信息系统第三方人员访问管理制度

公司公司第三方管理办法
（V1.0）
公司有限公司
二〇一一年十一月
目录
第一章总则 (3)
第二章组织与职责 (3)
第三章第三方公司及人员管理 (4)
第四章第三方安全域及防护要求 (6)
第五章第三方接入管理 (7)
第六章第三方帐号及权限管理 (8)
第七章第三方系统安全管理 (9)
第九章第三方信息安全审核、监督与检查 (11)
第十章附则 (13)
第一章总则
第一条为了加强对第三方合作伙伴、人员、系统的安全管理，防止引入第三方给公司带来的安全风险，特制定本管理办法。

第二条本办法适用于公司有限公司各部门、省客户服务中心、各市分公司（以下简称：各单位）。

第三条本办法所指第三方包括第三方公司、第三方系统、第三方人员：
（一）第三方公司是指向公司公司提供服务的外部公
司。

（二）第三方系统是指为公司公司服务或与公司公司
合作运营的系统。

这些系统可能不在公司公司机房内，但
能通过接口与公司公司的系统发生数据交互。

（三）第三方人员是指为公司公司提供开发、测试、运
维等服务或参与合作运营系统管理的非公司公司人员。

第四条对第三方公司的信息安全管理应遵循如下原则：“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。

第二章组织与职责
第五条公司公司第三方安全管理责任部门为对口合作（包括。

信息系统安全保密制度范本一、总则为加强信息系统安全保密管理，确保信息系统安全、稳定运行，保护公司重要信息资产，制定本制度。

二、适用范围本制度适用于公司内部所有员工、外部合作伙伴以及与公司进行合作的第三方机构。

三、保密责任1. 公司全体员工都有保密的责任，不得泄露公司的商业机密、技术资料以及客户信息等重要信息。

2. 外部合作伙伴和第三方机构在与公司进行合作时，需要签署保密协议，并遵守公司的保密制度。

3. 公司领导层要严格保护公司的商业机密，不得私自泄露、转让。

四、信息系统访问控制1. 为保证信息系统的安全，公司应制定访问控制策略和权限管理规则，对不同级别的员工进行权限划分。

2. 所有用户需要通过登录账号和密码进行身份认证，禁止共享账号和密码。

3. 管理员应对系统进行定期漏洞扫描和安全检查，及时修补漏洞，确保系统的安全性。

五、密码管理1. 所有用户的密码需要满足一定的复杂度要求，并定期更换密码。

2. 管理员应对用户密码进行加密存储，并采取措施防止密码泄露。

六、系统日志监控1. 公司应建立系统日志记录机制，定期对日志进行监控和分析。

2. 对于异常访问行为和安全事件，应及时采取措施进行处理，并报告相关部门。

七、网络安全保护1. 公司应建立网络安全防护体系，采取各种安全措施，防止网络攻击和入侵。

2. 对外部网络连接进行限制和监控，防止非法访问。

八、违规行为处理1. 对于违反保密制度的行为，公司将采取相应的纪律处分措施，包括警告、记过、记大过等。

2. 对于情节严重的违规行为，公司将追究法律责任。

九、保密意识教育1. 公司应定期开展保密意识教育培训，提高员工的保密意识和风险防范能力。

2. 员工入职时，应进行保密制度培训，明确其保密责任。

本制度自颁布之日起生效，如有相关规定更改，公司将及时修订并通知相关人员。

信息系统安全保密制度范本（2）第一章总则第一条为了规范信息系统的安全保密管理工作，确保信息系统及其数据的安全性、完整性和可用性，保护国家利益和社会公共利益，促进信息系统安全发展，根据有关法律、法规和政策规定，制定本制度。

XXXX单位或企业企业原则人员网络及信息安全管理规定2023-10-25公布2023-11-01实行XXXX单位或企业公布前言本原则由XXXX单位或企业原则化管理委员会提出。

本原则由XXXX单位或企业XXXX部门起草并归口管理。

本原则重要起草人:本原则由 XXX同意。

本原则初次公布于2023年10月25日,自本原则公布之日起, 《信息系统操作人员安全管理规定》同步废除。

人员网络及信息安全管理规定1 范围为规范企业信息系统安全人员管理, 保障企业信息安全, 根据《信息安全等级保护管理措施》、《信息系统安全管理规定》（GB/T19715.2--2023）以及企业有关规章制度, 制定本规定。

本原则规定了本企业内部人员、第三方运维人员等安全管理旳有关内容, 包括工作岗位风险分级、人员审核、人员录取、保密协议、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人员安全等。

本原则合用于本企业内部人员及第三方人员旳管理与考核。

2 规范性引用文献3 无规范性引用文献, 保留本条款旳目旳是保持我司原则构造旳一致, 便于此后旳修订。

4 术语和定义3.1人员安全3.2是指通过管理和控制, 保证单位内部人员（尤其是信息系统旳管理维护人员）和第三方人员在安全意识、能力和素质等方面都满足工作岗位旳规定。

3.3第三方人员3.4是指来自外单位旳专业服务机构, 为本单位提供应用系统开发、网络管理和安全支持等信息技术外包服务旳工作人员。

3.5安全教育和培训5 是通过宣传和教育旳手段, 保证有关工作人员和信息系统管理维护人员充足认识信息安全旳重要性, 具有符合规定旳安全意识、知识和技能, 提高其进行信息安全防护旳积极性、自觉性和能力。

6 机构和职责4.1信息化建设项目实行小组4.1.1负责指导企业及两厂信息系统操作人员安全管理工作；4.1.2负责执行企业信息安全检查及管理工作；4.2研究国家和行业旳信息安全政策法规, 组织有关部门讨论来保证其符合性。

国家信息安全等级保护制度（二级）一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制（1）机房出入口应有专人值守，鉴别进入的人员身份并登记在案；（2）应批准进入机房的来访人员，限制和监控其活动范围。

1.3 防盗窃和防破坏（1）应将主要设备放置在物理受限的范围内；（2）应对设备或主要部件进行固定，并设置明显的不易除去的标记；（3）应将通信线缆铺设在隐蔽处，如铺设在地下或管道中等；（4）应对介质分类标识，存储在介质库或档案室中；（5）应安装必要的防盗报警设施，以防进入机房的盗窃和破坏行为。

1.4 防雷击（1）机房建筑应设置避雷装置;（2）应设置交流电源地线。

1.5 防火应设置灭火设备和火灾自动报警系统，并保持灭火设备和火灾自动报警系统的良好状态。

1.6 防水和防潮（1）水管安装，不得穿过屋顶和活动地板下；（2）应对穿过墙壁和楼板的水管增加必要的保护措施，如设置套管；（3）应采取措施防止雨水通过屋顶和墙壁渗透；（4）应采取措施防止室内水蒸气结露和地下积水的转移与渗透。

1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

1.9 电力供应（1）计算机系统供电应与其他供电分开；（2）应设置稳压器和过电压防护设备；（3）应提供短期的备用电力供应（如UPS设备）。

1.10 电磁防护（1）应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；（2）电源线和通信线缆应隔离，避免互相干扰。

2、网络安全2.1结构安全与网段划分（1）网络设备的业务处理能力应具备冗余空间，要求满足业务高峰期需要；（2）应设计和绘制与当前运行情况相符的网络拓扑结构图；（3）应根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽；（4）应在业务终端与业务服务器之间进行路由控制，建立安全的访问路径；（5）应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；（6）重要网段应采取网络层地址与数据链路层地址绑定措施，防止地址欺骗。

外来人员来访登记管理规定
根据相关法律法规和管理规定，外来人员来访登记管理应遵循以下规定：
1. 登记范围：对于外来人员来访相关情况，包括个人、团体、企业单位等，都应进行登记管理。

2. 安全检查：对外来人员进行安全检查，以确保来访人员不携带危险物品或对安全构成威胁。

3. 证件要求：外来人员应携带有效的身份证件或访客证等。

访客证应由被访单位提供，并在登记时由来访人员出示。

4. 登记程序：来访人员应在进入被访单位前，在前台或接待处进行登记，并填写来访事由、来访人员信息等相关信息。

接待人员负责登记工作，并核对登记信息的准确性。

5. 保密原则：对于登记的来访人员信息，必须严格遵守保密原则，不得泄露或滥用。

6. 来访人员限制：对于未经授权或无合法理由的来访人员，应予以限制或拒绝进入。

7. 陪同人员：来访人员如有需要，可以携带陪同人员，但陪同人员也要进行登记并出示身份证件。

8. 来访时间限制：根据被访单位的规定，外来人员的来访时间可能会有限制，必须遵守规定的来访时间段。

9. 突发情况处理：在突发情况下，如安全事故或突发事件，被访单位应及时报警并配合相关部门进行处理，并协助提供登记信息等协助调查。

以上是一般外来人员来访登记管理的规定，具体的规定可能因地区、行业、单位性质等因素而有所不同。

建议根据具体情况制定相应的管理办法，以确保外来人员来访安全有序。

第三方安全管理制度第一章总则第一条目的：为有效防范“第三方”（详见第二章术语解释）人员带来的安全风险，加强和规范“第三方”人员的安全管理，保证计算机系统及网络的安全，根据有关规定，制定本制度。

第二条适用人员范围：所有第三方人员和“中心”员工。

第二章术语解释第三条本制度所述的“中心”是指技术部。

第四条本制度适用于中心拥有的、控制和管理的所有软硬件系统。

第五条本制度中的第三方，是指除中心以外，所有的组织和人员。

第三方分为临时来访的第三方和非临时来访的第三方。

临时来访的第三方是指来中心时间周期较短的人员，例如：进行业务交流，来访参观等；非临时来访是指中心来访时间较长的第三方，例如：项目建设人员，可以在批准情况下进入中心工作（办公区域工作活动不需陪同，机房工作活动需相关人员陪同）。

第六条“随工人员”是指中心派出的，负责接待“第三方”人员的接口人。

第七条“第三方”人员将带来的以下安全风险：第八条“第三方”人员的物理访问带来的设备、资料盗窃；L “第三方”人员的误操作导致各种软硬件故障；2.“第三方”人员的资料、信息外传导致泄密；3.“第三方”人员对计算机系统的滥用和越权访问；4.“第三方”人员给计算机系统、软件留下后门；5.“第三方”人员对计算机系统的恶意攻击。

为防范以上风险，安全管理员须结合日常的安全维护工作，评估“第三方” 带来的安全现状。

第三章人员与职责第九条随工人员负责临时来访的第三方人员自进入中心起至离开为止的全程陪同。

第四章临时来访的第三方管理制度第十条除以下情况外，随工人员不得引领和允许第三方进入机房、办公室和其他机要区域：1.中心高层领导批准的参观活动；2.必要的设备和软件等现场安装、维修、调测；3.临时来访第三方因业务需要进入上述区域的其他情形。

在情况2）、3）下，随工人员以令第三方进入上述区域，需经主管上述区域的部门负责人批准。

临时来访第三方在上述区域活动时，随工人员须全程陪同。

第十一条业务交流一般应当在接待室或会议室内进行，招标、谈判等正式洽谈和重大项目的会谈应当在专门的会议室进行，不得在办公室进行，应当避免同一领域的临时来访第三方在同一会议室同时进行业务洽谈。

外来访出入管理制度
一、目的
为了保障公司的安全和保密工作，规范外来访客的出入管理，防止安全事件的发生，特制
定本制度。

二、适用范围
本制度适用于所有进入公司办公区域的外来访客，包括但不限于客户、供应商、合作伙伴等。

三、管理要求
1.外来访客需事先预约：所有外来访客需提前向公司相关部门或人员进行预约，并提供有
效的身份证明和来访事由。

2.查验身份证明：外来访客在进入公司办公区域前需向保安人员出示有效的身份证明，确
保身份的真实性。

3.领取临时通行证：成功预约的外来访客可以领取临时通行证，有效期根据来访事由而定。

4.接待人员陪同：外来访客在进入公司办公区域后，需由安排的接待人员陪同，不得擅自
进入公司内部非公共区域。

5.保持礼貌和友好：外来访客需保持礼貌和友好态度，遵守公司规章制度，不得擅自损坏
公司设施和设备。

6.离开时及时退回通行证：外来访客在离开公司办公区域时需及时退回临时通行证，确保
安全和保密工作。

四、处罚措施
1.违反管理要求的外来访客，公司有权取消其来访资格，并将其列入公司黑名单。

2.不听劝告、造成损失的外来访客，公司有权追究其法律责任。

3.其他违规行为的外来访客，公司有权采取相应的处罚措施。

五、附则
1.本制度自正式出台之日起生效。

2.如有需要修改，须经公司安全保密部门审批。

3.外来访客如有异议，可向公司安全保密部门投诉。

4.本制度解释权归公司安全保密部门所有。

经公司董事会讨论通过，特此制定。