当外包变成一种趋势，那问题来了，如何做好第三方人员的信息安全管理？

多个层面一起来：
1）物理层面，第三方人员可以到达的物理区域，可以接触哪些IT软硬件设施？
2）网络层面，第三方人员 访问的网络，最好做有效的隔离，确保不能接触到工作无关的业务网络、办公网络，并且，对于他们的网络访问操作，都有必要的监控日志，可以方便回溯和追查；

3）软件应用层面，要做好访问系统的 最低授权原则的限制。且要做严格的权限审核及回收管理工作。工作职责变化了，就要对不需要的权限立即做好回收；

4）第三方人员对外信息发布的管理。第三方人员使用单位网络资源时，对外不能发布违法违规的信息，因为这样责任属于该单位的安全管理不善。可能对单位带来巨大不利影响。同样要有做限制、有日志，可催查可溯源；这一点也需要和第三方人员所属单位明确好安全责任。ITSM

5）安全意识的管理。一定要在第三方人员访问单位IT资源前，提前做好“责任状”，签字确认，明确可以做什么，不可以做什么。不按规定做有哪些惩罚措施等。

想到这几点，欢迎大家继续补充。。

在合约上明确对违反甲方安全规定的处罚措施，签署保密协议，确定物理、网络、系统等访问控制规则，进行安全培训，最好签订安全责任书 补充一点，甲方往往与第三方企业签订统一的合同，合同中附件内有提出信息安全要求，但是第三方的员工的安全意识教育未进行，安全责任未落实。不少重大信息安全事件，都与第三方的疏忽操作有很大的关系。不要总想着亡羊补牢，还是预防在前，将供应商安全检查进行到底吧~

当外包变成一种趋势，那问题来了，如何做好第三方人员的信息安全管理？

多个层面一起来：
1）物理层面，第三方人员可以到达的物理区域，可以接触哪些IT软硬件设施？
2）网络层面，第三方人员 访问的网络，最好做有效的隔离，确保不能接触到工作无关的业务网络、办公网络，并且，对于他们的网络访问操作，都有必要的监控日志，可以方便回溯和追查；

3）软件应用层面，要做好访问系统的 最低授权原则的限制。且要做严格的权限审核及回收管理工作。工作职责变化了，就要对不需要的权限立即做好回收；

4）第三方人员对外信息发布的管理。第三方人员使用单位网络资源时，对外不能发布违法违规的信息，因为这样责任属于该单位的安全管理不善。可能对单位带来巨大不利影响。同样要有做限制、有日志，可催查可溯源；这一点也需要和第三方人员所属单位明确好安全责任。ITSM

5）安全意识的管理。一定要在第三方人员访问单位IT资源前，提前做好“责任状”，签字确认，明确可以做什么，不可以做什么。不按规定做有哪些惩罚措施等。

想到这几点，欢迎大家继续补充。。

在合约上明确对违反甲方安全规定的处罚措施，签署保密协议，确定物理、网络、系统等访问控制规则，进行安全培训，最好签订安全责任书 补充一点，甲方往往与第三方企业签订统一的合同，合同中附件内有提出信息安全要求，但是第三方的员工的安全意识教育未进行，安全责任未落实。不少重大信息安全事件，都与第三方的疏忽操作有很大的关系。不要总想着亡羊补牢，还是预防在前，将供应商安全检查进行到底吧~