ISMS-B-21第三方服務管理程序

深圳市恒雙展業(yè)科技有限公司第三方服務管理程序編號：-ISMS-B-21版本號：V1.0編制：曹飛澎日期：2019-11-01審核：汪倩日期：2019-11-01批準：汪倩日期：2019-11-01受控狀態(tài)1目的為加強對第三方服務提供商（合作商）的控制，減少安全風險，防范公司信息資產(chǎn)損失，特制定本程序。2范圍適用于組織信息安全第三方服務管理活動,包括第三方確定過程、第三方的服務安全控制措施、第三方的服務監(jiān)督和評審方法、第三方的變更管理。3職責3.1綜合管理部負責信息處理設備、網(wǎng)絡、系統(tǒng)、軟件的采購和第三方維護服務的管理。3.2其他相關部門負責確定合格的第三方服務商，并與第三方服務商簽訂服務合同和保密協(xié)議；負責對第三方服務商的服務進行安全控制；負責定期對第三方服務商進行監(jiān)督和評審；負責做好第三方服務商的變更管理。4相關文件《信息安全管理手冊》《相關方信息安全管理程序》《安全區(qū)域管理程序》《信息系統(tǒng)訪問與使用監(jiān)控管理程序》5程序5.1管理對象5.1.1我公司的相關方包括以下團體或個人：a)服務提供商：互聯(lián)網(wǎng)服務提供商、電話提供商、審計服務提供商、咨詢服務提供商；b)設備供方；c)外來人員：臨時人員、實習學生以及其他短期工作人員；d)管理咨詢，業(yè)務咨詢，外部審核；e）公司客戶。5.1.2上述活動的歸屬管理部門為綜合管理部，負責相關方的監(jiān)督管理。5.2相關方的信息安全管理5.2.1相關部門應協(xié)協(xié)助綜合管理部識別外部相關方對信息資產(chǎn)和信息處理設施造成的風險，并在批準外部相關方訪問信息資產(chǎn)和信息處理設施前實施適當?shù)目刂啤?.2.2綜合管理部應與外部相關方簽署涉及物理訪問、邏輯訪問和工作安排條款和條件的《第三方服務保密協(xié)議》，所有與外部相關方合作而引起的安全需求或內(nèi)部控制都應在協(xié)議中反映，在未實施適當?shù)目刂浦安粦撓蛲獠肯嚓P方提供對信息的訪問。5.2.3綜合管理部應確保外部相關方意識到其義務，并接受與訪問、處理、交流或管理組織信息和信息處理設施相關的責任和義務。5.3外來人員管理5.3.1外來人員主要有：臨時工、實習人員、參觀檢查人員、外來技術人員、公司客戶等。5.3.2外來人員由使用部門提請綜合管理部審核同意后，簽署《第三方保密協(xié)議》，并明確工作范圍、工作內(nèi)容、職責、權利、義務、物理（邏輯）訪問控制等要求，方可在公司信息系統(tǒng)從事相關工作。5.3.3外來人員的物理訪問按《物理訪問控制程序》進行。5.3.4外來人員的邏輯訪問按《用戶訪問控制程序》進行。5.4第三方服務的管理5.5.1第三方服務能力的評定5.5.1.1相關網(wǎng)絡歸屬管理部門需要將設備、網(wǎng)絡、系統(tǒng)、軟件和信息安全等事項外包時，應明確外包服務的內(nèi)容和要求，對第三方服務提供服務的能力進行評定，確定合格第三方服務。5.5.1.2應確保第三方服務保持充分的提供服務的能力，并且具備有效的工作計劃，即便發(fā)生重大的服務故障或災難也能保持服務的連貫性。5.5.2第三方服務提供商需提供服務人員的姓名、技術能力評定、聯(lián)系方式等信息，服務人員需持有效身份證明進入現(xiàn)場。臨時服務人員由專業(yè)人員全程陪同。5.5.3第三方服務服務人員在現(xiàn)場或遠程服務時，必須明確相關內(nèi)容，包括時間、地點、聯(lián)系人、工作安排、預期結(jié)果、觀察期等。5.5.4對服務提供方技術人員在現(xiàn)場處理需要設備入網(wǎng)時，應填寫入網(wǎng)申請單，經(jīng)網(wǎng)絡管理員同意后方可入網(wǎng)，對系統(tǒng)的巡檢和維護需有本公司專業(yè)人員陪同，按《物理訪問控制程序》和《用戶訪問控制程序》進行，并填寫《第三方服務工作記錄單》中填寫第三方服務服務情況。5.5.5當服務提供方發(fā)生變更時，綜合管理部應進行服務提供方變更登記，并進行服務、現(xiàn)有狀態(tài)的評估。對變更后的服務提供方進行服務評估。5.5.6當服務內(nèi)容發(fā)生變更時，綜合管理部應進行服務內(nèi)容變更登記，對服務變更后對現(xiàn)有系統(tǒng)進行評估，確保系統(tǒng)的安全性。5.5.7第三方應提供服務報告，綜合管理部負責對第三方服務情況進行評價。對不符合要求