第三方服务管理规定
1. 目的和范围
对第三方提供的服务进行规范,减少由于服务不规范带来的信息安全方面的风险。
2. 引用文件
(1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
(2) iso/iec27001:2005信息技术-安全技术-信息安全管理体系要求
(3) iso/iec27002:2005信息技术-安全技术-信息安全管理实施细则
3. 职责和权限
(1) 技术部:是信息安全方面的第三方服务的归口管理部门,负责对信息安全方面的第三方服务的定期监控和评审。
(2) 技术部:是日常行政管理方面的第三方服务的归口管理部门,负责对行政方面的第三方服务的定期监控和评审。负责第三方服务合同中条款的审核。
4. 第三方服务管理规定
(1) 技术部汇总各部门的资产识别表,整理出公司的《第三方服务汇总表》,明确需要按本规定进行管理的第三方服务项目和其中重要的第三方服务。
(2) 将设备、网络、系统、软件、信息安全、保安、保洁等事项进行外包时,重要的第三方服务必须签订要与第三方服务提供方签署《服务合同》,能接触到公司敏感信息资产的服务项目的服务合同中应包含第三方保密要求的内容。
(3) 所有的第三方服务的提供方需提供服务人员的姓名、联系方式等信息,技术部汇总《第三方服务厂商联系表》
(4) 重要的第三方服务人员服务时相关的原始服务单据由归口管理部门负责验收签字并保存好相关服务记录。
(5) 对服务提供方技术人员在现场处理需要设备入网时,必须经技术部门领导同意后方可入网。
(6) 对第三方提供服务的能力进行评定,必要时通过招投标,确定合格第三方。
(7) 要确保第三方保持充分的提供服务的能力,即便发生重大的服务故障或灾难也能保持服务的连贯性。
(8) 每次第三方服务完成时指定专人按照服务合同要求对服务内容和质量进行记录和评审,并在相关服务原始记录中作好验收签字确认。
(9) 第三方服务归口管理部门应每年对服务提供商进行定期评审,以确认是否继续列为合格服务商。
(10) 当服务提供方发生变更时,进行服务提供方变更登记,并进行服务、现有状态的评估。对变更后的服务提供方进行服务评估。
5. 实施策略
(1) 第三方服务管理规定中涉及的《第三方服务管理总表》包括《第三方服务汇总表》、《第三方服务厂商联系表》共2个表单。
(2) 技术部整理出公司的《第三方服务汇总表》
(3) 重要的第三方服务必须签订要与第三方服务提供方签署《服务合同》,能接触到公司敏感信息资产的服务项目的服务合同中应包含第三方保密要求的内容。
(4) 技术部汇总《第三方服务厂商联系表》。
(5) 第三方服务归口管理部门应每年对服务提供商进行定期评审,必要时调整服务供方.
(6).相关记录
本程序发生的记录汇总表
表1-1 isms文件日常应用格式汇总
表号 | 记录编号 | 记录名称 | 保管 场所 | 保存期限 | 保存形式 | 备注 |
表a.1 | isms-3014-01 | 第三方服务汇总表 | 技术部 | 3年 | 电子 | |
表a.2 | 服务合同 | 技术部 | 3年 | 纸质 | ||
表a.3 | isms-3014-02 | 第三方服务厂商联系表 | 技术部 | 3年 | 电子 |