是否需要访问敏感数据：。是（需要接口部门分管领导和分管信息技术中心的总 裁室领导审批）。否（不需要接口部门分管领导和分管信息技术中心的 总裁室领导审批）是否签署信息安全保密协议：。是（请附已签署的信息安全保密协议） 。否（请注明原因）网安公司接口部门联络人意见：网安公司接口部门负责人意见：网安公司信息技术中心负责人/营 业部电脑人员意见：电脑检査意见：（接口部门为总部各部室接入 时，由信息技术中心填写，接口 部门在经纪业务各中心、各营业