文檔信息
|
文檔名稱
|
世界杯官网外部人員管理制度
|
|
文檔編號
|
|
|
文檔類別
|
策略方针 □ 管理制度 ■ 工作流程 □ 操作指南 □ 运维记录 □ 其他 □
|
|
當前版本
|
1.0
|
|
創建日期
|
2020-10-18
|
|
文檔編輯部門
|
信息中心
|
|
文檔作者
|
|
|
聯系方式
|
|
修訂記錄
|
文檔版本
|
日期
|
修改人員
|
審閱人員
|
修訂摘要
|
|
V1.0
|
2020-10-18
|
|
|
建立文檔
|
|
|
|
|
|
|
審批發布
|
序號
|
審核記錄
|
日期
|
審閱人員
|
|
1
|
審閱
|
2020-10-18
|
|
|
2
|
正式核准發布
|
2020-10-18
|
|
|
3
|
|
|
|
一 總則
目的。爲進一步加強對外部人員管理,依據《世界杯官网信息安全管理辦法》制定本管理制度。
對象及範圍。外部人員包括軟件開發商、産品供應商、系統集成商、設備維護商和服務提供商等外部人員,外部人員分爲臨時外部人員和非臨時外部人員。
(1)臨時外部人員指因業務洽談、技術交流、提供短期和不頻繁的技術支持服務而臨時來訪的外部人員。
(2)非臨時外部人員指因從事合作開發、參與項目工程、提供技術支持或顧問服務,必須在世界杯官网辦公的外部人員。
要求。世界杯官网信息系統的外部人員安全管理要求統一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二 外部人員的風險管理
外部人員訪問包括現場訪問和遠程網絡訪問兩種方式,在需要進行外部人員的訪問時應評估可能帶來的安全風險,內容包括:
n 外部人員的物理訪問帶來的設備、資料盜竊。
n 外部人員的誤操作導致各種軟硬件故障。
n 外部人員的資料、信息外傳導致泄密。
n 外部人員對計算機系統的濫用和越權訪問。
n 外部人員給計算機系統、軟件留下後門。
n 外部人員對計算機系統的惡意攻擊。
三 來訪登記控制
(1)所有到單位訪問的外來人員必須依據來訪登記表進行登記預約,未經單位相關人員確定的訪客一律謝絕進入辦公區域。登記表必須明確記錄時間、姓名、證件名稱(號碼)、受訪部門或人員名稱、事由、來訪值班員、離開時間和離開時值班員等相關信息,並在備注中說明其他需要明確或記錄的事項。
(2)與單位業務有關但不確定具體情況的人員來訪時,必須及時詢問來訪客人身份、目的、需要咨詢了解事項認真登記後,再與相關部門辦公人員核實處理。
(3)到訪單位的外來人員實行誰接待誰負責的安全控制方式,需要進入辦公區域的必須由受訪部門安排人員陪同並控制範圍,機房、財務室、檔案室等重點部位非檢查單位人員一律禁止入內。
(4)由單位副總級別以上領導帶來的客戶、訪客一般不需要出示證件登記,但要與受訪部門確認和記錄來訪人數、目的、逗留時間、參觀範圍等相關事項以做好後勤服務保障工作。
(5)單位前台和保安是控制外來人員的第一責任人,值班時必須按單位規定接待來訪客戶。
(6)前台人員負責來訪客人的登記、預約和引導,來訪人員到訪時先引導至貴賓室或接待室等候,電話向受訪部門(人)核實確定預約的才給予引導,沒有預約或意圖不明確的、明顯沒有業務關聯的對其進行勸離處理。
四 進出門禁系統控制
(1)單位所有內部員工必須憑借內部員工門禁信息登記卡進出辦公區域。
(2)单位内部各办公区域间门禁系统日常工作时必须处于锁闭状态,内部员工均有责任有义务關閉门禁系统,避免闲杂人员进出办公区域。
(3)外来人员访问时由前台根据预约确定结果引导至贵宾室或接待室后,确定受访部门方便接待时由前台或保安开启门禁引导客人进入,将客人带给受访部门。
(4)受访部门与来访人员商谈相关业务后必须将客人送离办公区域,并及时通知保安或前台引导客人离开,避免访客随意走动影响办公秩序。
(5)確定訪客業務商談完畢已離開辦公區域的前台不准再開啓門禁系統讓其返回,如有特殊情況必須經與受訪部門確認才能再次引導進入。
(6)敏感行業人員要提示勿隨意走動並只能在指定範圍內活動(如業務員、外賣員、快件投遞員等)。
五 攜帶物品控制
(1)無論單位員工或外來人員在離開單位時攜帶辦公、大件物品或其他文檔資料時保安和前台必須進行查問,確定有放行條的才給予攜帶物品離開。
(2)重要客人来访需要携带物品的由接待部门负责人陪同离开后仍要补填放行条。
(3)工作时间以外禁止一切携带单位物品离开办公区域的行为,所有员工有义务配合保安检查。
(4)對來訪者目視感覺可能攜帶危險品的必須立即采取措施進行處理,確保單位人員和財産安全。
六 外部人員保密管理
(1)非臨時外部人員必須簽署安全保密協議後才能進場工作。外部人員如因業務需要查閱世界杯官网涉密資料或訪問信息中心網絡系統,必須獲得相關負責人批准並詳細登記,必須確認已與相關負責人簽署有效的保密協議。
(2)未經批准,禁止外部人員攜帶移動存儲介質,移動存儲介質必須在接待人的監控下使用。
(3)未經特別許可,外部人員不得在辦公區域和機房內攝影、拍照。
(4)禁止外部人員試圖了解和查閱與工作無關的秘密。
(5)外部人員必須保守接待部門秘密,嚴禁向任何人員透露世界杯官网的秘密。
七 外部人員的安全操作
(1)未經允許,禁止外部人員攜帶的電腦接入世界杯官网內部網絡。外部人員使用的機器必須獨立組網。
(2)外部人員如因工作需要(如軟件開發測試)訪問世界杯官网內部網絡,必須向有關部門申請,並使用指定的設備。
(3)不允許外部人員進行遠程網絡訪問。如確因維護需要遠程訪問,必須報分管領導批准。
(4)外部人員在機房內的所有操作,都必需說明該操作可能引起的安全風險,並由接待人確認後才能操作。接待人必須對外部人員的操作進行全程監控,記錄外部人員的操作內容並存檔備案。
(5)更換機器硬件的操作需向接待人員指出硬件損壞的證據,由接待人員上報分管領導批准,將機器上的應用切換到其它機器上後,方可進行更換。
(6)外部人員對機房附屬設備(如空調、UPS等)的維護和保養,事先要由接待人員上報分管領導批准後選擇合適的時間進行,確保操作不影響信息系統的正常運行。
八 附則
對違反本制度的人員,將按照世界杯官网有關規定進行處罰。
本制度由信息安全工作小組負責制定、解釋和修改。
本制度自發布之日起執行。
世界杯官网信息安全工作小組
2020年10月18日