《单位网络外部人员访问管理制度规定模板.docx》由会员分享,可在线阅读,更多相关《单位网络外部人员访问管理制度规定模板.docx(5页珍藏版)》请在三一办公上搜索。
1、XXX外部人员访问管理制度一、目的为加强XXX内部安全保卫工作,提高工作人员的安全防范意识,防止各类事故发生,确保资产的安全,特制定本制度。二、范围本文档适用于XXX所有纳入到信息安全管理范围的相关部门和个人。三、职责各部门主管按照本制度外部人员访问不同区域进行流程化管理,杜绝非法访问无过程无审批的情况。四、识别与外部机构相关的风险(一)外部访问的风险识别对外部机构的安全访问各部门自行负责(具体工作由部门负责人指派)。当允许外部机构访问XXX的信息处理设施或信息时,将实施风险评估并特别关注以下方面:1 .外部机构需要访问的信息处理设施;2 .外部机构对信息和信息处理设施的访问类型,例如:物理访
2、问,例如进入办公室,计算机机房;(2)逻辑访问,例如访问公司的数据库,信息系统;公司和外部机构网络的网络连接,例如永久性连接、远程访问;现场访问还是非现场访问;(5)所涉及信息的价值和敏感性,及对业务运行的危险程度;保护不打算被外部机构访问到的信息所需要的控制;处理信息中所涉及的外部机构的人员:授权访问的人员如何被识别、进行授权验证,多长时间需要重新确认;(9)外部机构在贮存、处理、传送、共享和交换信息过程中所使用的不同的方法和控制;(10)当需要时外部机构无法获得访问,外部机构进入或接收到不正确的信息或误导信息的影响;(11)处理信息安全事故和潜在破坏的惯例和程序,当发生信息安全事故时外部机
3、构继续访问的期限和条件;(12)应考虑与外部机构有关的法律法规要求和其他合同责任;(13)其他利益相关人的利益如何被安排所影响。(二)合同管理签订合同时,需明确规定外部机构连接或访问以及合作的期限和条件后,才可允许外部机构访问XXX信息系统。与外部机构合作的安全要求或内部控制须通过与外部机构的协议明确反映出来。(三)安全意识各部门管理人员应确保外部机构相关人员意识到他们的责任,以及处理信息设施所涉及的职责和责任。五、外部机构与人员访问的安全需求对外部机构的安全访问由被访问的各部门负责,在允许外部机构或用户访问公司任何资产(依据访问的类型和范围,并不需要应用所有的条款)前解决安全问题将考虑下列条
4、款:(一)资产保护,包括:1 .保护机构资产(包括信息和软件)的程序,以及对己知脆弱点的管理;2 .确定资产是否受到损害(例如丢失数据或修改数据)的程序;3 .完整性;4 .对拷贝和泄露信息的限制;(二)要提供的产品或服务的描述;(三)外部机构或用户访问的不同原因、需求和利益;(四)访问控制策略,包括:1 .允许的访问方法,唯一标识的控制和使用,例如用户ID和口令;2 .外部机构或用户访问和权限的授权过程;3 .没有明确授权的访问均被禁止的声明;4 .撤消访问权力或中断系统间连接的过程;(五)信息错误(例如个人信息的错误)、信息安全事故和安全违规的报告、修改和调查的安排;(六)要提供确保每项服
5、务可用的描述;(七)服务的目标级别和服务的不可接受级别;(八)监视和撤销与机构资产有关的任何活动的权利;(九)公司和外部机构或用户各自的义务;(十)关于法律事件和如何确保满足法律要求(例如,数据保护法律)的责任。如果该协议涉及与其他国家的消费者的合作,特别要考虑到不同国家的法律体系;(十一)知识产权和版权转让以及任何协作性工作的保护。六、与外部机构及人员的协议中强调安全协议将确保在公司和外部机构人员之间不存在误解。为满足识别的安全需求,下列条款将考虑包含在协议之内:(一)信息安全策略;(二)确保资产得到保护的控制措施,包括:1 .保护资产(包括信息、软件和硬件)的程序;2 .所有需要的物理保护
6、控制和机制;3 .确保防止恶意软件的控制;4 .确定资产是否受到损害(例如信息、软件和硬件的丢失或修改)的程序;5 .确保在协议截止时或在合同执行期间双方同意的某一时间段对信息和资产的归档或销毁的控制;6 .保密性、完整性、可用性和任何其他相关的资产属性;7 .对拷贝和泄露信息,以及保密性协议的使用的限制;(三)对用户和管理者在方法、程序和安全方面的培训;(四)确保用户意识到信息安全职责和问题;(五)关于硬件和软件安装和维护的职责;(六)访问控制策略,包括:1 .外部机构和外部人员访问的必要性的不同原因、需求和利益;2 .允许的访问方法,唯一标识符(诸如用户ID和口令)的控制和使用;3 .用户
7、访问和特权的认证过程;4 .维护被授权使用正在提供的服务的个人清单的需求以及他们与这种使用相关的权利和特权是哪些;5 .没有明确授权的所有访问都要禁止的声明;6 .撤消访问权力或中断系统间连接的过程;七)报告、通知和调查信息安全事故和安全违规以及违背协议所声明的要求的安排;(八)提供的每项产品和服务的描述,根据安全分类提供可获得信息的描述;(九)服务的目标级别和服务的不可接受级别;(十)可验证的性能要求的定义、监督和报告;(十一)监视和撤销与机构资产有关的任何活动的权利;(十二)审核协议规定的职责,授权外部机构和外部人员进行这些审核,以及列举审核员的法定权限的权利;(十三)建立逐级解决问题的过程;(十四)服务持续的要求,包括根据公司的业务优先级对可用性和可靠性的测量;(十五)协议双方的相关义务;(十六)关于法律事件和如何确保满足法律要求(例如,数据保护法律)的责任。如果该协议涉及与其他国家的机构的合作,特别要考虑到不同国家的法律体系:(十七)知识产权(IPRs)和版权转让以及任何协作性工作的保护;(十八)包括具有转包商的外部机构和外部人员,这些转包商需要实施的安全控制;(十九)协议中重新协商/终止的条件:1.将提供意外处理计划以处理任一方机构在协议到期之前终止合作关系的情况;2.如果公司的安全需求发生变化,协议的重新协商;资产列表、许可证、协议或与他们相关的权利的目前的文件。
