MHWJW11 第三方安全管理规范 V1.1 ok

mhwjw11-第三方安全管理规范-v1.1-ok

第三方安全管理规范

文档信息

体系编号：解释部门：编制人：传阅生效日期：版本：ver1 1审核人：

阅后执行并存档分发范围:页数:11批准人:

机密级别外部公开版本记录

版本号版本日期修改者说明文件名第三方安全管理规范第三方安全管理规范xx单位第三方安全管理规范

1概述

1.1目的

为加强第三方合作伙伴、人员和系统的安全管理，防止第三方引入给XX单位带来安全风险，特制定本管理办法。

1.2范围

本规范适用于XX单位外部人员和第三方人员在信息安全管理过程中的行为规范管理。

1.3职责

信息中心负责XX单位第三方信息安全管理，并严格按照本办法执行。

2管理细则

2.1解释

（1）本办法所指第三方包括第三方公司、第三方系统、第三方人员：（2）第三方公司是指向xx单位提供设备、产品、服务的外部公司。

第三方安全管理规范

（3）第三方系统是指为xx单位服务或与xx单位合作运营的系统。这些系统可能不在xx单位机房内，但能通过接口与xx单位的系统发生数据交互。（4）第三方人员是指为xx单位提供开发、测试、运维等服务或参与合作运营系统管理的非xx单位人员。

（5） 第三方公司的信息安全管理应遵循“谁负责、谁操作、谁使用、谁访问”的原则。

2.2总体要求

（1） 对于与卫生和计划生育委员会合作的第三方公司，信息中心要求其严格履行信息安全职责，按照XX单位《网络和信息安全管理规定》建立日常安全运行维护和检查制度，以确保不存在信息泄露和重大安全漏洞。

（2）信息中心需要求在卫计委开展现场长期服务的第三方公司，在派驻现场设立专职人员，其主要职责包括：负责按照国家及xx单位的信息安全管理要求，开展派驻现场的安全管理，指导和监督派驻现场人员的信息安全，确保不发生违规行为；接受卫计委的监督和考核等。

（3） 第三方公司信息安全管理人员发生变更时，应在变更前一周将相关变更信息报送XX单位信息中心。

（4）信息中心要督促指导第三方公司及人员遵循xx单位的安全管理制度和规范，将安全要求作为考核内容，纳入双方合作协议，定期组织对第三方安全检查。

2.3第三方公司和人员管理

（1）第三方公司必须与xx单位签订保密协议，在协议中明确第三方公司的保密责任以及违约罚则；第三方公司应与其员工签订保密协议，在协议中明确第三方公司员工的保密责任以及违约罚则。

（2） 第三方公司必须严格遵守XX单位的服务要求和规定。

第三方安全管理规范

（3） 在合作过程中，如果第三方公司不可避免地接触到XX单位的数据、商业信息及其他敏感信息和商业秘密（以下简称敏感信息），则应确保其保密性、完整性、可用性、真实性、可验证性，敏感信息的可靠性和不可否认性不受损害。

（4）第三方人员管理的范畴包括临时人员和长期人员：临时人员指因业务洽谈、技术交流、提供短期和不频繁技术支持服务的人员；长期人员指因从事合作开发、参与项目工程建设、提供技术支持或顾问服务的人员。（5）由第三方公司参与开发并提供服务的业务系统或软件程序，如系统或程序能接触到客户敏感信息，应要求将第三方系统开发文档提交信息中心留档，文档应注明分发范围，并要求开发人员、测试人员、项目管理人员严格遵守分发控制要求。

（6） 第三方公司参与或独立开发的业务系统或软件程序应实施版本管理，并在联机验收前主动向信息中心提交源代码或代码审计报告和安全测试报告，信息中心应予以归档。

（7）第三方公司应对其参与或独立开发的业务系统或软件程序源代码进行妥善保管，严格控制第三方人员访问权限，避免代码泄漏。

2.4第三方安全域和保护要求

（1）根据xx单位网络与系统的安全域划分技术要求，与第三方公司相关联的安全域应设置为：核心业务区、第三方用户接入区（系统开发接入区、系统维护接入区）。

（2） 数据核心区域具有最高的安全级别，放置重要的设备和系统，包括但不限于提供关键应用程序的应用服务器、存储机密信息的数据库服务器，以及具有管理权限的管理控制台和服务。

（3）第三方用户接入区是第三方人员（包含但不限于第三方维护人员、第三方开发人员等）终端接入的区域。第三方接入区不能直接访问数据核心安全区，需经批准后通过堡垒主机严格控制。

第三方安全管理规范

2.5第三方接入管理

（1） 第三方人员进入XX单位核心区域或登录XX单位业务系统进行操作时，应严格遵守XX单位的安全管理制度和规范。

（2）第三方人员工作区域与xx单位的业务、内部办公、维护区域分离，在安全域中划分独立的第三方用户接入区，如系统开发接入区、系统维护接入区等，并应采用更严格的访问控制策略和管控手段。

（3） 部署在第三方用户接入区的常驻终端应具有严格的接入认证，并符合XX单位相关终端安全合规性检查标准。

（4）第三方用户接入区内的非常驻终端，需按照相应申请审批流程向信息中心申请，并按照xx单位终端相关安全合规性标准进行检查，获得授权后方可接入，信息中心应将

申请审批记录备案。

（5） 信息中心应组织对现场服务的第三方人员的终端进行安全审计和检查，并随时进行抽查。

（6）禁止第三方人员在未授权的情况下通过远程方式接入第三方用户接入区，如第三方人员因特殊情况需要通过远程登录，须经过信息中心审批授权后，临时开通远程登录功能，并及时撤销。远程登录必须通过堡垒机系统等进行集中认证、授权和审计，应遵循权限最小化原则，控制用户访问的系统及权限。

2.6第三方账户和权限管理

（1）第三方人员需与所属公司签订保密协议，报备信息中心后，方可申请相关系统帐号（不含超级帐号和系统帐号管理员帐号）、接入或访问xx单位内部的生产系统以及其他相关信息系统。

（2） 第三方申请增加或变更账号时，必须遵循专人原则和权限最小化原则。账户申请经信息中心审核批准后生效。账户申请授权书应当载明用户、权限、服务期限等事项。

第三方安全管理规范

（3） 信息中心授权的第三方人员临时远程访问账号，账号和权限的有效期不超过3天。账户到期或访问任务完成后，应及时删除并审核临时账户。

（4）第三方人员的帐号口令不得使用弱密码。帐号口令必须是在必要时间或次数内不循环使用。口令不得以任何形式明文存放于可公共访问的设备或物理界面上，保证帐号口令在传输和存储时的安全。

（5） 在运维和运营环节，需要在一定时间内频繁接触敏感信息的第三方人员必须事先获得信息中心的授权，经批准后方可授予相应权限。信息中心应记录申请批准记录和后审核。

（6）第三方人员访问xx单位信息系统时，第三方人员的帐号、认证、授权管理和安全审计应纳入堡垒机系统集中管控。

3附件

附1：第三方人员保密协议

第三方人员保密协议

甲方：乙方：

为保护甲乙双方商业技术合作中涉及的专有信息（定义见本协议第2条），经友好协商，甲乙双方签订以下协议：

1、签约责任人：双方就专有信息的传授和接受事宜而协调的首要责任人。（1）甲方责任人：（2）乙方责任人：2、专有信息的定义：