文档介绍:XX信息系统外部人员访问管理规定2015年7月总则为加强XX对外部人员访问的安全管理,切实防范外部人员访问风险,制定本管理规定。本规定适用于XX信息系统外部人员的管理。XX信息安全领导小组及下设领导小组办公室负责XX信息系统外部人员访问管理。外部人员访问控制对于外部人员的来访,设置来访记录单,由XX接待人员填写后,交业务相关科室保存;对于第三方的紧急来访,不能够及时记录的,可事后补录来访记录单。未经XX授权,外部人员不得进行任何方式的访问;外部人员的访问,也不能超出XX的授权范围。根据外部人员访问的性质、访问内容的敏感程度、访问方式确定外部人员访问可能造成的威胁,识别相关的风险,确定外部人员访问应采取的访问控制措施。除预定的工作内容外,接待人员不得为外部人员随意安排其它活动,不得向外部人员透露授权内容之外的关于XX技术、商务方面的情况。访问核心区域和重要业务系统,外部人员在经过授权后必须由接待人员陪同才能进行访问,陪同人员要对外部人员的访问过程进行跟踪监控,并事先告知外部人员有关的安全注意事项。对外部人员访问的操作内容进行记录,并对记录进行审计;信息系统安全管理员应定期对关键系统外部人员访问的记录和日志进行审查。接待人员违反上述规定,未尽到接待责任,使外部人员处于失控状态或擅自引领外部人员进入非授权区域的,应由科室负责人给予警告或批评。外部合作协议要求外部相关机构需要对重要和受限的信息资产进行访问前,必须签订保密协议。保密协议包括对外部人员的保密协议和对外部相关机构的保密协议。与外部人员签署的保密协议应明确规定保密范围、保密责任、违约责任、协议有效期和责任人等内容。外部信息传输与外部相关机构进行信息或软件的传输时,要根据信息和软件的敏感程度选择适当的数据传输方式(网络传输、可移动载体传输、邮递等)和控制措施(加密等)。数据传输使用内部计算机网络完成,未经批准不得借助其它公共计算机网络平台进行数据传输。外部人员未经许可禁止携带移动介质和便携式设备进入相关区域经许可后使用可移动介质和便携式设备进行数据传输的,传输完毕后,必须从载体上完全清除数据。因业务需要须向外部相关机构提供含有保密信息的规定、资料或实物的,接待人应当在获得相应的批准或授权,并与外部相关机构签订保密协议后再行提供,接待人应开具清单请外部人员签收。外部人员管理外部人员在进入和离开业务区域时要登记备案。对外部人员允许访问的区域、系统、设备、信息等内容应进行明确的书面规定。外部人员在现场提供服务时,要遵守XX的安全策略和相关安全管理规定。外部人员访问系统前应对其告知相关的安全责任,新增的系统或应用系统帐号必须经运维科授权,由运维科工作人员负责添加;在访问完毕后由运维科工作人员移除其访问权限,并对上述操作进行记录。外部人员在对系统的访问过程中,不得对系统设