第三方服务安全管理程序.docVIP

第三方服务安全管理程序 1 目的 保组织的信息系统被外部方访问的安全 第三方服务：因业务或其它原因，对组织信息系统进行访问、操作、服务的外部组织。 4 职责和权限 4.1 信息安全领导办公室 负责对组织所有外部方进行统一管理； 识别外部方访问或服务时的风险； 负责对第三方访问机密信息访问的审批和管理。 4.2 各部门 协助信息安全领导办公室做好对外部方服务的管理和监督。 5 相关活动 5.1 第三方服务需求确定 根据业务工作需要，由各部门提出第三方服务需求，并由XXX部汇总后报信息安全领导办公室审批。 服务需求内容除服务内容、水平和要求外，还应明确是否涉及访问公司的机密级信息。 5.2 第三方服务安全管理 5.3.1公司与第三方服务方应签订相关服务协议，在协议中明确服务内容、服务水平、信息安全要求等内容。 5.3.2对组织的秘密信息一般不允许外部方进行访问。特殊情况下，必须经信息安全领导办公室审核后，经副总经理批准后方可访问。 在新建、改建、扩建信息系统时，如确需对公司的信息系统进行访问，应由接待部门提出申请，经信息安全领导办公室批准后，仅限访问公司的内部 含 以下内部的信息。 接等部门在提出申请时，需要明确如下内容：外部方的基本情况、访问的范围、所涉及公司内部信息的安全级别、访问信息系统的时限等。 信息安全领导办公室对提出的申请，进行评审，识别存在的安全风险，必要时制定相应的控制措施。如： 对外部方所能访问的信息进行限制； 对外部方访问公司信息系统的过程进行监控； 与外部方签署安全保密协议。 5.3.3信息系统的日常维护由公司的XXX部门负责，如需要外部方进行技术支持，先提出申请，经批准后方可实施，且必须有公司人员现场陪同，防止信息泄露。 5.3.4第三方服务常驻人员必须经公司的人力资源部审核，并与公司签订相关保密协议。 5.3.5第三方对信息系统的访问，信息系统管理部门应做好监控记录并予以保存。 5.3 第三方服务的评审和变更 公司每年对第三方服务进行一次评审。 由于某种原因，需要更换第三方服务，由相关部门提出申请，经信息安全领导办公室审核后实施。 变更后的第三方服务按本程序5.2进行安全管理。 6 相关文件和记录