信息化时代外来人员信息安全管理办法

信息化时代外来人员信息安全管理办法第一章总则第一条目的与依据为规范信息化时代外来人员（以下简称“外来人员”）在本单位（或组织，下同）区域内的活动，切实保障本单位信息系统、数据资产及核心业务的安全，防止信息泄露、丢失、损坏或被非法篡改、使用，依据国家相关法律法规及本单位信息安全管理规定，特制定本办法。第二条适用范围本办法适用于所有因业务合作、技术支持、参观访问、实习培训等原因进入本单位物理办公区域或需远程访问本单位信息系统的非本单位正式在职人员。本单位正式在职人员的信息安全管理另行规定。第三条基本原则外来人员信息安全管理遵循“最小权限、按需分配、全程监控、责任追溯”的原则，坚持“人防”与“技防”相结合，确保信息安全风险可控。第二章准入管理第四条申请与审批外来人员需进入本单位或访问信息系统，应由本单位相关业务部门（以下简称“邀请部门”）提前提交申请。申请材料应至少包含外来人员基本信息、访问事由、拟访问区域或系统、访问起止时间、所需权限及陪同人员等。申请需经邀请部门负责人审核，并报信息安全管理部门及相关分管领导审批。对于涉及核心信息系统或敏感数据的访问，需进行更高级别的审批。第五条身份核验与登记经审批同意后，外来人员在进入本单位时，应在指定入口处出示有效身份证件，配合安保或前台人员进行身份核验。核验通过后，需按要求登记详细信息，并领取临时出入凭证或访问账号。临时出入凭证应明确标注有效期限及可进入区域。第六条保密协议与安全告知对于可能接触到本单位敏感信息的外来人员，邀请部门应在其进入前组织签署《外来人员保密承诺书》，明确其信息安全责任与义务。同时，邀请部门或信息安全管理部门应向外来人员进行必要的信息安全告知，包括本单位信息安全管理规定、禁止行为、应急处置流程等。第三章行为规范与过程管控第七条活动范围限制外来人员应在审批确定的区域内活动，不得擅自进入未授权区域，尤其是机房、数据中心、档案室等重点部位。陪同人员应对外来人员的活动范围进行有效监督。第八条设备与网络使用规范外来人员原则上不得携带个人计算机、存储介质等电子设备进入本单位敏感区域。确因工作需要使用个人设备的，必须经严格审批，并由陪同人员全程监督，其设备接入单位网络前需经过安全检查。外来人员使用本单位提供的临时设备或账号时，应严格遵守相关操作规程，妥善保管账号密码，不得转借、泄露。禁止使用未经授权的软件或外部存储介质。第九条信息接触与处理限制第十条陪同与监督外来人员在本单位活动期间，原则上应有邀请部门指定的人员全程陪同。陪同人员对所陪同外来人员的行为及信息安全负直接管理责任，如发现违规行为应立即制止并报告。对于远程访问的外来人员，邀请部门应通过技术手段和管理措施加强过程监控。第四章应急处置第十一条事件报告外来人员在访问期间如发生或发现信息安全事件（如设备丢失、账号被盗、信息泄露、病毒感染等），应立即停止相关操作，并向陪同人员或信息安全管理部门报告。第十二条应急响应信息安全管理部门接到报告后，应立即启动相应应急预案，采取隔离、取证、止损等措施，防止事态扩大。邀请部门应积极配合应急处置工作。第十三条事件调查与处理信息安全管理部门会同邀请部门对发生的信息安全事件进行调查，明确事件原因、责任及损失。根据调查结果，依据本办法及相关规定对责任方进行处理，并视情况追究邀请部门及陪同人员的管理责任。第五章离场管理第十四条临时凭证与设备回收外来人员访问结束后，应及时交还临时出入凭证、临时使用的设备、账号密码等，并由邀请部门负责确认回收情况，办理离场登记。第十五条访问记录归档邀请部门应将外来人员的申请审批材料、出入登记记录、活动情况、保密承诺书等资料整理归档，保存期限不少于规定年限。信息安全管理部门应保存外来人员的系统访问日志、网络行为日志等安全审计记录。第六章保障措施第十六条组织与人员保障本单位应明确信息安全管理部门为外来人员信息安全管理的牵头部门，各业务部门为邀请外来人员的直接责任部门。各部门应指定专人负责外来人员的信息安全管理工作。第十七条技术防护措施信息安全管理部门应部署必要的技术防护手段，如访客管理系统、网络访问控制、终端安全管理、数据防泄漏、安全审计等，对包括外来人员在内的所有访问行为进行有效监控和记录。第十八条培训与教育本单位应定期对内部员工进行外来人员信息安全管理相关知识的培训，提高其信息安全意识和管理能力。对违反本办法的外来人员及相关责任人，应进行批评教育，情节严重的，应取消其访问资格，并保留追究其法律责任的权利。第七章监督检查与责任追究第十九条日常监督与定期检查信息安全管理部门应定期或不定期对各部门外来人员信息安全管理办法的执行情况进行监督检查，对发现的问题及时通报并督促整改。第二十条责任追究对于违反本办法规定，造成信息安全事件或不良后果的外来人员，本单位将视情节轻重采取警告、终止访问、通报其所属单位等措施；构成违法犯罪的，将移交公安机关处理。对于未履行管理职责、审批不严、监督不力或违规邀请外来人员的内部部门及相关责任人，将按照本单位相关奖惩制度进行严肃处理。第八章附则第二十