XX信息系统外部人员访问管理规定
2015年7月
第一章总则
第一条为加强XX对外部人员访问的安全管理，切实防范外部人员访问风险，制定本管理规定。

第二条本规定适用于XX信息系统外部人员的管理。

第三条XX信息安全领导小组及下设领导小组办公室负责XX信息系统外部人员访问管理。

第二章外部人员访问控制
第四条对于外部人员的来访，设置来访记录单，由XX接待人员填写后，交业务相关科室保存；对于第三方的紧急来访，不能够及时记录的，可事后补录来访记录单。

第五条未经XX授权，外部人员不得进行任何方式的访问；外部人员的访问，也不能超出XX的授权范围。

第六条根据外部人员访问的性质、访问内容的敏感程度、访问方式确定外部人员访问可能造成的威胁，识别相关的风险，确定外部人员访问应采取的访问控制措施。

第七条除预定的工作内容外，接待人员不得为外部人员随意安排其它活动，不得向外部人员透露授权内容之外的关于XX技术、商务方面的情况。

第八条访问核心区域和重要业务系统，外部人员在经过授权后必须由接待人员陪同才能进行访问，陪同人员要对外部人员的访问过程进行跟踪监控，并事先告知外部人员有关的安全注意事项。

第九条对外部人员访问的操作内容进行记录，并对记录进行审计；信息系统安全管理员应定期对关键系统外部人员访问的记录和日志进行审查。

第十条接待人员违反上述规定，未尽到接待责任，使外部人员处于失控状态或擅自引领外部人员进入非授权区域的，应由科室负责人给予警告或批评。

第三章外部合作协议要求
第十一条外部相关机构需要对重要和受限的信息资产进行访问前，必须签订保密协议。

保密协议包括对外部人员的保密协议和对外部相关机构的保密协议。

第十二条与外部人员签署的保密协议应明确规定保密范围、保密责任、违约责任、协议有效期和责任人等内容。

第四章外部信息传输
第十三条与外部相关机构进行信息或软件的传输时，要根据信息和软件的敏感程度选择适当的数据传输方式（网络传输、可移动载体传输、邮递等）和控制措施（加密等）。

第十四条数据传输使用内部计算机网络完成，未经批准不得借助其它公共计算机网络平台进行数据传输。

第十五条外部人员未经许可禁止携带移动介质和便携式设备进入相关区域
第十六条经许可后使用可移动介质和便携式设备进行数据传输的，传输完毕后，必须从载体上完全清除数据。

第十七条因业务需要须向外部相关机构提供含有保密信息的规定、资料或实物的，接待人应当在获得相应的批准或授权，并与外部相关机构签订保密协议后再行提供，接待人应开具清单请外部人员签收。

第五章外部人员管理
第十八条外部人员在进入和离开业务区域时要登记备案。

第十九条对外部人员允许访问的区域、系统、设备、信息等内容应进行明确的书面规定。

第二十条外部人员在现场提供服务时，要遵守XX的安全策略和相关安全管理规定。

第二十一条外部人员访问系统前应对其告知相关的安全责任，新增的系统或应用系统帐号必须经运维科授权，由运维科工作人员负责添加；在访问完毕后由运维科工作人员移除其访问权限，并对上述操作进行记录。

第二十二条外部人员在对系统的访问过程中，不得对系统设置“后门”和进行恶意的破坏活动（如恶意删除、篡改数据等）。

第六章外部人员管理权限与审批
第二十三条，外部人员必须应得到信息中心安全科负责人的授权并得到明确的授权访问，范围，方可访问XX网络和信息系统。

第二十四条安全员根据外部人员访问的性质、访问内容的敏感程度、访问方式确定外部人员访问可能造成的威胁，识别相关的风险，确定外部人员访问应采取的访问控制措施。

第二十五条访问核心区域和重要业务系统，外部人员在经过信息中心安全科负责人授权后必须由接待人员陪同才能进行访问，陪同人员要对外部人员的访问过程进行跟踪监控，并事先告知外部人员有关的安全注意事项。

第二十六条数据传输应通过业务专网完成，未经信息中心安全科负责人批准不得借助其它公共计算机网络平台进行数据传输。

第二十七条外部人员未经安全员许可禁止携带移动介质和便携式设备进入相关区域；
第二十八条因业务需要须向外部相关机构提供含有保密信息的规定、资料或实物的，接待人应当在获得信息中心安全科负责人和相应业务部门负责人的批准或授权，并与外部相关机构签订保密协议后再行提供，接待人应开具清单请外部人员签收。

第七章附则
第二十九条本制度由XX负责解释。

第三十条本办法自****年**月**日起执行。

XX有权根据业务需要及本办法的执行情况，及时修订，适时发布新办法。