1总则
1.1目的
为了加强对第三方合作伙伴、人员、系统的安全管理,特制定本管理办法。
1.2范围
本规范适用于合肥师范学院在信息安全管理过程中对外来人员和第三方人员的行为规范管理。
1.3职责
合肥师范学院第三方信息安全管理由信息技术中心负责,并应按照本办法严格落实。
2管理细则
2.1解释
(1)本办法所指第三方包括第三方公司、第三方系统、第三方人员:
(2)第三方公司是指向我院提供设备、产品、服务的外部公司。
(3)第三方系统是指为我院服务或与我院合作运营的系统。这些系统可能不在我院机房内,但能通过接口与我院的系统发生数据交互。
(4)第三方人员是指为我院提供开发、测试、运维等服务或参与合作运营系统管理的非本单位人员。
(5)对第三方公司的信息安全管理应遵循如下原则:“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。
2.2总体要求
(1)对于与我院开展合作运营的第三方公司,信息技术中心要求其按照相关网络与信息安全的管理规定,严格落实信息安全责任,建立日常安全运维、检查制度,确保不发生信息泄密、重大安全漏洞。
(2)信息技术中心须要求在我院开展现场长期服务的第三方公司,在派驻现场设立专职人员,其主要职责包括:负责按照国家法律及我院的信息安全管理要求,开展派驻现场的安全管理,指导和监督派驻现场人员的信息安全,确保不发生违规行为;接受我院的监督和考核等。
(3)第三方公司信息安全管理人员发生变更时,应在变更前1周将有关变更信息报送我院信息技术中心。
(4)信息技术中心要督促指导第三方公司及人员遵循我院的安全管理制度和规范,将安全要求作为考核内容,纳入双方合作协议,定期组织对第三方安全检查。
2.3第三方公司及人员管理
(1)第三方公司必须与我院签订保密协议,在协议中明确第三方公司的保密责任以及违约罚则;第三方公司应与其员工签订保密协议,在协议中明确第三方公司员工的保密责任以及违约罚则。
(2)第三方公司必须严格遵守我院客户服务的要求和规定。
(3)第三方公司在合作过程中,如不可避免地接触到相关敏感信息(下面简称敏感信息),应保证不损害敏感信息的保密性、完整性、可用性、真实性、可核查性、可靠性、防抵赖性。
(4)第三方人员管理的范畴包括临时人员和长期人员:临时人员指因业务洽谈、技术交流、提供短期和不频繁技术支持服务的人员;长期人员指因从事合作开发、参与项目工程建设、提供技术支持或顾问服务的人员。
(5)由第三方公司参与开发并提供服务的业务系统或软件程序,如系统或程序能接触到客户敏感信息,应要求将第三方系统开发文档提交信息技术中心留档,文档应注明分发范围,并要求开发人员、测试人员、项目管理人员严格遵守分发控制要求。
(6)第三方公司参与或独立开发的业务系统或软件程序,应落实版本管理工作,并主动在上线验收前向信息技术中心提交其源代码或代码审计报告、以及安全测试报告,信息技术中心进行备案存档。
(7)第三方公司应对其参与或独立开发的业务系统或软件程序源代码进行妥善保管,严格控制第三方人员访问权限,避免代码泄漏。
2.4第三方接入管理
(1)第三方人员进入我院核心区域或者登录我院各业务系统操作时,应严格遵守我院的各项安全管理制度和规范。
(2)第三方人员工作区域与我院的教学、内部办公、维护区域分离,在安全域中划分独立的第三方用户接入区,如系统开发接入区、系统维护接入区等,并应采用更严格的'访问控制策略和管控手段。
(3)第三方用户接入区部署的常驻终端,应有严格的接入认证,并满足我院相关终端安全合规性检查标准。
(4)第三方用户接入区内的非常驻终端,需按照相应申请审批流程向信息技术中心申请,并按照我院终端相关安全合规性标准进行检查,获得授权后方可接入,信息技术中心应将申请审批记录备案。
(5)信息技术中心应组织对现场服务的第三方人员终端进行安全审核、检查,不定期抽查。
(6)禁止第三方人员在未授权的情况下通过远程方式接入第三方用户接入区,如第三方人员因特殊情况需要通过远程登录,须经过信息技术中心审批授权后,临时开通远程登录功能,并及时撤销。远程登录必须通过堡垒机系统等进行集中认证、授权和审计,应遵循权限最小化原则,控制用户访问的系统及权限。
2.5第三方帐号及权限管理
(1)第三方人员需与所属公司签订保密协议,报备信息技术中心后,方可申请相关系统帐号(不含超级帐号和系统帐号管理员帐号)、接入或访问我院内部的生产系统以及其他相关信息系统。
(2)第三方人员申请新增或变更帐号时,必须符合专人专号原则、权限最小化原则。帐号申请应经过信息技术中心审核并批准方可生效,帐号申请授权书应约定使用者、权限、使用期限等事项。
(3)信息技术中心授权的第三方人员临时远程接入帐号,其帐号及权限有效期最长不能超过3天,帐号到期或者接入任务完成后,应及时删除临时帐号并审核。
(4)第三方人员的帐号口令不得使用弱密码。帐号口令必须是在必要时间或次数内不循环使用。口令不得以任何形式明文存放于可公共访问的设备或物理界面上,保证帐号口令在传输和存储时的安全。
(5)在运维和运营环节,由于工作需要在一定时间段内频繁接触敏感信息的第三方人员,必须提前获得信息技术中心授权,经审批通过后方可被授予相应权限,信息技术中心应备案申请审批记录及事后审计。
(6)第三方人员访问我院信息系统时,第三方人员的帐号、认证、授权管理和安全审计应纳入堡垒机系统集中管控。
3附件
附1:第三方人员保密协议
因篇幅问题不能全部显示,请点此查看更多更全内容