大学信息管理中心外部人员安全管理规定.docx

大学信息管理中心外部人员安全管理规定第一章总则第一条为加强对外部人员在*大学信息管理中心（以下简称中心）的信息安全管理，防范外部人员带来的信息安全风险，规范外部人员在中心信息系统中的各项与信息系统相关的活动所要遵守的行为准则，特制定本规定。第二条本规定适用于中心的外部人员安全管理工作。第二章定义第三条本规定中外部人员包括软件开发商、产品供应商、系统集成商、设备维护商、服务提供商、业务合作伙伴、临时雇工、实习生等外来人员，外部人员分为临时外部人员和非临时外部人员。（一）临时外部人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的外部人员；（二）非临时外部人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务，必须在相关单位办公的外部人员O第四条接待人是指中心受访部门派出的、负责接待外部人员的接口人。第三章外部人员风险识别第五条各部门在与外部人员进行接触过程中，应防范外部人员对于中心可能带来的各类信息安全风险，这些风险包括但不限于如下内容：（一）外部人员的物理访问带来的设备、资料盗窃；（二）外部人员的误操作导致各种软硬件故障；（三）外部人员对资料、信息管理不当导致敏感信息泄露;（四）外部人员对计算机系统的滥用和越权访问；（五）外部人员给计算机系统、软件留下后门；（六）外部人员对计算机系统的恶意攻击。第四章外部人员管理要求第六条临时外部人员进入中心时，接待人必须全程陪同，告知有关安全管理规定，未经允许不得使用中心的计算机和电子网络设备。第七条非临时外部人员必须签署安全保密协议后才能进场工作。禁止外部人员试图了解和查阅与工作无关的汉办资料以及访问与工作无关的信息系统。第八条业务洽谈和技术交流应当会议室进行，招标、谈判等正式洽谈和重大项目的会谈应当在专门的会议室进行，不得在办公区域内进行。第九条外部人员进入机房等重要区域时，应遵从机房环境安全管理规定等相关规定。第十条未经相关领导许可，外部人员不得在办公区域、设备间、机房等关键区域摄影、拍照。第十一条在未经中心相关部门主管领导的审核审批的情况下，禁止外部人员了解和查阅中心的敏感、重要信息、文档等。第十二条外部人员如因业务需要查阅中心敏感资料或访问中心网络和信息系统资源，必须经过中心安全管理员批准并详细登记。第十三条未经允许，禁止外部人员远程访问中心网络。如确因工作需要（例如维护、故障处理）需要远程访问，必须经中心安全管理员批准并详细登记。第十四条外部人员在机房内的所有操作，都必需说明该操作可能引起的安全风险，并由接待人认可后才能操作。接待人必须对外部人员的操作进行全程监控，记录外部人员的操作内容并存档备案。第十五条外部人员对机房附属设备（如空调、UPS等）的维护和保养，事先要由接待人员上报中心相关部门主管领导批准后选择合适的时间进行，确保操作不影响中心系统的正常运行。第十六条未经批准，禁止外部人员携带移动存储介质进入机房。第十七条外部人员如因工作需要使用移动存储介质，必须在接待人的监控下使用，由此而产生的安全风险由接待人承担。第五章附则第十八条本规定由信息安全工作组负责解释和修订。第十九条本规定自发布之日起执行。