江西师范大学信息系统安全第三方人员安全管理制度
作者:    更新日期:2017-05-29    访问次数:

 

第一章 总则
第一条为规范和加强江西师范大学对第三方人员的管理、有效防范第三方人员进入师大带来的信息安全风险,制定本制度。
第二条本制度适用于长期或临时进入江西师范大学工作的非江西师范大学员工的信息安全管理。
第三条本制度所描述的第三方人员包括来自软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等非江西师范大学人员。第三方人员分为临时第三方人员和长期第三方人员。
第四条临时第三方人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的第三方人员。
第五条长期第三方人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务,必须在一定时间内在师大内部办公的第三方人员。
第六条第三方人员的访问方式包括现场访问和远程网络访问。
第七条接待人是指江西师范大学相关部门派出的,负责接待和管理第三方人员的员工。
第八条信息安全执行小组负责组织相关管理员定期评估第三方人员带来的信息安全风险,至少每季度评估一次。必须防范第三方人员带来的以下信息安全风险:
1、第三方人员的物理访问带来的设备、资料丢失。
2、第三方人员的误操作导致各种软硬件故障。
3、第三方人员导致的资料、信息外传泄密。
4、第三方人员对计算机系统的滥用和越权访问。
5、第三方人员给计算机系统、软件留下后门。
6、第三方人员对计算机系统的恶意攻击。
第九条临时第三方人员进入江西师范大学时,必须按照江西师范大学相关管理制度流程进行登记后方可进入。
第十条长期第三方人员,在其所在单位签订保密协议后,由接待人按照江西师范大学相关管理制度流程代为申请临时出入证。第三方人员服务期结束或人员更换前,应及时收回临时出入证。
第十一条接待人应向第三方人员告知有关信息安全管理规则,不应透露与第三方人员工作无关的信息,不得任其任意走动和未经允许使用师大的计算机设备。
第十二条长期第三方人员工作完成后,由江西师范大学组织相关人员对第三方人员的工作进行安全检查和安全评估。
第十三条除预定的工作内容外,接待人员不得为第三方人员安排其他活动。
第十四条对接待人员的接待工作,部门负责人和本部门其他人员有责任进行监督。
 
第十五条第三方人员必须签署安全保密协议后才能进场工作。
第十六条在确认已与江西师范大学签署有效的保密协议的情况下,第三方人员如因业务需要查阅师大资料、文件、实物和访问信息系统,必须获得相关负责人批准并详细登记。提供资料时应由师大开具清单请第三方人员签收,签收清单由资料提供部门妥善保存。
第十七条未经批准,禁止第三方人员携带移动设备或移动存储介质进入江西师范大学,移动存储介质必须在接待人的监控下使用。
第十八条未经许可,第三方人员不得在办公区域和机房内摄影、拍照。摄影和拍照内容要经过主管领导许可和接待人确认。接待人需要对拍摄内容审核。
第十九条禁止第三方人员试图了解和查阅与工作无关的师大其他资料。
第二十条第三方人员必须遵守与江西师范大学签订的保密协议,严禁向任何人员透露师大内部敏感信息。
第二十一条     未经批准禁止第三方人员携带的计算机接入江西师范大学内部网络。
第二十二条     第三方人员如业务需要必须接入师大内部网络的,必须由网络管理员为其分配固定IP以便进行管理,并报安全管理员审核并备案。
第二十三条     第三方人员开发测试环境只能连接测试网,且必需采用防火墙进行有效隔离,严禁接入信息系统实际运行环境。确需在线测试的项目,应上报信息安全执行小组批准,由安全管理员进行备案,采取必要的防护措施,选择适当的时间进行。
第二十四条     第三方人员如因维护工作而需要远程访问,必须报信息安全管理小组审核、批准,由安全管理员制定相应的安全策略并进行全程监控和记录。远程网络访问结束后,应马上切断外部连接,检查服务器状态是否正常,确认后开启应用。
第二十五条     未经授权禁止第三方人员直接对网络设备和主机进行操作,第三方人员可以协助(如口述操作过程)相关管理或操作人员完成所需操作。
第二十六条     第三方人员在机房内的所有工作情况,都必需说明该工作可能引起的安全风险,并由接待人确认后才能操作。接待人必须对第三方人员的操作进行全程监控,记录第三方人员的操作内容,操作完成后由第三方人员和接待人员共同签字确认后存档备案。接待人员对第三方人员的所有行为负责。
第二十七条     第三方人员更换硬件设备前需向接待人员指出硬件损坏的证据,由接待人员上报信息安全执行小组批准,由信息系统相关管理员对设备的信息备份及相应的处理后,方可进行更换。
第二十八条     需要采用必要的设备和手段(如防火墙、IDS等设备。认证、审计等手段)对第三方人员的各种操作进行有效的监控和限制。信息安全执行小组需要不定期对第三方人员的行为进行抽查,确保师大信息安全。
第二十九条     本制度自发布之日起执行。
第三十条本制度的解释和修改权属于信息安全领导小组。
第三十一条     信息安全领导小组每年统一检查和评估本制度,并做出适当更新。在业务环境和安全需求发生重大变化时,也将对本制度进行检查和更新。