第三方工作人员管理规定

第一章 总则

第一条第三方工作人员管理的主要目的是防范第三方人员进入****而带来的信息安全风险；规范对第三方人员的信息安全管理；提供第三方人员在****中的各项与信息系统相关的活动所要遵守的行为准则。

第二条本办法所述的第三方人员包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等外来人员，第三方人员分为临时第三方人员和非临时第三方人员。

（一）临时第三方人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的第三方人员；

（二）非临时第三方人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务，必须在相关单位办公的第三方人员。

第三条接待人是指****受访部门派出的、负责接待第三方人员的接口人。

第四条本办法适用于****的第三方人员安全管理工作。

第二章 第三方访问的风险管理

第五条第三方访问包括现场访问和远程网络访问两种方式，在需要进行第三方人员的访问时应评估可能带来的安全风险，内容包括：

（一）第三方人员的物理访问带来的设备、资料盗窃；

（二）第三方人员的误操作导致各种软硬件故障；

（三）第三方人员的资料、信息外传导致泄密；

（四）第三方人员对计算机系统的滥用和越权访问；

（五）第三方人员给计算机系统、软件留下后门；

（六）第三方人员对计算机系统的恶意攻击。

第三章 第三方物理访问的安全管理

第六条临时第三方人员进入****时，必须在门卫处出示有效证件，填写《外来人员登记表》登记相关信息，包括来访人姓名、工作单位、接待人部门和姓名、进入时间、携带物品等，领取来宾卡，由单位接待人领进。

第七条接待人必须全程陪同临时第三方人员，告知有关安全管理规定，不得任其自行走动和未经允许使用该单位的计算机设备。

第非临时第三方人员，在其所在单位签订遵守有关管理规定的协议后，由接待人代为申请临时出入证。必须按照安全保卫部的临时出入证申请流程，提交申请人姓名、照片、单位证明、身份证复印件、工作时间等资料，经接待人所在部门负责人批准后向安全保卫部申请。

第九条第三方人员必须佩戴来宾卡或临时出入证于显眼位置，相关单位人员有义务和权力对发现的没有佩戴来宾卡的陌生人员进行询问和检查，必要时交安全保卫处处理。

第十条业务洽谈和技术交流应当在接待室、会议室或培训教室内进行，招标、谈判等正式洽谈和重大项目的会谈应当在专门的会议室进行，不得在办公室内进行。

第十一条必须指定非临时第三方人员的办公区域，且只允许第三方人员在指定区域范围内进行业务活动。

第十二条临时第三方人员离开单位时应由接待人陪送，接待人应在登记表上签名，并签署离开时间。接待人在无法陪送的情况下应委托本部门其他人陪送。

第十三条非临时第三方人员工作完成后，应组织相关人员对第三方人员的工作进行安全检查和安全评估，办理有关离场手续，交还临时出入证，登记离场时间。

第十四条第三方人员进入机房等重要区域时，必须在《进出机房人员登记表》上进行登记，并由接待人全程陪同。

第十五条第三方人员携带设备（如笔记本电脑、计算机及配件、网络设备等）进入机房等重要区域时，必须在《进出机房人员登记表》上明确写明所带设备的型号和数量。携带设备离开机房，必须按照事先登记的型号和数量进行检查。未经登记的设备，必须有由接待部门负责人签字，并由安全保卫科在放行条上盖章后方可带出。

第十六条第三方人员进出机房等重要区域时，必须遵守该区域的管理规定。

第四章 第三方人员安全保密管理

第十七条非临时第三方人员必须签署安全保密协议后才能进场工作。第三方人员如因业务需要访问全省林区治安卡口系统，必须获得相关负责人批准并详细登记，必须确认已与科技通信科签署有效的保密协议。

第十未经批准，禁止第三方人员携带移动存储介质，移动存储介质必须在接待人的监控下使用。

第十九条未经特别许可，第三方人员不得在办公区域和机房内摄影、拍照。

第二十条禁止第三方人员试图了解和访问与工作无关的信息系统。

第二十一条第三方人员必须保守****秘密，严禁向任何人员透露单位的秘密。

第五章 第三方人员安全操作管理

第二十二条未经允许，禁止第三方人员携带的电脑接入****网络。第三方人员使用的机器必须组网。

第二十三条第三方人员如因工作需要（如软件开发测试）访问****网络，由接待人负责向科技通信科申请，并使用指定的设备。

第二十四条不允许第三方人员进行远程网络访问。如确因维护需要远程访问，必须由远程接入业务的需求部门填写《远程接入网络申请表》报领导批准。

第二十五条第三方人员在机房内的所有操作，都必需说明该操作可能引起的安全风险，并由接待人认可后才能操作。接待人必须对第三方人员的操作进行全程监控，填写《第三方人员机房工作内容记录表》记录第三方人员的操作内容并存档备案。

第二十六条更换机器硬件的操作需向接待人指出硬件损坏的证据，由接待人员上报科技通信科批准，将机器上的应用切换到其它机器上后，方可进行更换，并填写《第三方人员机房工作内容记录表》。

第二十七条第三方人员对机房附属设备（如空调、UPS等）的维护和保养，事先要由接待人员上报科技通信科批准后选择合适的时间进行，确保操作不影响****系统的正常运行，并填写《第三方人员机房工作内容记录表》。

第六章 附则

第二十本管理办法由****科技通信科制定，并负责解释和修订。

第二十九条本管理办法自发布之日起执行。