B21信息安全-第三方服务管理程序.docx

深圳市*科技有限公司第三方服务管理程序编 号：ISMS-B-21版本号：VI. 0编制：日期：2021-8-5审核：日期：2021-8-5批准：日期：2021-8-5受控状态受控文件1目的为加强对第三方服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，特制定本程序。适用于组织信息安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。3职责3.1 综合管理部负责信息处理设备、网络、系统、软件的采购和第三方维护服务的管理。3.2 其他相关部门a）负责确定合格的第三方服务商，并与第三方服务商签订服务合同和保密协议；b）负责对第三方服务商的服务进行安全控制；c）负责定期对第三方服务商进行监督和评审；d）负责做好第三方服务商的变更管理。4相关文件信息安全管理手册相关方信息安全管理程序安全区域管理程序信息系统访问与使用监控管理程序5程序5.1管理对象5. 1. 1我公司的相关方包括以下团体或个人：a）服务提供商：互联网服务提供商、电话提供商、审计服务提供商、咨询服务提供商；b）设备供方；c）外来人员：临时人员、实习学生以及其他短期工作人员；d）管理咨询，业务咨询，外部审核；e）公司客户。5. 1.2上述活动的归属管理部门为综合管理部，负责相关方的监督管理。5.2 相关方的信息安全管理5.3 . 1相关部门应协协助综合管理部识别外部相关方对信息资产和信息处理设施造成的风险，并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制。5 . 2. 2综合管理部应与外部相关方签署涉及物理访问、逻辑访问和工作安排条款和条件的第三方服务保密协议，所有与外部相关方合作而引起的安全需求或内部控制都应在协议中反映，在未实施适当的控制之前不应该向外部相关方提供对信息的访问。6 .2.3综合管理部应确保外部相关方意识到其义务，并接受与访问、处理、交流或管理组织信息和信息处理设施相关的责任和义务。5.3 外来人员管理5.3.1 外来人员主要有：临时工、实习人员、参观检查人员、外来技术人员、公司客户等。5.3.2 外来人员由使用部门提请综合管理部审核同意后，签署第三方保密协议，并明确工作范围、工作内容、职责、权利、义务、物理（逻辑）访问控制等要求，方可在公司信息系统从事相关工作。5.3.3 外来人员的物理访问按物理访问控制程序进行。5.3.4 外来人员的逻辑访问按用户访问控制程序进行。5.4 第三方服务的管理5.5 .1第三方服务能力的评定5.6 .L1相关网络归属管理部门需要将设备、网络、系统、软件和信息安全等事项外包时，应明确外包服务的内容和要求，对第三方服务提供服务的能力进行评定，确定合格第三方服务。5. 5.1. 2应确保第三方服务保持充分的提供服务的能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性。5.5.2 第三方服务提供商需提供服务人员的姓名、技术能力评定、联系方式等信息，服务人员需持有效身份证明进入现场。临时服务人员由专业人员全程陪同。5.5.3 第三方服务服务人员在现场或远程服务时，必须明确相关内容，包括时间、地点、联系人、工作安排、预期结果、观察期等。1.1.1 5. 4对服务提供方技术人员在现场处理需要设备入网时，应填写入网申请单，经网络管理员同意后方可入网，对系统的巡检和维护需有本公司专业人员陪同，按物理访问控制程序和用户访问控制程序进行，并填写第三方服务工作记录单中填写第三方服务服务情况。5.5.5 当服务提供方发生变更时，综合管理部应进行服务提供方变更登记，并进行服务、现有状态的评估。对变更后的服务提供方进行服务评估。5.5.6 当服务内容发生变更时，综合管理部应进行服务内容变更登记，对服务变更后对现有系统进行评估，确保系统的安全性。5. 5. 7第三方应提供服务报告，综合管理部负责对第三方服务情况进行评价。对不符合要求的第三方服务提出整改意见，对因整改不符合要求或拒绝整改可能造成事件的第三方服务，做出限期整改、经济扣罚、终止合同等决定意见。6记录第三方服务保密协议第三方服务工作记录单4