萨达 发表于 2020-4-3 09:49:05

讨论帖:如何做好第三方人员的信息安全管理?

当外包变成一种趋势,那问题来了,如何做好第三方人员的信息安全管理?

多个层面一起来:
1)物理层面,第三方人员可以到达的物理区域,可以接触哪些IT软硬件设施?
2)网络层面,第三方人员 访问的网络,最好做有效的隔离,确保不能接触到工作无关的业务网络、办公网络,并且,对于他们的网络访问操作,都有必要的监控日志,可以方便回溯和追查;

3)软件应用层面,要做好访问系统的 最低授权原则的限制。且要做严格的权限审核及回收管理工作。工作职责变化了,就要对不需要的权限立即做好回收;

4)第三方人员对外信息发布的管理。第三方人员使用单位网络资源时,对外不能发布违法违规的信息,因为这样责任属于该单位的安全管理不善。可能对单位带来巨大不利影响。同样要有做限制、有日志,可催查可溯源;这一点也需要和第三方人员所属单位明确好安全责任。ITSM

5)安全意识的管理。一定要在第三方人员访问单位IT资源前,提前做好“责任状”,签字确认,明确可以做什么,不可以做什么。不按规定做有哪些惩罚措施等。

想到这几点,欢迎大家继续补充。。

在合约上明确对违反甲方安全规定的处罚措施,签署保密协议,确定物理、网络、系统等访问控制规则,进行安全培训,最好签订安全责任书
补充一点,甲方往往与第三方企业签订统一的合同,合同中附件内有提出信息安全要求,但是第三方的员工的安全意识教育未进行,安全责任未落实。不少重大信息安全事件,都与第三方的疏忽操作有很大的关系。不要总想着亡羊补牢,还是预防在前,将供应商安全检查进行到底吧~


页: [1]
查看完整版本: 讨论帖:如何做好第三方人员的信息安全管理?