第一章總則   

第一條為規(guī)范和加強(qiáng)河北藝術(shù)職業(yè)學(xué)院（以下簡(jiǎn)稱“河北藝?！保?duì)第三方人員的管理、有效防范第三方人員進(jìn)入河北藝校帶來的信息安全風(fēng)險(xiǎn)，制定本制度。   

第二章適用范圍   

第二條本制度適用于長(zhǎng)期或臨時(shí)進(jìn)入河北藝校工作的非河北藝校員工的信息安全管理。   

第三章定義和風(fēng)險(xiǎn)   

第三條本制度所描述的第三方人員包括來自軟件開發(fā)商、產(chǎn)品供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商和服務(wù)提供商等非河北藝校人員。第三方人員分為臨時(shí)第三方人員和長(zhǎng)期第三方人員。   

第四條臨時(shí)第三方人員指因業(yè)務(wù)洽談、技術(shù)交流、提供短期和不頻繁的技術(shù)支持服務(wù)而臨時(shí)來訪的第三方人員。   

第五條長(zhǎng)期第三方人員指因從事合作開發(fā)、參與項(xiàng)目工程、提供技術(shù)支持或顧問服務(wù)，必須在一定時(shí)間內(nèi)在河北藝校內(nèi)部辦公的第三方人員。   

第六條第三方人員的訪問方式包括現(xiàn)場(chǎng)訪問和遠(yuǎn)程網(wǎng)絡(luò)訪問。   

第七條接待人是指河北藝校相關(guān)部門派出的，負(fù)責(zé)接待和管理第三方人員的員工。   

第八條信息安全執(zhí)行小組負(fù)責(zé)組織相關(guān)管理員定期評(píng)估第三方人員帶來的信息安全風(fēng)險(xiǎn)，至少每季度評(píng)估一次。必須防范第三方人員帶來的以下信息安全風(fēng)險(xiǎn)：   

1、第三方人員的物理訪問帶來的設(shè)備、資料丟失。   

2、第三方人員的誤操作導(dǎo)致各種軟硬件故障。   

3、第三方人員導(dǎo)致的資料、信息外傳泄密。   

4、第三方人員對(duì)計(jì)算機(jī)系統(tǒng)的濫用和越權(quán)訪問。   

5、第三方人員給計(jì)算機(jī)系統(tǒng)、軟件留下后門。   

6、第三方人員對(duì)計(jì)算機(jī)系統(tǒng)的惡意攻擊。   

第四章進(jìn)出安全管理   

第九條臨時(shí)第三方人員進(jìn)入河北藝校時(shí)，必須按照XXXX相關(guān)管理制度流程進(jìn)行登記后方可進(jìn)入。   

第十條長(zhǎng)期第三方人員，在其所在單位簽訂保密協(xié)議后，由接待人按照XXXX相關(guān)管理制度流程代為申請(qǐng)臨時(shí)出入證。第三方人員服務(wù)期結(jié)束或人員更換前，應(yīng)及時(shí)收回臨時(shí)出入證。   

第十一條接待人應(yīng)向第三方人員告知有關(guān)信息安全管理規(guī)則，不應(yīng)透露與第三方人員工作無關(guān)的信息，不得任其任意走動(dòng)和未經(jīng)允許使用XXXX的計(jì)算機(jī)設(shè)備。   

第十二條長(zhǎng)期第三方人員工作完成后，由河北藝校組織相關(guān)人員對(duì)第三方人員的工作進(jìn)行安全檢查和安全評(píng)估。   

第十三條除預(yù)定的工作內(nèi)容外，接待人員不得為第三方人員安排其他活動(dòng)。   

第十四條對(duì)接待人員的接待工作，部門負(fù)責(zé)人和本部門其他人員有責(zé)任進(jìn)行監(jiān)督。   

第五章安全保密管理   

第十五條第三方人員必須簽署安全保密協(xié)議后才能進(jìn)場(chǎng)工作。   

第十六條在確認(rèn)已與河北藝校簽署有效的保密協(xié)議的情況下，第三方人員如因業(yè)務(wù)需要查閱河北藝校資料、文件、實(shí)物和訪問信息系統(tǒng)，必須獲得相關(guān)負(fù)責(zé)人批準(zhǔn)并詳細(xì)登記。提供資料時(shí)應(yīng)由河北藝校開具清單請(qǐng)第三方人員簽收，簽收清單由資料提供部門妥善保存。   

第十七條未經(jīng)批準(zhǔn)，禁止第三方人員攜帶移動(dòng)設(shè)備或移動(dòng)存儲(chǔ)介質(zhì)進(jìn)入河北藝校，移動(dòng)存儲(chǔ)介質(zhì)必須在接待人的監(jiān)控下使用。   

第十八條未經(jīng)許可，第三方人員不得在辦公區(qū)域和機(jī)房?jī)?nèi)攝影、拍照。攝影和拍照內(nèi)容要經(jīng)過主管領(lǐng)導(dǎo)許可和接待人確認(rèn)。接待人需要對(duì)拍攝內(nèi)容審核。   

第十九條禁止第三方人員試圖了解和查閱與工作無關(guān)的河北藝校其他資料。   

第二十條第三方人員必須遵守與河北藝校簽訂的保密協(xié)議，嚴(yán)禁向任何人員透露河北藝校內(nèi)部敏感信息。   

第六章安全操作管理   

第二十一條未經(jīng)批準(zhǔn)禁止第三方人員攜帶的計(jì)算機(jī)接入河北藝校內(nèi)部網(wǎng)絡(luò)。   

第二十二條第三方人員如業(yè)務(wù)需要必須接入河北藝校內(nèi)部網(wǎng)絡(luò)的，必須由網(wǎng)絡(luò)管理員為其分配固定IP以便進(jìn)行管理，并報(bào)安全管理員審核并備案。   

第二十三條第三方人員開發(fā)測(cè)試環(huán)境只能連接測(cè)試網(wǎng)，且必需采用防火墻進(jìn)行有效隔離，嚴(yán)禁接入信息系統(tǒng)實(shí)際運(yùn)行環(huán)境。確需在線測(cè)試的項(xiàng)目，應(yīng)上報(bào)信息安全執(zhí)行小組批準(zhǔn)，由安全管理員進(jìn)行備案，采取必要的防護(hù)措施，選擇適當(dāng)?shù)臅r(shí)間進(jìn)行。   

第二十四條第三方人員如因維護(hù)工作而需要遠(yuǎn)程訪問，必須報(bào)信息安全管理小組審核、批準(zhǔn)，由安全管理員制定相應(yīng)的安全策略并進(jìn)行全程監(jiān)控和記錄。遠(yuǎn)程網(wǎng)絡(luò)訪問結(jié)束后，應(yīng)馬上切斷外部連接，檢查服務(wù)器狀態(tài)是否正常，確認(rèn)后開啟應(yīng)用。   

第二十五條未經(jīng)授權(quán)禁止第三方人員直接對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)進(jìn)行操作，第三方人員可以協(xié)助（如口述操作過程）相關(guān)管理或操作人員完成所需操作。   

第二十六條第三方人員在機(jī)房?jī)?nèi)的所有工作情況，都必需說明該工作可能引起的安全風(fēng)險(xiǎn)，并由接待人確認(rèn)后才能操作。接待人必須對(duì)第三方人員的操作進(jìn)行全程監(jiān)控，記錄第三方人員的操作內(nèi)容，操作完成后由第三方人員和接待人員共同簽字確認(rèn)后存檔備案。接待人員對(duì)第三方人員的所有行為負(fù)責(zé)。   

第二十七條第三方人員更換硬件設(shè)備前需向接待人員指出硬件損壞的證據(jù)，由接待人員上報(bào)信息安全執(zhí)行小組批準(zhǔn)，由信息系統(tǒng)相關(guān)管理員對(duì)設(shè)備的信息備份及相應(yīng)的處理后，方可進(jìn)行更換。   

第二十八條需要采用必要的設(shè)備和手段（如防火墻、IDS等設(shè)備。認(rèn)證、審計(jì)等手段）對(duì)第三方人員的各種操作進(jìn)行有效的監(jiān)控和限制。信息安全執(zhí)行小組需要不定期對(duì)第三方人員的行為進(jìn)行抽查，確保河北藝校信息安全。   

第七章相關(guān)文件   

第二十九條與本制度相關(guān)的其他文件及表單包括：   

1、《安全運(yùn)維管理組織機(jī)構(gòu)與職責(zé)》   

2、《員工信息安全管理制度》   

3、《信息安全崗位人員管理制度》   

4、《培訓(xùn)及教育管理制度》   

第八章附則   

第三十條本制度自發(fā)布之日起執(zhí)行。   

第三十一條本制度的解釋和修改權(quán)屬于信息安全領(lǐng)導(dǎo)小組。   

第三十二條信息安全領(lǐng)導(dǎo)小組每年統(tǒng)一檢查和評(píng)估本制度，并做出適當(dāng)更新。在業(yè)務(wù)環(huán)境和安全需求發(fā)生重大變化時(shí)，也將對(duì)本制度進(jìn)行檢查和更新。