ISMS-B-21第三方服務管理程序_第1頁
ISMS-B-21第三方服務管理程序_第2頁
ISMS-B-21第三方服務管理程序_第3頁
ISMS-B-21第三方服務管理程序_第4頁
全文預覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

深圳市恒雙展業(yè)科技有限公司第三方服務管理程序編號:-ISMS-B-21版本號:V1.0編制:曹飛澎日期:2019-11-01審核:汪倩日期:2019-11-01批準:汪倩日期:2019-11-01受控狀態(tài)1目的為加強對第三方服務提供商(合作商)的控制,減少安全風險,防范公司信息資產(chǎn)損失,特制定本程序。2范圍適用于組織信息安全第三方服務管理活動,包括第三方確定過程、第三方的服務安全控制措施、第三方的服務監(jiān)督和評審方法、第三方的變更管理。3職責3.1綜合管理部負責信息處理設(shè)備、網(wǎng)絡、系統(tǒng)、軟件的采購和第三方維護服務的管理。3.2其他相關(guān)部門負責確定合格的第三方服務商,并與第三方服務商簽訂服務合同和保密協(xié)議;負責對第三方服務商的服務進行安全控制;負責定期對第三方服務商進行監(jiān)督和評審;負責做好第三方服務商的變更管理。4相關(guān)文件《信息安全管理手冊》《相關(guān)方信息安全管理程序》《安全區(qū)域管理程序》《信息系統(tǒng)訪問與使用監(jiān)控管理程序》5程序5.1管理對象5.1.1我公司的相關(guān)方包括以下團體或個人:a)服務提供商:互聯(lián)網(wǎng)服務提供商、電話提供商、審計服務提供商、咨詢服務提供商;b)設(shè)備供方;c)外來人員:臨時人員、實習學生以及其他短期工作人員;d)管理咨詢,業(yè)務咨詢,外部審核;e)公司客戶。5.1.2上述活動的歸屬管理部門為綜合管理部,負責相關(guān)方的監(jiān)督管理。5.2相關(guān)方的信息安全管理5.2.1相關(guān)部門應協(xié)協(xié)助綜合管理部識別外部相關(guān)方對信息資產(chǎn)和信息處理設(shè)施造成的風險,并在批準外部相關(guān)方訪問信息資產(chǎn)和信息處理設(shè)施前實施適當?shù)目刂啤?.2.2綜合管理部應與外部相關(guān)方簽署涉及物理訪問、邏輯訪問和工作安排條款和條件的《第三方服務保密協(xié)議》,所有與外部相關(guān)方合作而引起的安全需求或內(nèi)部控制都應在協(xié)議中反映,在未實施適當?shù)目刂浦安粦撓蛲獠肯嚓P(guān)方提供對信息的訪問。5.2.3綜合管理部應確保外部相關(guān)方意識到其義務,并接受與訪問、處理、交流或管理組織信息和信息處理設(shè)施相關(guān)的責任和義務。5.3外來人員管理5.3.1外來人員主要有:臨時工、實習人員、參觀檢查人員、外來技術(shù)人員、公司客戶等。5.3.2外來人員由使用部門提請綜合管理部審核同意后,簽署《第三方保密協(xié)議》,并明確工作范圍、工作內(nèi)容、職責、權(quán)利、義務、物理(邏輯)訪問控制等要求,方可在公司信息系統(tǒng)從事相關(guān)工作。5.3.3外來人員的物理訪問按《物理訪問控制程序》進行。5.3.4外來人員的邏輯訪問按《用戶訪問控制程序》進行。5.4第三方服務的管理5.5.1第三方服務能力的評定5.5.1.1相關(guān)網(wǎng)絡歸屬管理部門需要將設(shè)備、網(wǎng)絡、系統(tǒng)、軟件和信息安全等事項外包時,應明確外包服務的內(nèi)容和要求,對第三方服務提供服務的能力進行評定,確定合格第三方服務。5.5.1.2應確保第三方服務保持充分的提供服務的能力,并且具備有效的工作計劃,即便發(fā)生重大的服務故障或災難也能保持服務的連貫性。5.5.2第三方服務提供商需提供服務人員的姓名、技術(shù)能力評定、聯(lián)系方式等信息,服務人員需持有效身份證明進入現(xiàn)場。臨時服務人員由專業(yè)人員全程陪同。5.5.3第三方服務服務人員在現(xiàn)場或遠程服務時,必須明確相關(guān)內(nèi)容,包括時間、地點、聯(lián)系人、工作安排、預期結(jié)果、觀察期等。5.5.4對服務提供方技術(shù)人員在現(xiàn)場處理需要設(shè)備入網(wǎng)時,應填寫入網(wǎng)申請單,經(jīng)網(wǎng)絡管理員同意后方可入網(wǎng),對系統(tǒng)的巡檢和維護需有本公司專業(yè)人員陪同,按《物理訪問控制程序》和《用戶訪問控制程序》進行,并填寫《第三方服務工作記錄單》中填寫第三方服務服務情況。5.5.5當服務提供方發(fā)生變更時,綜合管理部應進行服務提供方變更登記,并進行服務、現(xiàn)有狀態(tài)的評估。對變更后的服務提供方進行服務評估。5.5.6當服務內(nèi)容發(fā)生變更時,綜合管理部應進行服務內(nèi)容變更登記,對服務變更后對現(xiàn)有系統(tǒng)進行評估,確保系統(tǒng)的安全性。5.5.7第三方應提供服務報告,綜合管理部負責對第三方服務情況進行評價。對不符合要求

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論