XXXX 信息安全管理体系文档XX外部人员安全管理制度编号:二 OXX 年十月编号 : 版本控制信息目录目录 B1.目的 12.适用范围 13.术语定义 14.职责与权限 15.政策 26.工作程序 26.1 第三方安全管理 26.2 长期供应商管理 46.2.1 资格认定 46.2.2 年度考核 56.3.3 等级评定 56.3.4 资料管理 56.3 单一项目供应商管理 57.检查监督 68.附件及相关文件 6编号:第 5 页共 8 页1.目的为加强对公司信息化相关第三方机构或个人的管理,规范第三方机构或个人行为,防范第三方机构或个人带来的信息安全风险,维护公司合法权益,特制定本细则。2.适用范围本细则适用于所有与公司信息化相关的第三方机构或个人的管理。3.术语定义第三方:与公司有合作关系或尚未建立合作关系的软硬件供应商、服务商、银行、电信等机构或个人。长期供应商:指合作项目为在一定时间内定期或不定期提供产品或服务的厂商,公司对该项产品或服务可能在 2 年或 2 年以上时间都有一定需求,包括系统维护服务供应商、办公电脑供应商、软件维护供应商等。单一项目供应商:合作项目为在固定期限内提供一批或几批有固定要求的产品或服务的厂商,包括单一项目硬件产品供应商、单一软件产品开发外包商等。4.职责与权限部门/岗位职责不相容职责4.1 信息技术中心4.1.1 负责长期供应商、单一项目供应商管理;4.1.2 负责第二方电脑接入审核;无4.2 公司各部室、各分支机构4.2.1 遵守公司制度,协调第三方机构签署“信息安全保密协议”;4.2.2 所接待的外部机构或个人的外部电脑需接入时,依据有关要求实施审核;4.2.3 配合信息技术中心对长期供应商进行考无4.3 信息技术中心供应商管理员4.3.1 负责长期供应商资格认定、年度考核等管理;4.3.2 妥善保管供应商相关档案。无4.4 经纪业务各中4.4.1 负责本部外部人员访问信息资源审核;无编号:第 2 页共 8 页部门/岗位职责不相容职责心、各证券营业部电脑人员4.4.2 负责本部第二方电脑接入审核。4.5 接口部门的分管公司领导4.5.1 如第三方需要访问敏感数据,接口部门的分管公司领导负责审核访问申请。无4.6 信息技术中心分管公司领导461 如第三方需要访问敏感数据,由分管信息技术中心的公司领导负责审批访问申请。无第 3 页共 8 页阶段流程说明和控制要求责任部门/冈位控制要点支持文件/记录1.访问1.1 外部接入申请人提出申请,填写外部人员网安公司访前准备“网安公司访问信息资源申请表...
