MHWJW11-第三方安全管理規(guī)范-V1.1-ok

1、MHWJW11-第三方安全管理規(guī)范-VI. l-ok第三方安全管理規(guī)范文檔信息制度編號：解釋部門：制定人：傳閱 生效日期：版次:Verl.l審核人:閱后執(zhí)行并存檔分發(fā)范圍：頁數(shù)：11批準(zhǔn)人：保密保密等級外部公開版本記錄版本號 版本日期 修改者 說明 文件名第三方安全管理規(guī)范第 三方安全管理規(guī)范 XX單位第三方安全管理規(guī)范1總則1.1目的為了加強(qiáng)對第三方合作伙伴、人員、系統(tǒng)的安全管理，防止引入第三方給XX單位帶 來的安全風(fēng)險，特制定本管理辦法。1. 2范圍本規(guī)范適用F XX單位在信息安全管理過程中對外來人員和第三方人員的行為規(guī)范管 理。1.3 職責(zé)XX單位第三方信息安全管理由信息中心負(fù)責(zé)，并應(yīng)按

2、照本辦法嚴(yán)格落實(shí)。2管理細(xì)則1.4 解釋（1）本辦法所指第三方包括第三方公司、第三方系統(tǒng)、第三方人員：（2）第三 方公司是指向XX單位提供設(shè)備、產(chǎn)品、服務(wù)的外部公司。第三方安全管理規(guī)范（3）第三方系統(tǒng)是指為XX單位服務(wù)或與XX單位合作運(yùn)營的系統(tǒng)。這些系統(tǒng)可能不 在XX單位機(jī)房內(nèi)，但能通過接口與XX單位的系統(tǒng)發(fā)生數(shù)據(jù)交互。（4）第三方人員是 指為XX單位提供開發(fā)、測試、運(yùn)維等服務(wù)或參與合作運(yùn)營系統(tǒng)管理的非XX單位人員。（5）對第三方公司的信息安全管理應(yīng)遵循如下原則：“誰主管誰負(fù)責(zé)、誰運(yùn)營誰 負(fù)責(zé)、誰使用誰負(fù)責(zé)、誰接入誰負(fù)責(zé)”的原則。2. 2總體要求（1）對于與衛(wèi)計委開展合作運(yùn)營的第三方公司，信息

3、中心要求其按照XX單位網(wǎng)絡(luò) 與信息安全的管理規(guī)定，嚴(yán)格落實(shí)信息安全責(zé)任，建立日常安全運(yùn)維、檢查制度，確保不 發(fā)生信息泄密、重大安全漏洞。（2）信息中心需要求在衛(wèi)計委開展現(xiàn)場長期服務(wù)的第三方公司，在派駐現(xiàn)場設(shè)立專 職人員，其主要職責(zé)包括：負(fù)責(zé)按照國家及XX單位的信息安全管理要求，開展派駐現(xiàn)場 的安全管理，指導(dǎo)和監(jiān)督派駐現(xiàn)場人員的信息安全，確保不發(fā)生違規(guī)行為；接受衛(wèi)計委的 監(jiān)督和考核等。（3）第三方公司信息安全管理人員發(fā)生變更時，應(yīng)在變更前1周將有關(guān)變更信息報 送XX單位信息中心。（4）信息中心要督促指導(dǎo)第三方公司及人員遵循XX單位的安全管理制度和規(guī)范， 將安全要求作為考核內(nèi)容，納入雙方合作協(xié)議，

4、定期組織對第三方安全檢查。2.3 第三方公司及人員管理（1）第三方公司必須與XX單位簽訂保密協(xié)議，在協(xié)議中明確第三方公司的保密責(zé) 任以及違約罰則：第三方公司應(yīng)與其員工簽訂保密協(xié)議，在協(xié)議中明確第三方公司員工的 保密責(zé)任以及違約罰則。（2）第三方公司必須嚴(yán)格遵守XX單位服務(wù)的要求和規(guī)定。第三方安全管理規(guī)范（3）第三方公司在合作過程中，如不可避免地接觸到XX單位數(shù)據(jù)資料、經(jīng)營信息 等各類敏感信息及商業(yè)秘密（下面簡稱敏感信息），應(yīng)保證不損害敏感信息的保密性、完 整性、可用性、真實(shí)性、可核查性、可靠性、防抵賴性。（4）第三方人員管理的范疇包括臨時人員和長期人員：臨時人員指因業(yè)務(wù)洽談、技 術(shù)交流、提供短

5、期和不頻繁技術(shù)支持服務(wù)的人員：長期人員指因從事合作開發(fā)、參與項(xiàng)目 工程建設(shè)、提供技術(shù)支持或顧問服務(wù)的人員。（5）由第三方公司參與開發(fā)并提供服務(wù) 的業(yè)務(wù)系統(tǒng)或軟件程序，如系統(tǒng)或程序能接觸到客戶敏感信息，應(yīng)要求將第三方系統(tǒng)開發(fā) 文檔提交信息中心留檔，文檔應(yīng)注明分發(fā)范圍，并要求開發(fā)人員、測試人員、項(xiàng)目管理人 員嚴(yán)格遵守分發(fā)控制要求。（6）第三方公司參與或獨(dú)立開發(fā)的業(yè)務(wù)系統(tǒng)或軟件程序，應(yīng)落實(shí)版本管理工作，并 主動在上線驗(yàn)收前向信息中心提交其源代碼或代碼審計報告、以及安全測試報告，信息中 心進(jìn)行備案存檔。（7）第三方公司應(yīng)對其參與或獨(dú)立開發(fā)的業(yè)務(wù)系統(tǒng)或軟件程序源代碼進(jìn)行妥善保管, 嚴(yán)格控制第三方人員訪問

6、權(quán)限，避免代碼泄漏。2.4 第三方安全域及防護(hù)要求（1）根據(jù)XX單位網(wǎng)絡(luò)與系統(tǒng)的安全域劃分技術(shù)要求，與第三方公司相關(guān)聯(lián)的安全 域應(yīng)設(shè)置為：核心業(yè)務(wù)區(qū)、第三方用戶接入?yún)^(qū)（系統(tǒng)開發(fā)接入?yún)^(qū)、系統(tǒng)維護(hù)接入?yún)^(qū)）。（2）數(shù)據(jù)核心區(qū)安全級別最高，放置重要的設(shè)備和系統(tǒng)，包含但不限尸提供關(guān)鍵應(yīng) 用的應(yīng)用服務(wù)器、保存機(jī)密信息的數(shù)據(jù)庫服務(wù)器，以及具有管理權(quán)限的管理控制臺和服務(wù)。（3）第三方用戶接入?yún)^(qū)是第三方人員（包含但不限于第三方維護(hù)人員、第三方開發(fā) 人員等）終端接入的區(qū)域。第三方接入?yún)^(qū)不能直接訪問數(shù)據(jù)核心安全區(qū)，需經(jīng)批準(zhǔn)后通過 堡壘主機(jī)嚴(yán)格控制。第三方安全管理規(guī)范2. 5第三方接入管理（1）第三方人員進(jìn)入XX單位

7、核心區(qū)域或者登錄XX單位各業(yè)務(wù)系統(tǒng)操作時，應(yīng)嚴(yán)格 遵守XX單位的各項(xiàng)安全管理制度和規(guī)范。（2）第三方人員工作區(qū)域與XX單位的業(yè)務(wù)、內(nèi)部辦公、維護(hù)區(qū)域分離，在安全域 中劃分獨(dú)立的第三方用戶接入?yún)^(qū)，如系統(tǒng)開發(fā)接入?yún)^(qū)、系統(tǒng)維護(hù)接入?yún)^(qū)等，并應(yīng)采用更嚴(yán) 格的訪問控制策略和管控手段。（3）第三方用戶接入?yún)^(qū)部署的常駐終端，應(yīng)有嚴(yán)格的接入認(rèn)證，并滿足XX單位相 關(guān)終端安全合規(guī)性檢查標(biāo)準(zhǔn)。（4）第三方用戶接入?yún)^(qū)內(nèi)的非常駐終端，需按照相應(yīng)申請審批流程向信息中心申請, 并按照XX單位終端相關(guān)安全合規(guī)性標(biāo)準(zhǔn)進(jìn)行檢查，獲得授權(quán)后方可接入，信息中心應(yīng)將 申請審批記錄備案。（5）信息中心應(yīng)組織對現(xiàn)場服務(wù)的第三方人員終端進(jìn)行

8、安全審核、檢查，不定期抽 查。（6）禁止第三方人員在未授權(quán)的情況下通過遠(yuǎn)程方式接入第三方用戶接入?yún)^(qū)，如第 三方人員因特殊情況需要通過遠(yuǎn)程登錄，須經(jīng)過信息中心審批授權(quán)后，臨時開通遠(yuǎn)程登錄 功能，并及時撤銷。遠(yuǎn)程登錄必須通過堡壘機(jī)系統(tǒng)等進(jìn)行集中認(rèn)證、授權(quán)和審計，應(yīng)遵循 權(quán)限最小化原則，控制用戶訪問的系統(tǒng)及權(quán)限。2. 6第三方帳號及權(quán)限管理（1）第三方人員需與所屬公司簽訂保密協(xié)議，報備信息中心后，方可申請相關(guān)系統(tǒng) 帳號（不含超級帳號和系統(tǒng)帳號管理員帳號）、接入或訪問XX單位內(nèi)部的生產(chǎn)系統(tǒng)以及 其他相關(guān)信息系統(tǒng)。（2）第三方人員申請新增或變更帳號時，必須符合專人專號原則、權(quán)限最小化原則。 帳號申請應(yīng)經(jīng)

9、過信息中心審核并批準(zhǔn)方可生效，帳號申請授權(quán)書應(yīng)約定使用者、權(quán)限、使 用期限等事項(xiàng)。第三方安全管理規(guī)范（3）信息中心授權(quán)的第三方人員臨時遠(yuǎn)程接入帳號，其帳號及權(quán)限有效期最長不能 超過3天，帳號到期或者接入任務(wù)完成后，應(yīng)及時刪除臨時帳號并審核。（4）第三方人員的帳號口令不得使用弱密碼。帳號口令必須是在必要時間或次數(shù)內(nèi) 不循環(huán)使用。口令不得以任何形式明文存放F可公共訪問的設(shè)備或物理界面上，保證帳號 口令在傳輸和存儲時的安全。（5）在運(yùn)維和運(yùn)營環(huán)節(jié)，由于工作需要在一定時間段內(nèi)頻繁接觸敏感信息的第三方 人員，必須提前獲得信息中心授權(quán)，經(jīng)審批通過后方可被授予相應(yīng)權(quán)限，信息中心應(yīng)備案 申請審批記錄及事后審計。（6）第三方人員訪問XX單位信息系統(tǒng)時，第三方人員的帳號、認(rèn)證、授權(quán)管理和 安全審計應(yīng)納入堡壘機(jī)系統(tǒng)集中管控。3附件附1：第三方人員保密協(xié)議第三方