XXX平台
--外部人员安全访问管理规定--
修订及审核记录
目录
一、总则 (4)
二、定义和风险 (4)
三、人员进出管理 (5)
四、安全操作管理 (6)
五、相关记录 (7)
六、附则 (7)
一、总则
第一条为规范XXXXXX对第三方人员（非本院工作人员）访问数据中心机房的有效管理和控制，维护信息系统安全，确保各应用系统安全稳定运行和重要区域信息安全，特制定本管理制度。

第二条本规定的目的是确保XXX系统平台安全平稳运行，有效管理，杜绝非授权的资源访问、使用及控制。

第三条本管理规定适用于XXX。

二、定义和风险
第四条本制度所描述的第三方人员包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等非XXXXXX的内部人员。

第三方人员分为临时第三方人员和长期第三方人员。

第五条临时第三方人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的第三方人员。

第六条长期第三方人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务，必须在一定时间内呆在本院内部进行办公的第三方人员。

第七条第三方人员的范畴包括临时第三方和长期第三方人员。

第八条第三方人员的访问方式包括现场访问和通过网络远程访问。

第九条接待人是指本院指定的负责接待和管理来访第三方人员的内部的正式员工。

第十条必须定期评估第三方人员带来的安全风险，至少每季度评估一次。

必须防范第三方人员带来的以下安全风险：
（1）第三方人员的物理访问带来多大设备损坏、信息泄露、资料失窃、系统当机和网络中断等。

（2）第三方人员的误操作导致的各种软硬件故障。

（3）第三方人员的资料、信息外传导致的泄密。

（4）第三方人员对计算机系统的滥用和非授权访问。

（5）第三方人员给计算机系统和软件留下后门。

（6）第三方人员对计算机系统的恶意攻击尝试。

（7）第三方人员访问计算机信息系统引入的恶意代码传播。

三、人员进出管理
第十一条第三方人员必须签署安全保密协议后才能进场工作，且必须由信息技术推广部领导指定相关运维人员陪同第三方人员进入中心机房，陪同人员按照第三方人员的申请操作内容进行监督，如果超出操作范围应立即制止。

待第三方人员操作完毕后，陪同人员应检查重要系统应用是否正常。

第十二条在确认已与XXXXXX负责人签署有效的保密协议的情况下，第三方人员如因业务需要查阅本院机密资料、文件、实物和访问本院网络系统，必须获得相关负责人批准并详细登记。

提供时应开具清单请第三方人员牵收。

提供文字保密材料的应该加盖保密章或有其它保密标记。

保密协议在相关部门存档，签收清单由相关管理部门妥善保存。

第十三条非本单位机房工作人员进出机房、档案室、业务办理区等重要区域须按本制度进行审批。

第十四条进入机房、档案室的人员要保持机房的清洁、卫生。

严禁机
第十五条未经本院相关主管领导特别许可，第三方人员不得在机房内摄影或摄像，并且摄影和拍照内容需经过相关主管领导许可和接待人的确认。

接待人需要对摄影或拍照内容进行审核。

第十六条第三方人员必须保守本院机密，严禁向任何人员以口述、文件等方式透露单位机密。

第十七条接待人员以及参加会晤的其他的第三方人员应该自觉保守
本单位的机密，不得透露业务范围之外的单位敏感信息。

四、安全操作管理
第十八条未经批准，禁止第三方人员携带移动存储介质进入数据中心机房，移动存储介质必须在XXX指定接待人的监控下使用。

第十九条非本单位人员,严禁单独进入数据中心机房、档案室、业务办理区等重要区域,确需进入的,相关机房值班人员必须全程跟踪严禁从事非业务范围内的其它任何操作。

第二十条第三方人员开发测试环境只能连接测试网，且必须采用防火墙进行有效隔离，严禁接入业务网络。

确需在线测试的项目，应上报分管领导批准，采取必要的防护措施，选择在适当的时间进行。

并报本院网络信息中心审核并备案。

第二十一条不允许第三方人员进行远程网络访问。

如确因维护需要远程访问，必须报本院网络信息中心审核，并由分管领导批准，选择在非业务时间，关闭所有应用，做好当天的数据备份后，由本院信息管理人员配合输入口令，进行全程监控和记录。

远程网络访问结束后，应马上切断外部连接，检查设备状态是否正常，确认后开启应用。

第二十二条禁止第三方人员直接对网络设备和主机进行操作，第三方人员可以协助（如口述操作过程）本院相关系统管理或操作人员完成所需操作。

第二十三条第三方人员在机房内的所有工作情况，都必须说明该工作可能引起的安全风险，并由接待人确认后才能操作。

接待人必须对第三方人员的操作进行全程监控，记录第三方人员的操作内容，工作完成后由第三方人员和接待人员共同签字确认并存档备案。

接待人员对第三方人员的所有行为负责。

第二十四条相关工作人员进入机房原则上须两人同时进出，并按规定进行相关业务操作，严禁随意对设备进行操作，严禁接触与业务无关的设备，如违规造成网络和业务系统事故的将追究操作人员的责任。

第二十五条第三方人员更换设备部件的操作需要向本院接待人员说明更换理由和提供硬件损坏的依据，由接待人员上报分管领导批准，将设备上的应用切换到其它设备上后方可进行更换。

五、相关记录
XXX机房进出权限申请单、XXX网络服务接入申请单、XXX机房人员进出登记表。

六、附则
第二十六条本制度自发布之日起开始实施。

第二十七条本管理规定的解释和修改权属于XXXXXX。

第二十八条XXXXXX每年统一检查和评估本管理规定，并做出适当更新。

在业务环境和安全需求发生重大变化时，也将对本规定进行检查和更新。