信息服務安全管理規范
1 目的
保護組織的信息系統被外部方訪問時的安全,保證公司信息系統安全水平不會因為外部方訪問、提供產品和服務而降低;及時、有效、可控的管理外部方所提供的服務質量、服務交付和安全狀況,規范公司外部方服務管理相關的流程及安全要求。
2 適用范圍
適用于對所有訪問公司信息系統外部方的安全管理,以及對外部方服務的管理。
3 術語和定義
第三方服務:因業務或其它原因,對組織信息系統進行訪問、操作、服務的外部組織。
4 職責和權限
4.1 信息安全領導辦公室
負責對組織所有外部方進行統一管理;
識別外部方訪問或服務時的風險;
負責對第三方訪問機密信息訪問的審批和管理。
4.2 各部門
協助信息安全領導辦公室做好對外部方服務的管理和監督。
5 相關活動
5.1 第三方服務需求確定
根據業務工作需要,由各部門提出第三方服務需求,并由xxx部匯總后報信息安全領導辦公室審批。
服務需求內容除服務內容、水平和要求外,還應明確是否涉及訪問公司的機密級信息。
5.2 第三方服務安全管理
5.3.1公司與第三方服務方應簽訂相關服務協議,在協議中明確服務內容、服務水平、信息安全要求等內容。
5.3.2對組織的秘密信息一般不允許外部方進行訪問。特殊情況下,必須經信息安全領導辦公室審核后,經副總經理批準后方可訪問。
在新建、改建、擴建信息系統時,如確需對公司的信息系統進行訪問,應由接待部門提出申請,經信息安全領導辦公室批準后,僅限訪問公司的內部(含)以下內部的信息。
接等部門在提出申請時,需要明確如下內容:外部方的基本情況、訪問的范圍、所涉及公司內部信息的安全級別、訪問信息系統的時限等。
信息安全領導辦公室對提出的申請,進行評審,識別存在的安全風險,必要時制定相應的控制措施。如:
? 對外部方所能訪問的信息進行限制;
? 對外部方訪問公司信息系統的過程進行監控;
? 與外部方簽署安全保密協議。
5.3.3信息系統的日常維護由公司的xxx部門負責,如需要外部方進行技術支持,先提出申請,經批準后方可實施,且必須有公司人員現場陪同,防止信息泄露。
5.3.4第三方服務常駐人員必須經公司的人力資源部審核,并與公司簽訂相關保密協議。
5.3.5第三方對信息系統的訪問,信息系統管理部門應做好監控記錄并予以保存。
5.3 第三方服務的評審和變更
公司每年對第三方服務進行一次評審。
由于某種原因,需要更換第三方服務,由相關部門提出申請,經信息安全領導辦公室審核后實施。
變更后的第三方服務按本程序5.2進行安全管理。
6 相關文件和記錄
