1、总则
1.1、目的
为进一步规范XXXXX单位外来人员访问管理工作,防止未经授权的访问,做好XXXXX单位安全访问工作,保障正常工作秩序,确保XXXXX单位的安全,制定本制度。
1.2、范围
本制度适用于XXXXX单位外部人员访问管理。
1.3、职责
XXXXX单位接访部门及人员需按此制度进行外部人员访问管理工作。
网络安全与信息化管理部门应负责监督和落实外部人员访问管理制度的执行。
2、管理细则
2.1、外部人员访问管理
1)应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案;
2)应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案;
3)外部人员离场后应及时清除其所有的访问权限;
4)获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。
2.2、第三方服务人员管理
对第三方服务人员的管理,不同安全等级应有选择地满足以下要求的一项:
1)基本管理要求:应对硬件和软件维护人员,咨询人员,临时性的短期职位人员,以及辅助人员和外部服务人员等第三方人员签署包括不同安全责任的合同书或保密协议;规定各类人员的活动范围,进入计算机房需要得到批准,并有专人负责;第三方人员必须进行逻辑访问时,应划定范围并经过负责人批准,必要时应有人监督或陪同;
2)重要区域管理要求:在重要区域,第三方人员必须进入或进行逻辑访问(包括近程访问和远程访问等)均应有书面申请、批准和过程记录,并有专人全程监督或陪同;进行逻辑访问应使用专门设置的临时用户,并进行审计;
3)关键区域管理要求:在关键区域,一般不允许第三方人员进入或进行逻辑访问;如确有必要,除有书面申请外,可采取由机构内部人员代为操作的方式,对结果进行必要的过滤后再提供第三方人员,并进行审计;必要时对上述过程进行风险评估和记录备案,并对相应风险采取必要的安全补救措施。
4)应对第三方服务人员进行信息安全培训、规章制度宣导,并填写信息安全策略培训登记表,如外部服务涉及秘密信息,应与第三方服务人员签署个人保密协议。
5)第三方服务人员应严格遵守XXXXX单位相关制度,并服从市XXXXX单位员会监督和管理。
6)第三方服务人员携带的移动办公设备,在首次进入XXXXX单位时应进行登记处理,填写《外部服务人员移动办公设备登记表》。
7)未经批准,第三方服务人员不可使用XXXXX单位的设备、软件、网络资源等,不可更改XXXXX单位软硬件的配置状态。
8)未经批准,第三方服务人员携带的笔记本电脑、掌上电脑,不可以接入XXXXX单位内部网络。
9)第三方服务人员的笔记本电脑、掌上电脑、具有数据存储功能的电子设备等,经批准,在接入XXXXX单位网络进行数据通信之前,必须经过杀毒处理,而且必须在指定的区域、通过指定的端口、指定的方式接入XXXXX单位网络。
10)对第三方服务人员的物理访问和逻辑访问应实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
11)第三方服务人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。
12)第三方服务人员的现场工作应在XXXXX单位信息部门有关人员的陪同和监督下完成,第三方服务人员自带设备接入信息系统应得到特别授权,其操作应受到审计。
13)第三方服务人员工作结束后,应及时清除有关账户、过程记录等信息。
2.3、机房访问管理
1)临时进出机房人员进入机房需提前预约,填写《临时进出机房申请表》(附件1),XXXXX单位对口业务部门经办人员在运维管理系统上录入工单,并经系统技术部同意后,由机房管理人员备案。
2)临时进出机房人员需按预约时间进出机房,携带身份证,到机房值班保安处进行登记。值班保安致电机房管理人员确认后,登记身份证信息,暂押身份证,并发放临时出入证。
3)临时进出机房人员必须佩戴临时出入证方可进入机房,离开机房时需交还保安。
4)非本单位工作人员进入机房从事业务工作,必须经技术部部长同意,并在技术部人员陪同下登记《进出机房登记表》(附件1)后进入机房,技术部人员必须全程陪同外来人员,并负责其行为安全,对违章者有权制止其违章行为,并及时向主管领导反映。
5)各部门负责根据实际情况,按照本制度的要求,协助来访人员准备相关材料,填写《机房重要区域出入审批登记表》。如遇审批领导不在,而又必须紧急处理的,需由相关工作人员向负责领导电话报告,并准予进入,待领导回来后补办相关手续。
6)进入机房大门后,临时进出机房人员应在前台的《进出机房登记表》(附件2)中登记人员信息,机房管理人员应全程陪同,并负责其行为安全,如发现问题应及时向系统技术部反映。
7)外来人员参观机房,必须先由经办人填写《参观机房申请表》(附件3),报XXXXX单位领导批准后,在相关人员陪同下进入机房(陪同人员在《出入机房登记表》备注栏中登记)。
8)机房管理人员根据XXXXX单位工作安排和来访人员的预约要求,安排参观时间等具体事宜,并安排人员现场陪同。
9)外部人员进入机房参观前,机房值班人员须让外部人员在《外来人员出入机房登记表》上登记好相关信息。
10)外部参观人员出入机房重要区域,由机房值班人员陪同进行参观。
11)任何人员进入机房之前必须先在机房门口戴上鞋套,严禁携带易燃、易爆、易碎、易污染、强磁场、腐蚀性和液体物品进入机房。
12)进入机房内的人员必须严格遵守各项制度和操作流程,不允许从事与工作无关的操作,确保人身和设备安全及生产系统安全运行。
13)进入机房人员应保持机房的清洁、卫生。严禁在机房室内吵闹、吸烟、进食,严禁携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等进入,避免对机房设备安全构成威胁。
14)机房内的机器设备不准擅自挪动,私人物品严禁存入机房内,设备进入和搬出机房必须逐一登记在《进出机房物品登记表》(附件2)。
15)进入机房内的人员必须严格遵守各项制度和操作流程,在机房内必须佩戴工作证或临时出入证。
16)进入机房人员在未经允许的情况下,不得对机房进行拍照、摄像等行为,违反者没收拍摄设备,清出机房场地。
17)工作人员在离开工作区域前,保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态,如锁定工作电脑。严禁使用移动设备(移动硬盘、U盘等)拷贝机房设备的数据。
18)机房所有工作区域磁卡门平时应处于常闭状态,工作人员进出机房后必须保证机房门已经关闭后才离开。
19)外单位人员,原则上不得使用无线网络接入服务,确因业务需开通,应设置开通具体期限。
3、附则
本管理制度由XXXXX单位负责解释,自发布之日起实施。
4、附件
附件1:外部服务人员移动办公设备登记表
序号 日期 时间 姓名 电脑品牌 电脑MAC地址 入网原因 是否安装杀毒软件 安全扫描情况 入网审批情况(允许/不允许) 入网结果 入网时间
附件2:临时进出机房申请表
临时进出机房申请表
申请部门 经办人
计划进入时间 计划离开时间
事 由
携带物品
备 注
人员名单
序号 单 位 姓 名 身份证号 联系电话
附件3:进出机房物品登记表
进出机房物品登记表
携带人 单位/部门 日期
带入时间 带出时间
物品名称
物品规格
物品数量
介质内容
用途
备注
技术认定人
部长意见
值班确认人
附件4:参观机房申请表
参观机房申请表
经办人 部门 日期
参观单位
参观事由
参观人员
XXXXX单位主任意见
附件5:进出机房登记表
进出机房登记表
日期 单位 姓名 事由 进入时间 离开时间 联系电话 确认人 备注
附件6:机房重要区域出入审批登记表
机房重要区域出入审批登记表
序号 申请日期 部门 进出人员 进出机房事由及起止时间 审批人 是否审批通过 备注