第三方人员管理制度第三方人员管理制度「篇一」第一章总则第一条为了规范第三方用户在共享学校内部信息、或访问内部信息系统时的行为，保护学校网络与信息系统安全，特制定本管理办法，用于内部管理对第三方机构和人员进行安全管理。

第二章适用范围第二条本管理办法适用的第三方包括学校的其他部门、相关的教育机构、网络监管部门、网络信息的产品供应商、代维服务商、合作厂商等，制度的执行和责任由与第三方接触的相关部门承担。

第三条第三方合作伙伴在涉及到共享内部信息、或访问内部信息系统时，必须遵守本管理办法。

第四条在网络与信息安全工作中，本管理办法是指导第三方安全管理的基本依据，相关组织和人员必须认真执行本管理办法，并根据工作实际情况，制定并遵守相应的实施细则和操作流程，做好第三方安全管理工作。

第三章来访出入管理第五条第三方人员进入学校中心机房或相关实验室时，应遵守学校相关安保制度。

第六条接待部门应当建立第三方来访预约制度和接待记录制度。

对第三方人员的访问应进行登记，详细登记来访原因、工作单位、出入时间、会见人、目的、有效证件。

第七条第三方人员访问过程中，必须安排专人陪同，不得任其自行走动。

第八条未经特别许可，第三方人员不得在机房、实验室内摄影、拍照。

第九条如因业务需要须向第三方提供含有学校内部保密信息的文件、资料或实物的，接待人应当在获得相应的批准或授权，并与第三方签订保密协议后再行提供，提供时应开具清单请第三方签收。

第四章机房出入管理第十条除以下情况外，不得引领和允许第三方人员访问机房等重要区域：1.学校领导批准的参观活动；2.必要的仪器设备现场安装、维修、调测；3.第三方因业务需要进入上述区域的其它情形。

第十一条第三方人员访问机房须遵守机房管理相关规定。

第十二条第三方人员进入计算机房或进行上机操作，须经信息化部门领导或安全负责人批准，并进行相应登记，记录原因、目的及操作内容，指定专人全程陪同。

第五章网络访问管理第十三条第三方人员不允许私自连接学校内部网络。

如果必要，必须提出申请，征得允许后方可接入。

第三方人员连接网络要进行相应登记备案，并签订网络使用安全协议。

第十四条第三方人员如果需要访问网络资源，须提前明确申请要访问资源的类型、范围和方式，以便管理员进行审批，并提供相应的访问权限和访问方法。

除了明确授权可以访问的资源以及相应访问方式以外，其他所有资源和资源访问方式都应该理解为禁止的。

第十五条第三方人员操作服务器或网络设备，必须使用临时帐号，使用之后由相应的管理人员及时清除。

第十六条网络信息管理部门有权对第三方人员在内部网络的活动进行检查、审计和监控。

第六章标准维护与解释第十七条本管理办法由部门信息安全领导小组每年复核一次，在必要时进行修订，并颁发执行。

第十八条本管理办法解释权归信息管理中心。

第三方人员管理制度「篇二」1总则1.1目的为了加强对第三方合作伙伴、人员、系统的安全管理，特制定本管理办法。

1.2范围本规范适用于合肥师范学院在信息安全管理过程中对外来人员和第三方人员的行为规范管理。

1.3职责合肥师范学院第三方信息安全管理由信息技术中心负责，并应按照本办法严格落实。

2管理细则2.1解释（1）本办法所指第三方包括第三方公司、第三方系统、第三方人员：（2）第三方公司是指向我院提供设备、产品、服务的外部公司。

（3）第三方系统是指为我院服务或与我院合作运营的系统。

这些系统可能不在我院机房内，但能通过接口与我院的系统发生数据交互。

（4）第三方人员是指为我院提供开发、测试、运维等服务或参与合作运营系统管理的非本单位人员。

（5）对第三方公司的信息安全管理应遵循如下原则：“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。

2.2总体要求（1）对于与我院开展合作运营的第三方公司，信息技术中心要求其按照相关网络与信息安全的管理规定，严格落实信息安全责任，建立日常安全运维、检查制度，确保不发生信息泄密、重大安全漏洞。

（2）信息技术中心须要求在我院开展现场长期服务的第三方公司，在派驻现场设立专职人员，其主要职责包括：负责按照国家法律及我院的信息安全管理要求，开展派驻现场的安全管理，指导和监督派驻现场人员的信息安全，确保不发生违规行为；接受我院的监督和考核等。

（3）第三方公司信息安全管理人员发生变更时，应在变更前1周将有关变更信息报送我院信息技术中心。

（4）信息技术中心要督促指导第三方公司及人员遵循我院的安全管理制度和规范，将安全要求作为考核内容，纳入双方合作协议，定期组织对第三方安全检查。

2.3第三方公司及人员管理（1）第三方公司必须与我院签订保密协议，在协议中明确第三方公司的保密责任以及违约罚则；第三方公司应与其员工签订保密协议，在协议中明确第三方公司员工的保密责任以及违约罚则。

（2）第三方公司必须严格遵守我院客户服务的要求和规定。

（3）第三方公司在合作过程中，如不可避免地接触到相关敏感信息（下面简称敏感信息），应保证不损害敏感信息的保密性、完整性、可用性、真实性、可核查性、可靠性、防抵赖性。

（4）第三方人员管理的范畴包括临时人员和长期人员：临时人员指因业务洽谈、技术交流、提供短期和不频繁技术支持服务的人员；长期人员指因从事合作开发、参与项目工程建设、提供技术支持或顾问服务的人员。

（5）由第三方公司参与开发并提供服务的业务系统或软件程序，如系统或程序能接触到客户敏感信息，应要求将第三方系统开发文档提交信息技术中心留档，文档应注明分发范围，并要求开发人员、测试人员、项目管理人员严格遵守分发控制要求。

（6）第三方公司参与或独立开发的业务系统或软件程序，应落实版本管理工作，并主动在上线验收前向信息技术中心提交其源代码或代码审计报告、以及安全测试报告，信息技术中心进行备案存档。

（7）第三方公司应对其参与或独立开发的业务系统或软件程序源代码进行妥善保管，严格控制第三方人员访问权限，避免代码泄漏。

2.4第三方接入管理（1）第三方人员进入我院核心区域或者登录我院各业务系统操作时，应严格遵守我院的各项安全管理制度和规范。

（2）第三方人员工作区域与我院的教学、内部办公、维护区域分离，在安全域中划分独立的第三方用户接入区，如系统开发接入区、系统维护接入区等，并应采用更严格的访问控制策略和管控手段。

（3）第三方用户接入区部署的常驻终端，应有严格的接入认证，并满足我院相关终端安全合规性检查标准。

（4）第三方用户接入区内的非常驻终端，需按照相应申请审批流程向信息技术中心申请，并按照我院终端相关安全合规性标准进行检查，获得授权后方可接入，信息技术中心应将申请审批记录备案。

（5）信息技术中心应组织对现场服务的第三方人员终端进行安全审核、检查，不定期抽查。

（6）禁止第三方人员在未授权的情况下通过远程方式接入第三方用户接入区，如第三方人员因特殊情况需要通过远程登录，须经过信息技术中心审批授权后，临时开通远程登录功能，并及时撤销。

远程登录必须通过堡垒机系统等进行集中认证、授权和审计，应遵循权限最小化原则，控制用户访问的系统及权限。

2.5第三方帐号及权限管理（1）第三方人员需与所属公司签订保密协议，报备信息技术中心后，方可申请相关系统帐号（不含超级帐号和系统帐号管理员帐号）、接入或访问我院内部的生产系统以及其他相关信息系统。

（2）第三方人员申请新增或变更帐号时，必须符合专人专号原则、权限最小化原则。

帐号申请应经过信息技术中心审核并批准方可生效，帐号申请授权书应约定使用者、权限、使用期限等事项。

（3）信息技术中心授权的第三方人员临时远程接入帐号，其帐号及权限有效期最长不能超过3天，帐号到期或者接入任务完成后，应及时删除临时帐号并审核。

（4）第三方人员的帐号口令不得使用弱密码。

帐号口令必须是在必要时间或次数内不循环使用。

口令不得以任何形式明文存放于可公共访问的设备或物理界面上，保证帐号口令在传输和存储时的安全。

（5）在运维和运营环节，由于工作需要在一定时间段内频繁接触敏感信息的第三方人员，必须提前获得信息技术中心授权，经审批通过后方可被授予相应权限，信息技术中心应备案申请审批记录及事后审计。

（6）第三方人员访问我院信息系统时，第三方人员的帐号、认证、授权管理和安全审计应纳入堡垒机系统集中管控。

3附件附1：第三方人员保密协议第三方人员管理制度「篇三」第一章总则第一条为规范和加强河北艺术职业学院（以下简称“河北艺校”）对第三方人员的管理、有效防范第三方人员进入河北艺校带来的信息安全风险，制定本制度。

第二章适用范围第二条本制度适用于长期或临时进入河北艺校工作的非河北艺校员工的信息安全管理。

第三章定义和风险第三条本制度所描述的第三方人员包括来自软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等非河北艺校人员。

第三方人员分为临时第三方人员和长期第三方人员。

第四条临时第三方人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的第三方人员。

第五条长期第三方人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务，必须在一定时间内在河北艺校内部办公的第三方人员。

第六条第三方人员的访问方式包括现场访问和远程网络访问。

第七条接待人是指河北艺校相关部门派出的，负责接待和管理第三方人员的员工。

第八条信息安全执行小组负责组织相关管理员定期评估第三方人员带来的信息安全风险，至少每季度评估一次。

必须防范第三方人员带来的以下信息安全风险：1、第三方人员的物理访问带来的设备、资料丢失。

2、第三方人员的误操作导致各种软硬件故障。

3、第三方人员导致的资料、信息外传泄密。

4、第三方人员对计算机系统的滥用和越权访问。

5、第三方人员给计算机系统、软件留下后门。

6、第三方人员对计算机系统的恶意攻击。

第四章进出安全管理第九条临时第三方人员进入河北艺校时，必须按照XXXX相关管理制度流程进行登记后方可进入。

第十条长期第三方人员，在其所在单位签订保密协议后，由接待人按照XXXX 相关管理制度流程代为申请临时出入证。

第三方人员服务期结束或人员更换前，应及时收回临时出入证。

第十一条接待人应向第三方人员告知有关信息安全管理规则，不应透露与第三方人员工作无关的信息，不得任其任意走动和未经允许使用XXXX的计算机设备。

第十二条长期第三方人员工作完成后，由河北艺校组织相关人员对第三方人员的工作进行安全检查和安全评估。

第十三条除预定的工作内容外，接待人员不得为第三方人员安排其他活动。

第十四条对接待人员的接待工作，部门负责人和本部门其他人员有责任进行监督。

第五章安全保密管理第十五条第三方人员必须签署安全保密协议后才能进场工作。

第十六条在确认已与河北艺校签署有效的保密协议的情况下，第三方人员如因业务需要查阅河北艺校资料、文件、实物和访问信息系统，必须获得相关负责人批准并详细登记。