安全管理人员-（四）外部人员访问管理

安全管理人员

 控制点

4.外部人员访问管理

外部人员包括向单位提供服务的外来人员，例如软硬件维护和支持人员、贸易伙伴或合作伙伴、清洁人员、送餐人员、保安、外包支持人员、学生、短期临时工作人员和安全顾问等。若安全管理不到位，则外部人员的访问将给等级保护对象带来安全风险。因此，应当根据可能的安全风险对外部人员采取适当的管理措施，例如严格控制其访问、有专人全程陪同，或监督其访问过程并记录备案等。

a)

安全要求：应在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案。

要求解读：外部人员访问受控区域需要经相关人员批准并进行有效控制。

测评方法

1.核查外部人员访问管理文档，是否明确了允许外部人员访问的范围、外部人员进入的条件、外部人员进入的访问控制措施等。

2.核查外部人员访问重要区域的书面申请文档是否具有批准人允许其访问的批准签字等。

3.核查外部人员访问重要区域的登记记录是否包含了外部人员访问重要区域的进入时间、离开时间、访问区域及陪同人等。

期望结果

1.外部人员访问管理文档对外部人员物理访问受控区域有明确的要求。

2.有相关申请并批准外部人员进入的记录。

3.有外部人员访问受控区域的相关登记记录。

b)

安全要求（重要）：应在外部人员接入受控网络访问系统前先提出书面申请，批准后由专人开设账户、分配权限、并登记备案。

要求解读：对外部人员接入受控网络的情况应严格进行控制并采取相关的管理措施。

测评方法

1.核查外部人员访问管理文档是否明确外部人员接入受控网络前需要完成的申请审批流程。

2.核查外部人员访问系统的书面申请文档是否明确外部人员的访问权限，以及是否具有允许访问的批准签字等。

3.核查外部人员访问系统的登记记录是否记录了外部人员的访问权限、时限、所使用的账户等。

期望结果

1.外部人员访问管理文档明确了外部人员逻辑访问受控网络系统的审批要求。

2.有相关申请及批准接入网络的记录。

3.有外部人员逻辑访问受控区域的相关登记记录。

高风险判定

满足以下任一条件即可判定为高风险，且无补偿因素：（二级及以上系统）

1.制度中未明确外部人员接入受控网络访问系统的申请、审批流程，以及相关安全控制要求。

2.无法提供外部人员接入受控网络访问系统的申请、审批等相关记录证据。

c)

安全要求（重要）：外部人员离场后应及时清除其所有的访问权限。

要求解读：外部人员，特别是获得访问权限的外部人员，其离场需要进行严格的控制，并清除其所有的访问权限。

测评方法

1.核查外部人员访问管理文档是否明确了外部人员离开后及时清除其所有访问权限。

2.核查外部人员访问系统的登记记录是否记录了访问权限清除时间。

期望结果

1.外部人员访问管理文档明确了外部人员离场后清除其权限的要求。

2.有相关清除访问权限的记录。

d)

安全要求（一般）：获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信息。

要求解读：对获得系统访问授权的外部人员，需采取更加严格的保密控制措施。

测评方法

核查外部人员访问保密协议或记录表单类文档，是否明确了人员的保密义务（例如不得进行非授权操作，不得复制信息等）。

期望结果

有相关外部人员签字的保密协议，明确其保密义务。