跳转至

第三方人员安全管理制度

声明

本制度是思度安全进行汇总和编写,仅供学习、交流、讨论使用,支持付费批量下载
单次赞助 10元 可下载单篇原文联系我们

修订说明

  • 烟台王较瘦 第一次编写 2022/5/1
  • 思安 修订 2023/6/1

第一章 总则

第一条 目的

为了确保北京思度文库股份有限公司(以下简称“公司”) 第三方人员在进行工作的同时不会对企业的信息安全造成危害,规范第三方人员的安全管理工作,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》特制定本制度。

第二条 适用范围

本制度适用于全公司包括分支机构、分子公司。

第二章 术语定义

第三条 外包人员

承包单位派来公司负责具体项目实施的人员,员工性质为“外包”的人员。

第四条 临时第三方人员

指被企业雇佣短期工作的第三方人员。

第五条 信息安全

为保护信息的机密性、完整性和可用性的一系列措施和技术,以及防范信息泄露、损坏和未授权访问的活动。

第六条 保密协议

在涉及商业机密的合作过程中,被委托人必须签署保密协议,以保护企业的信息安全。

第三章 岗位职责分工

第七条 人力资源部

负责制定并实施第三方人员管理制度,协调第三方人员的管理工作。

第八条 安全部

负责制定第三方人员的安全管理制度、制定保密协议,对第三方人员进行监管并对其工作过程进行管理。

第九条 业务部

负责对第三方人员的管理和监督、及时发现并处理第三方人员管理中的问题。

第十条 第三方人员

负责遵守该制度及保密协议,保障公司的商业机密以及信息安全。

第四章 外包人员管理

第十一条 基本要求

* 外包人员需遵守公司的一切规章制度及工作守则。   * 严禁外包人员将公司重要数据泄露给其他任何第三方(包括无权知悉该项数据的公司员工),外包人员应严格对IT系统运行及相应的数据进行保密,确保信息安全。   * 外包项目负责人、人力资源部需确认外包公司及个人与我司签订保密协议。   * 外包人员所属部门负责人需确保外包人员遵守公司在信息安全方面的所有规定。

第十二条 离职管理

* 外包人员所属部门负责人需要在外包人员停止为公司服务时,通知IT收回给外包人员开放的所有权限、设备、账号。   * 如出现外包人员恶意离职、脱岗等行为,外包人员的直接上级必须第一时间通知部门负责人、安全部门、IT部门和人力资源部。

第十三条 岗位限制

安全相关部门、审计相关部门、接触敏感数据(核心服务代码、员工薪资、财务数据、市场数据等)的部门,不允许招聘外包人员。

第五章 安全管理

第十四条 IT安全管理

* 公司为外包人员配备办公台式机或笔记本。禁止外包人员携带自己的机器连入公司网络。   * 外包人员使用的电脑需要安装杀毒软件。   * 内网访问权限及帐号:外包人员要在邮箱等系统中有标识。   * 外包人员每个人使用自己的帐号,不得共用帐号。

第十五条 网络安全管理

  • 禁止外包人员申请公司VPN。
  • 禁止外包人员申请财务网络权限。
  • 禁止外包人员在公司以外网络,连接公司内网系统。
  • 禁止外包人员个人设备连接Dot1x网络。

第十六条 数据安全管理

  • 禁止访问公司敏感的代码或设计文档
  • 禁止将公司的代码、软件、设计文档等资料外传。

第十七条 机房及办公场所管理

* 外包人员未经批准不得擅自进入机房区域,凡经批准进入机房者,不得越权进行非法操作。   * 严禁在机房内抽烟、聊天、会客以及进行与机房工作无关的任何其他活动。   * 严禁携带易燃、易爆、易污染、强磁等危险物品进入机房。严禁私自携带U盘、照相机、非公司配发笔记本等设备进入机房。   * 数据中心设施和数据未经批准不得带出机房,不得擅自修改、删除。如因此造成损失,将追究当事人责任,情节严重者,将追究其法律责任,并对供应商进行处罚。   * 加强设备用电安全及运行安全的管理。不得在专用线路上接插其它电器;不得破坏各类线路;不得私自拆卸计算机的任何部件;不得私自给计算机设备断电、断网;不得将专项用途的计算机挪作他用。

第六章 临时第三方人员管理

第十八条 人员陪同要求

临时第三方自进入本公司起至离开止,必须由部门安排专人(下称“值班人员”)陪同,不得任其自行走动。

第十九条 访客登记要求

临时第三方进入本公司进行业务活动,应在前台登记《来访客人登记表》,然后由值班人员引领到指定的场所进行业务洽谈。

第二十条 访客范围要求

* 公用办公区域的网络要设置独立的访客区,以便临时第三方使用,如有上网需求,要在《来访客人登记表》做备注。   * 临时第三方无权进入公司E1环境区域,特殊情况需要相关环境资产负责人授权,详见《受控区域访问申请表》。   * 业务洽谈一般应当在会议室内进行,不得在公共办公区域进行。   * 除预定的工作内容外,值班人员不得为临时第三方随意安排其它活动;不得向临时第三方透露业务范围之外的本公司的技术和商务情况。

第二十一条 访客离开流程

* 结束业务活动后,临时第三方如与公司其它部门有业务联系,值班人员应通知相关部门另行接待,值班人员的义务至相关部门人员领走临时第三方为止;如无其它业务,值班人员应陪送临时第三方离开公司。值班人员在无法陪送的情况下应委托本部门其他人员或行政人员陪送。   * 对值班人员的接待工作,部门负责人和本部门其他人员有权进行监督。行政人员有权对无人陪同的临时第三方进行询问。值班人员违反上述规定,未尽到接待责任,使临时第三方处于失控状态或擅自引领临时来访第三方进入E1环境区域的,应由部门负责人给予警告或批评。   * 临时第三方未经相关副总级别的领导特别许可不得在本公司环境区域内摄影、拍照。   第四章 附则

第二十二条 附则

本管理制度由人力资源部和安全部进行制定、解释、补充和修订。 本管理制度自发布起实施。                                    

Back to top