- 1、本文档共5页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全策略-第三方访问策略
密级等级:敏感
受控状态:受控
文件编号: XX_A_04_07_2009.12
第 三 方 访 问 策 略
Ver 1.0
2009年12月30日历史版本编制、审核、批准、发布实施、分发信息记录表
版本号 编制人/
创建日期 审核人/
审核日期 批准人/
批准日期 发布日期/
实施日期 分发编号 V1.0 2009/12/30
2010/1/4 原稿 / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / 文件更改记录
序号 更改单号 页次 更改人 日期 更 改 摘 要 1 2 3 4 5 6 7 8 9 10
本标准XX_A_04_07_2009.12
本标准依据ISO/IEC 27001:2005信息安全管理体系-要求编写。
本标准由XXXX有限公司提出起草
本标准主要起草人:
本标准于2009年12月30日首次发布2009年12月30日XX_A_04_07_2009.12 介绍 第三方在支持硬件和软件管理以及客户运作方面有重要作用。第三方可以远程对 数据和审核日志进行评审、备份和修改,他们可以纠正软件和操作系统中的问题,可以监控并调整系统性能,可以监控硬件性能和错误,可以修改周遭系统,并重新设置警告极限。由第三方设置的限制和控制可以消除或降低收入、信誉损失或遭破坏的风险。 目 的 该策略的目的是为第三方访问信息资源以及支持性服务 (A/C, UPS, PDU, 火灾控制等 ) 、第三方职责以及信息保护建立准则。 适用范围 该策略适用于负责新的信息资源安装以及现有信息资源操作和保持的所有人员,以及可以批准第三方因保养、监控以及故障处理目的而访问信息资源的人员。 术语定义 略 第三
方访
问策
略 第三方必须遵守相应的策略、操作标准以及协议,包括但不仅限于:
安全策略;
保密策略;
审核策略;
软件注册策略;
信息资源使用策略。
第三方协议和合同必须规定:
第三方应该访问的信息;
第三方怎样保护信息;
合同结束时第三方所拥有的信息返回、毁灭或处置方法;
第三方只能使用用于商业协议目的的信息和信息资源;
在合同期间第三方所获得的任何信息都不能用于第三方自己的目的或泄漏给他人。
应该向总经理室提供与第三方的合同要点。合同要点能确保第三方符合策略的要求 ;
每一个第三方必须提供在为合同工作的所有员工清单。员工发生变更时必须在 24 小时之内更新并提供;
每一个在组织场所内工作的第三方员工都必须佩带身份识别卡。当合同结束时,此卡应该归还;
可以访问敏感信息资源的每一个第三方员工都不能处理这些信息;
第三方员工应该直接向恰当的人员直接报告所有安全事故;
如果第三方参与安全事故管理,那么必须在合同中明确规定其职责;
第三方必须遵守所有适用的更改控制过程和程序;
定期进行的工作任务和时间必须在合同中规定。规定条件之外的工作必须由相应的管理者书面批准;
必须对第三方访问进行唯一标识,并且对其进行的口令管理必须符合口令实施规范和特殊访问实施规范。第三方主要的工作活动必须形成日志并且在管理者需要的时候可以访问。日志的内容包括但不仅限于:人员变化、口令变化、项目进度重要事件、启动和结束时;
当第三方员工离职时,第三方必须确保所有敏感信息在24小时内被收回或销毁;
在合同或邀请结束时,第三方应该将所有信息返回或销毁,并在 24 小时内提交一份返回或销毁的书面证明;
在合同或邀请结束时,第三方必须立即交出所有身份识别卡、 访问卡以及设备和供应品。由第三方保留的设备和 / 或供应品必须被管理者书面授权;
要求第三方必须遵守所有规定和审核要求,包括对第三方工作的审核;
在提供服务时,第三方使用的所有软件必须进行相应的清点并许可。 惩罚 违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。 引用标准 略
XXXX有限公司 XX_A_04_07_2009.12
第三方访问策略
第 2 页 共 4 页
XXXX有限公司
您可能关注的文档
- 传热学数值模拟.docx
- 传统图书馆、数字图书馆和复合图书馆.ppt
- 传统康复.ppt
- 传统文化与领导智慧.ppt
- 传统运动休闲方式流变研究——以赛龙舟为例.doc
- 传染病预防控制管理.ppt
- 传输层计算机网络技术.ppt
- 传送网架空光缆抢修搭建平台.ppt
- 传统文化与现代管理艺术.ppt
- 伦潭水利枢纽土石坝设计说明书.doc
- 军贸行业跟踪报告:军贸市场景气上行,装备出口增长可期(201903).pdf
- 计算机行业产业互联网专题_工业篇9:CAD,研究框架(202206).pdf
- 密集政策下医疗器械行业如何破局(202208).pdf
- 分辙两向-2022年全球经济秩序报告(202210).pdf
- 类脑计算 神经形态计算深度产业报告.pdf
- 基金研究:“大品种”布局加速下,疫苗行业投资价值几何?(202211).pdf
- 供需缺口孕育民营医疗大机遇,细分赛道模式各异(202211).pdf
- 化工行业2022Q4投资策略:看多原油,关注欧洲,布局民爆(202210).pdf
- 经管-奇瑞集团公司税务管理操作手册【上(共两册)】.pdf
- 金融科技行业白皮书1.0-FACEBOOK&branch(2021).pdf
文档评论(0)