概述

围绕外部人员入XX科技(合作前)、在XX科技(合作中)、离开XX科技(合作后)三个阶段,详细阐述三个阶段中可能涉及的、且必须遵循的信息安全管理要求及具体操作。

在XX科技工作的外部人员应遵守XX科技所有信息安全管理要求,接口部门应给予必要的指导与协助,以便于外部人员在遵守XX科技信息安全管理要求的前提下获取必要的工作资源。

重点讲述适用于外部人员的特殊要求,对于可能涉及的通用性要求,将注明该要求所在的文件名称,请根据需要自行查阅。

本文中的要求是外部人员管理的基线要求,如各体系、部门有差异化的要求,则按差异化的要求管理。

目的

明确在XX科技办公的外部人员需要遵循的信息安全管理要求,指导接口部门对外部人员进行信息安全管理,避免接口部门或外部人员因不了解信息安全要求而导致的信息资产泄密。

术语

名称

定义

外部人员

指与XX科技有业务往来但不与XX直接或间接控制的全资子公司签订聘用协议的人员。包括:

1)如:租赁公司员工、咨询公司顾问、业务外包公司员工、独立工作者、实习生、开放平台合作人员等;

2)因各种原因需要临时来访进入公司办公区域、工作场所的人员,如:客户、供应商人员、其他来访或参观人员等。

接口部门

负责外部人员在公司所从事的业务活动或者接待其临时来访,直接管理其在公司业务的部门。部分场合也称接待部门。

长期驻留

指因工作需要在公司同一地区连续驻留超过一个月(含)的情况。

临时来访

指因各种原因需要临时(连续驻留时间低于一个月)进入公司办公区域、工作场所的情况。

部门/角色的职责

部门/角色

职责

接口部门

作为外部人员在XX科技办公期间信息安全管理的责任部门:

指定相关的XX员工对外部人员进行日常信息安全管理与监督;

根据业务的敏感程度组织背景调查、签署保密协议、安全培训;

对外部人员需要的相关资源代为申请;

协助对违规的外部人员及其所属的组织进行违规问责。

外部人员

在XX科技办公期间遵守XX科技信息安全的相关要求;

对接触到的XX科技的相关保密信息承担保密责任;

配合XX科技进行违规调查。

操作说明

合作前

人员管理

1、因工作需要在XX科技长期驻留的外部人员,接口部门应根据业务需要,与其所属组织签署保密协议;如合作事项涉及敏感信息,接口部门视业务需要与外部人员签署个人保密承诺。

2、接口部门视业务需要对外部人员进行信息安全相关的背景调查,或要求外部人员所属合作单位提供其背景调查的结果,并将调查结果归档在所属信管办。背景调查操作请参考《外部人员背景调查模板》执行。

3、接口部门对外部人员在XX科技办公期间的信息安全管理承担管理和监督责任,需指定专人负责外部人员日常信息安全管理,并组织本部门相关员工知悉本文件要求,以便在后续工作中指导和协助外部人员,在遵守XX科技信息安全管理要求的前提下开展工作或获取必要的工作资源。

4、接口部门应与当地采购、法务部门沟通后,在与合作单位或个人签署的合同或协议条款中明确约定:

  • 对外部人员及所属公司的信息安全管理要求
  • 因外部人员信息安全违规导致的处罚措施。
  • 如果外部人员的办公计算机由其所属公司提供,应明确告知XX安全软件的安装要求和合作业务结束后XX信息资产的清理要求。

5、接口部门应针对外部人员在XX科技办公期间可能会涉及到的相关信息安全要求、流程进行培训,必要时发放宣传材料或者信息安全手册,也可通过合作单位对其人员进行信息安全培训或考试。如接口部门未对外部人员尽到信息安全告知职责,则需承担管理责任。

物理环境

1、接口部门应根据外部人员与XX科技的业务性质申请卡证,并视情况为外部人员申请所在办公区域门禁权限,门禁权限的申请和授予应遵循"最小授权"原则。

办公计算机

1、外部人员在XX科技的办公计算机(含XX科技提供的、合作单位提供的或外部人员自带的),均需在符合XX科技环境分级管理要求的前提下管理和使用。

2、外部人员在与XX科技办公期间如需接触绝密、机密级信息资产,应使用XX科技提供的办公计算机;业务也可以根据需要采用专用电脑供外部人员查阅文件并限制端口权限;特殊情况,由云中心安全合规组协助业务分析风险并制定管理细则。

3、合作单位或外部人员自带的办公计算机需要接入XX科技网络时,接口部门应提前告知外部人员:外部计算机一旦开始用于处理XX科技相关办公活动并承载XX信息,则该计算机只允许用于XX业务相关的活动。XX对该计算机上承载的信息具有所有权,为保障XX科技信息资安全和IT资源不被滥用有权对该计算机的使用进行监控,请遵守XX科技相关政策与行为规范。若外部人员拒绝XX对该计算机的使用进行监控,应向该外部人员提供XX配备的计算机开展相关办公活动。

合作中

人员管理

1、接口部门可根据外部人员参与的合作业务,对外部人员进行定期的信息安全培训。

2、对于临时来访的外部人员,接口部门应安排专人全程陪同。结束业务活动后,接待人员应陪送外部人员离开陪同区域。如外部人员在XX科技还有其他业务活动需要停留时,则应与相应部门进行接待任务交接。

3、外部人员不应担任可接触XX科技核心资产或关键信息资产的机要岗位。特殊情况下须制定过渡及整改计划,经过二层主管批准,并在信息安全部备案。

4、如外部人员在与XX科技的合作中,接口部门发生变化(包括但不限于:切换项目、项目结束后转其他项目),原接口部门应及时审视该员工的信息资产访问权限,并与相应部门进行账号管理责任人的交接或注销其IT账号。

5、如发现与外部人员有关联的信息安全风险隐患或事件,接口部门应及时向所属信管办报告。

6、如发生与外部人员有关联的信息安全事件,在XX科技相关部门进行调查时,外部人员及其所在公司有责任配合XX科技的调查。外部人员的违规等级,按照《信息安全违规定级及问责标准》进行认定。信息安全管理部门确定违规等级后,由接口部门和相关外部组织或人员的认证、接洽部门(如采购部门)根据合同或协议条款给出处罚建议,并按相关流程处理。对于违反国家法律的外部人员,会同违规人员所属公司将违规者移交司法机关,并根据违规人员给公司造成的具体情况由合作单位赔偿损失。

物理环境

1、外部人员在XX科技工作场所或园区的出入遵循《XX科技人员出入安全管理规定》。

2、外部人员只允许进入工作相关或来访目的相关的区域,不得进入其他区域。如临时有特殊需要的,须由接口部门人员陪同前往。

3、外部人员不得携带个人便携机进出黄区,特殊情况下需遵循XX数据中心相关管理要求通过例外流程审批。

4、XX科技限制对办公区域摄影、摄像或录音。如有特殊原因需要拍照或录像的,须在"拍照和录像申请"流程中申请(流程链接请见附录)。

办公计算机

1、在XX科技工作期间,如需接入XX科技网络(含合作单位提供的或外部人员自带的办公计算机),或使用XX科技的办公计算机、应用系统或存储介质的,应遵循XX科技《办公计算机、网络、应用系统、存储介质及办公外设安全管理规定》。

2、外部人员使用自带便携机等设备接入公司网络,其自带便携机需安装XX要求的相关内控工具,且在结束与XX科技的合作业务前不应私自卸载。

3、使用XX科技提供的计算机办公时,如果标准配置不能满足工作需求,外部人员可向接口部门反馈需求,须避免私自安装第三方软件可能导致的版权纠纷。;涉及网络安全的软件在"信息安全权限申请"流程中申请。

IT 资源

1、临时来访人员不允许授予任何IT资源访问权限,如有需要可由接口人员临时协助解决。长期驻留的外部人员的IT资源账号及权限申请参考《用户账号权限管理规定》。

2、外部人员在XX科技所需使用的资源,均依赖于从XX科技申请获取的各类账号/ID、密码、卡证等身份识别和授权凭证进行访问授权,获得这些授权的同时也需承担相应的责任,应妥善保管,禁止如借用、互相交换等行为。

信息资产

1、部人员在XX工作期间需要访问的信息由信息责任人审批开放。

  • 绝密、机密级信息资产严格受控,由信息生成方(含以上)主管确认;
  • 因业务需要的秘密级信息资产,可由信息责任人在一定期限范围内授予;
  • 属于工作相关的内部公开信息默认允许外部人员访问。

2、信息责任人在给外部人员授予信息资产前,应充分评估该资产遗失或扩散后所带来的风险,谨慎授予。

3、接口部门向外部人员提供业务必须的公司保密信息时,接口人应当面或通过电话、邮件方式提醒外部人员注意保密,履行保密告知义务;如向外部人员提供含保密信息的纸件/电子文档时,应注明"XX保密信息,未经授权禁止扩散"类似字样。

4、外部人员在合作期间接触、产生的保密信息,应在预先申明的范围内使用。未经XX科技许可,不得私自通过任何方式(包括但不限于拷贝、邮件、网盘、网络共享、传真、打印、拍照、录音、录像、存储介质、Proxy等)将XX信息资产传递或扩散到XX科技外部。特殊情况需传递的,应按集团或部门对外数据传输流程处理。

5、外部人员在XX工作期间所获取的XX科技信息资产,如工作不再需要,接口部门须及时取消权限。

合作后

1、外部人员在XX科技的合作业务结束后,对于合作业务中产生的信息资产,接口部门应按照合作协议予以处置,涉及公司敏感信息的,应予以回收或销毁。

2、外部人员在XX科技的业务结束离开XX科技时,接口部门须及时回收XX科技发放的各类资源,包括但不限于各种信息资产、账号、ID、权限、卡证、办公计算机等。

3、当外部人员在XX科技的合作业务结束,其自带的办公计算机或终端搬离XX科技时,必须低级格式化其中所包含的所有存储介质。特殊情况不能按要求低级格式化的,须得到接口部门主管和信息安全管理部门的批准。

  • 无标签
写评论...