XX公司外包服务管理程序.docVIP

版本：A 编号：ISMSP-23-A 第 PAGE 2 页 共 NUMPAGES 7 页 XXXX公司 ISMS 版 本 A 密 级 秘密★3年 XX外包服务管理程序 文件编号 ISMSP-23-A 1 目的 为规范XXXX公司所有信息系统相关的外包服务管理，特制订本程序。 2 范围 本程序适用于XXXX公司对外包服务的管理。 3 职责 1）总经理负责外包服务项目的审批。 2）软件部负责外包服务所涉及到的第三方的定期监控与评审。 3）指定的副总经理负责外包服务合同的签订与定期回顾。 4定义 无 5程序 5.1 外包区分 本公司的外包业务主要分以下几类：1、XXX园接入互联网业务；2、XXX园服务器托管业务；3、XXX公司服务器托管业务；4、XXX公司电话接入业务；5、监控设备、设施（门禁、卷帘门、监控设施）维修业务；6、IT设备维修业务（如台式电脑、笔记本电脑、传真机、打印机、复印机、投影仪等）；7、XXX园场地物业（办公场地、保安、供水、供电）等。 5.2 外包策略 涉及核心系统的任何服务不得长期外包给任何第三方，仅可与第三方签订必要的服务协议；其余系统的日常运行维护工作可以外包给具有服务资质或经过总经理审查的第三方。 5.3 外包事项的确定 5.3.1 符合外包策略要求的事项，符合XXXX公司业务发展需要的服务事项，可由相关系统管理人员起草《外包服务申请报告》提出申请，在申请报告中应说明需外包的事项、所涉及的信息系统、提出申请的理由、可能存在的风险及风险应对计划，报副总经理。 5.3.2 副总经理应组织部门信息安全管理委员会成员协同申请提出人，共同讨论外包事项是否符合XXXX公司业务发展的需要，最终提请总经理决策，经审批后，进入采购流程。 5.4 第三方能力评定 5.4.1 各相关管理岗位需要将设备、网络、系统、软件和信息安全等事项外包时，应明确外包服务的内容和要求，对第三方提供服务的能力进行评定，必要时通过招投标，确定合格第三方。 5.4.2 应确保第三方保持充分的提供服务的能力，并且具备有效的工作计划，即使发生重大的服务故障或灾难也能保持服务的连贯性。 5.5 服务协议 5.5.1与核心业务系统有关的外包服务供应商均应签订外包服务合同及保密协议，并在保密协议中体现信息安全风险金，服务合同及保密协议应通过XXXX公司的审核。 5.5.2 软件部如果需要外协，必须签订《软件开发外包服务协议》，协议应包括以下内容： a) 简单的服务描述； b) 有效期或变更控制的机制； c) 授权的细节； d) 沟通的简单描述，包括服务报告； e) 紧急事件、事件和问题纠正与恢复的应急计划，包括联系人的信息； f) 服务时间； g) 预定的和协商同意的服务中断； h) 用户责任，例如：安全； i) 软件部责任和义务，例如：安全； j) 影响和优先级的指导方针； k) 调整升级和通知的过程； l) 投诉程序； m) 服务的目标； n) 工作量的限定，例如：服务范围用户数量； o) 财务管理细节； p) 服务中断事件所应采取的措施； q) 供应商内部管理的相关程序； r) 术语； s) 支持的或相关的服务； t) 任何针对服务等级协议条款的例外声明。 5.5.3 对外包方增加设备服务时，填写《服务变更申请单》，明确提供服务的设备数量、型号及功能。 5.6 服务履行 5.6.1 服务提供过程中，仅限外包服务供应商在服务等级协议中明确的已被授权的工作人员进入服务现场。 5.6.2 外包服务供应商技术人员在现场处理如需要设备入网时，应有相关记录，经软件部总经理批准后方可入网，对系统的巡检和维护需有软件部专业人员陪同，按《XXXX系统访问、运行、监控、维护控制程序》进行。 5.6.3 服务履行过程中，外包服务提供商所提出的任何变更，均应告知软件部，并共同对变更内容所可能引起的服务质量及风险情况进行评估，确保该服务的等级在XXXX公司业务要求的范围内，由指定的分管副总经理审批后实施变更。 5.7 服务监控与评审 5.7.1 相关外包服务归口管理岗位负责人应按照服务合同及服务等级协议的要求对服务情况进行巡检，对服务内容和质量进行记录和评审，相关人员应对巡检结果填写《外包服务巡检记录单》并保留。 5.7.2 外包服务归口管理岗位负责人应保持对第三方访问、处理和管理敏感信息、关键信息、信息处理设施的监控和技术分析的记录。 5.7.3 每年由分管副总经理组织软件部所有外包服务所涉及的人员，对外包服务供应商的服务情况进行评审