第三方安全管理规定
发布时间:2023年07月07日 点击数:
第一章 总则
第一条为有效控制第三方单位及相关人员可能带来的信息安全风险,加强和规范对第三方的信息安全管理,特制定本规定。
第二条本规定适用于廊坊师范学院教育技术中心部门针对内外部第三方单位及相关人员的信息安全管理。
第三条本规定所述“第三方单位”为廊坊师范学院提供各种支持服务(包括机房基础设施、物理安全、系统开发和运维支持等)的所有外部单位。
第二章 第三方进入风险识别
第四条在第三方与廊坊师范学院及各单位开展合作前,接口部门需负责对第三方进行调查,必要时可进行资质、人员背景等,并填写“第三方调查表”,或根据本部门有关第三方合作的相关管理规定填写相应表格;也可通过工作联系单或其它方式对第三方人员的真实身份进行确认。
第五条第三方接口部门负责识别第三方进入可能带来的信息安全风险,应特别注意:
(一)分析第三方的引入是否适应廊坊师范学院教育技术中心的业务战略及总体信息安全风险控制目标,以及第三方是否有能力满足廊坊师范学院对信息安全风险监管的要求;
(二)第三方是否允许廊坊师范学院对其实施有效的信息安全管理的监督和考核;
(三)充分审查、评估第三方的财务稳定性和专业经验,对第三方进行风险评估,考查第三方提供的资源和能力是否能够弥补风险发生可能为廊坊师范学院带来的潜在损失;
(四)考虑任何可能存在的集中风险,如几家单位共用一家第三方可能带来的潜在的业务连续性风险。
第六条以下为第三方的类型:
(一)基础服务提供商:提供水、电、物业、保洁、安保、监控等服务的单位;
(一)网络服务提供商:提供有线、无线或其它形式的通信线路、数据链路及网络服务的单位,例如电信、移动;
(二)设备维保服务提供商:提供桌面PC电脑、网络设备、主机、小型机及服务器、打印机、扫描仪、空调等硬件及系统的厂商维护;
(三)软件及系统平台维保服务提供商:操作系统、应用套装软件、外购系统平台的厂商维护和问题支持,包括驻场软件开发商,即需要进入受控场所进行短期或中长期软件开发的软件开发商。
(四)咨询审计检查等服务提供商:提供各类IT咨询及审计、检查等服务的服务提供商,包括外部咨询单位、外部审计机构、国家等级保护检查测评单位等。
第七条以下为可能识别出的第三方信息安全风险:
(一)物理访问引起的设备、资料失窃;
(二)误操作导致各种软硬件故障;
(三)资料、信息外传导致泄密;
(四)对信息系统的滥用和越权访问;
(五)给信息系统、软件留下后门;
(六)对信息系统的恶意攻击。
第八条在本规定基础上,对于特定服务内容的第三方(包括软件和硬件等设备供应商和服务提供商、网络通信等服务提供商、IT 系统开发等合作服务提供商、咨询单位、审计和安全检查机构),还需遵循《廊坊师范学院信息系统建设安全管理规定》等其它管理制度,实施进一步的有效管控。
第九条对于涉及国家机密的信息系统建设项目,第三方合作单位资质必须符合国家相关保密制度的要求。
第三章 第三方管控要求
第十条与第三方合作前,若因工作需要向第三方提供秘密资料,应严格进行申请审批,经廊坊师范学院领导批准以后方可向第三方提供,并向其示明保密义务。
第十一条在与第三方进行合作前,接口部门应与第三方签订服务合同或协议,并明确保密的相关要求。对于涉及商业秘密的咨询、谈判、合作开发、资产清查等事项,接口部门应在与第三方签订的合同或协议中,明确定义服务交付物、服务交付等级以及相应的保密和安全控制要求, 并对第三方提供服务的能力进行评定,必要时通过招标方式以确定合格第三方。针对第三方保密的要求应至少包括且不限于以下内容:
(一)与廊坊师范学院有业务往来的第三方,在廊坊师范学院所要求的时间段里应承诺不泄露廊坊师范学院的非公开信息;
(二)第三方应严格遵守廊坊师范学院现有的各项信息安全管理规定;
(三)明确在服务提供期间所涉及知识产权的归属;
(四)明确违反保密协议或保密合同的后果及责任。
第十二条针对各项服务,第三方服务提供单位需提供服务人员的姓名、技术能力评定、联系方式等信息,服务人员需持有效身份证明进入廊坊师范学院的工作现场。
第十三条廊坊师范学院对第三方服务人员在现场或远程服务的工作内容进行记录和检查,记录内容包括时间、地点、联系人、工作安排和预期结果等。记录结果可填写至第三方工作记录单中,各部门也可以根据实际需要建立相关记录。
第十四条廊坊师范学院的第三方接口人员或接口部门信息安全主要负责人应将廊坊师范学院和本部门现有的安全管理规定要求及时全面地对第三方进行告知,并对后果和责任进行充分说明。
第十五条对第三方人员的操作管理要求如下:
(一)第三方人员使用的任何设备必须经由廊坊师范学院认可;
(二)第三方人员使用的接入设备必须与内部网络进行物理或逻辑隔离,或者遵照廊坊师范学院的相关规定执行;
(三)第三方人员工作期间,应确保廊坊师范学院的各类设施资源的完整性;
(四)第三方人员如有需要接入内网,应向接口部门提交申请,接口部门应依据相关规定和具体情况进行处理;
(五)应当对第三方人员的逻辑访问权限实施最小访问原则,接口部门定期对其权限进行检查;
(六)驻场第三方人员在廊坊师范学院工作时,需要由接口部门根据本规定细化落实相应的管理措施,以保障廊坊师范学院的重要信息资产的安全性;
(七)当服务完成之后,第三方人员离开廊坊师范学院时,第三方接口部门或接口人员应及时通知单位相关部门,关闭第三方人员的帐户和所有访问权限;
(八)第三方人员有责任关注并及时报告系统或服务中已发现或疑似的安全弱点或技术薄弱点。
第十六条第三方人员不得擅自进入非指定的区域,具体可参照《廊坊师范学院物理和环境安全管理规定》及相关制度。各部门可根据实际情况针对第三方人员进出重要场所制定相应的管理细则。
第十七条第三方数据借用管理规定
(一)第三方因工作需要借用廊坊师范学院的敏感数据或重要数据的,应向接口部门提交申请并由相关部门进行审批;
(二)第三方所借用的数据信息应遵循明确的使用期限,并满足到期可信删除要求。
第四章 第三方服务管理与检查
第十八条廊坊师范学院教育技术中心负责第三方的整体管理,各部门接口人员和安全员负责第三方的具体日常管理工作。
第十九条对于关键软件开发商、现场软件开发商,廊坊师范学院教育技术中心应会同有关部门和人员进行重点检查和管控。必要时可要求第三方提供其在信息安全管理方面的资证材料并对第三方单位进行实地考察,以验证其提供合同承诺的服务和安全保障的能力。资证材料包括企业的BS7799/ISO27001证书、第三方人员的个人资质证书等。
第二十条第三方接口部门应负责监督、管理和检查第三方服务交付的质量,并定期(不少于每年一次)对第三方进行评审,作为单位管理部门对第三方在合同执行期间服务交付质量的考核依据,用以保证第三方服务及交付的质量和安全性。
第二十一条对于第三方外包开发商所交付的软件产品,应同时参照《廊坊师范学院信息系统建设安全管理规定》的要求进行软件安全性的评估。
第二十二条第三方接口部门应对第三方进行定期信息安全检查,以确保本规定、相应保密协议等信息安全控制措施的有效落实,该检查每年至少进行一次,检查结果应及时报备廊坊师范学院教育技术中心。
第二十三条对于不符合本规定要求的情况,第三方接口部门应责令第三方采取整改措施,并及时通知廊坊师范学院教育技术中心;情节严重时,应通知单位相关部门根据合同或者协议采取相应处罚,直至终止与第三方的合作和追究其相关法律和经济责任。
第二十四条第三方接口部门应对第三方服务的变更以及由此引起的内部变更进行全面管理,评估由于第三方服务变更所带来的影响并及时采取应对措施。如果引起信息系统变更的,应参照相关规定流程进行变更管理。
第五章 附则
第二十五条本制度由教育技术中心负责制订、解释和监督实施。
第二十六条本制度自发布之日起实施。
教育技术中心
2023年7月7日