一、要求内容 

a)应确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登记备案； 

b)对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行； 

c)对关键区域不允许外部人员访问。 

二、实施建议 

需要建立外来人员访问的管理规定，外来人员对重要区域的访问应当有严格的审批和申请流程，需要的情况下要有应当有专人全程陪同，例如对机房的访问，厂商人员对设备维护、更换等行为都要有良好管理办法。 

三、常见问题 

有些单位虽有机房访问的全程陪同要求，但实际在执行过程中，经常有不全程陪同的情况。 

四、实施难点 

对于外来人员访问陪同的要求，如果公司本身人员较少，工作又比较忙的情况就比较难实现。 

五、测评方法 

形式 访谈，检查。 对象 安全主管，安全管理员，外部人员访问管理文档，访问批准文档，登记记录。 

实施 

a)应访谈安全管理员，询问对外部人员访问重要区域（如访问主机房、重要服务器或设备、保密文档等）采取哪些措施，是否经有关负责人书面批准，是否由专人全程陪同或监督，是否进行记录并备案管理； 

b)应检查外部人员访问管理文档，查看是否明确外部人员包括哪些人员，允许外部人员访问的范围（区域、系统、设备、信息等内容），外部人员进入条件（对哪些重要区域的访问须提出书面申请批准后方可进入，对哪些关键区域不允许外部人员访问），外部人员进入的访问控制（由专人全程陪同或监督等）和外部人员的离开条件等； 

c)应检查外部人员访问重要区域批准文档，查看是否有外部人员访问重要区域的书面申请，是否有批准人允许访问的批准签字等； 

d)应检查外部人员访问重要区域的登记记录，查看记录是否描述了外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等信息。 

六、参考资料 

《信息安全等级保护信息系统安全管理要求》中第三方人员访问的管理要求： 

5.2.3.6 第三方人员管理 对第三方人员管理，不同安全等级应有选择地满足以下要求的一项： 

a）基本管理要求：应对硬件和软件的支持维护人员，咨询人员，临时性的短期职位人员，以及辅助人员和外部支持服务人员等第三方人员签署包括不同安全责任的合同书或保密协议；规定各类人员的活动范围，进入计算机房需要得到批准，并有人负责；第三方人员必须进行逻辑访问时，应划定范围并经过负责人批准，必要时应有人监督或陪同。 

b）重要区域管理要求：在重要区域，第三方人员必须进入机房或进行逻辑访问包括远程访问均应有书面申请、批准和过程记录，并有专人全程监督或陪同；进行逻辑访问应使用专门设置的临时用户，并进行审计。 

c）关键区域管理要求：在关键区域，一般不允许第三方人员进入机房或进行逻辑访问；如确有必要，除有书面申请外，可采取由机构内部人员带为操作的方式，对结果进行必要的过滤后再提供第三方人员，并进行审计；必要时对上述过程进行风险评估和记录备案，并对相应风险采取必要的安全补救措施。