参考模版,仅供参考
1 目的
为加强对第三方服务提供商(合作商)的控制,减少安全风险,防范公司信息资产损失,特制定本程序。
2 范围
适用于组织信息安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理;包括对供应商、外来人员、公司外驻员工、废弃物处理方及客户的信息安全方面的管理和监督。
3 职责
3.1 运维部
负责信息处理设备、网络、系统、软件的采购和第三方维护服务的管理。
3.2 信息安全部
组织各部门识别外部相关方对信息资产和信息处理设施造成的风险;
定期组织对相关方控制的实施活动进行检查与跟踪;
3.3人力资源部
- 负责与相关方人员签订保密协议。
3.4 其他部门
负责确定合格的第三方服务商,并与第三方服务商签订服务合同和保密协议;
负责对第三方服务商的服务进行安全控制;
负责定期对第三方服务商进行监督和评审;
负责做好第三方服务商的变更管理;
负责对本部门、本项目外的部门的相关方进行控制和管理;
负责对客户提供的信息采取保密措施。
4 相关文件
《信息安全管理手册》
《相关方信息安全管理程序》
《安全区域管理程序》
《信息系统访问与使用监控管理程序》
《安全区域管理程序》
《物理访问策略》
《用户访问管理程序》
5 程序
5.1 第三方服务的确定
本组织所需的第三方服务包括:
技术开发项目需要分包;
信息处理设备、网络、系统、软件需要第三方进行开发和维护;
信息安全等需要委托第三方提供服务;
服务提供商:互联网服务提供商、电话提供商、IT维护和支持服务提供商、软件产品和IT系统开发商和供应商;
管理服务提供商,管理咨询,业务咨询,外部审核方;
清洁、物业、会计以及其他外包的支持性服务提供商;
外来人员:快递人员、供应商等临时人员、实习学生;
客户;
其他服务提供方。
在与第三方签署服务合同前,相关的主管部门应明确第三方服务的内容和要求,评估由于第三方服务带来的信息安全风险,并对第三方提供服务的能力进行评定,应确保第三方有充分的提供服务的能力,并且具备有效的工作计划,即便发生重大的服务故障或灾难也能保持服务的连贯性,必要时可以通过(招投标),实力考察,确定合格的第三方服务提供商。
对重要的第三方服务提供商,应确定其信息安全管理要求和提供服务的能力要求,制定《第三方信息安全核查计划》和《第三方信息安全核查表》并进行现场评定。
确定合格的第三方服务提供商后,相关主管部门应与第三方签署第三方服务合同(SLA),并在服务合同中体现信息安全风险金。如果服务中涉及需要第三方保密的信息,必须明确第三方的责任,并签订《第三方服务保密协议》。
如果第三方服务涉及组织的知识产权,应合同中明确第三方的知识产权保护责任,与第三方签署《知识产权声明书》。
5.2 对第三方服务的安全控制
第三方需要提供服务人员的姓名、联系方式等信息,服务人员需持有效身份证明进入工作场所。
第三方服务人员进入组织区域提供服务的,应按照《相关方信息安全管理程序》中有关临时人员的管理方法进行控制。
第三方服务人员在现场提供服务的,应遵守现场有关规定。
第三方服务人员在远程提供服务时,必须明确时间、地点、联系人、工作安排、预期结果、观察期等。
对第三方技术人员在服务中需要设备入网时,第三方技术人员应填写《第三方逻辑访问申请授权表》,经相关主管部门审核、公司主管领导批准后,方可入网。
第三方技术人员对系统进行检查和维护时,需要有组织的专业人员陪同,应按照《安全区域管理程序》和《信息系统访问与使用监控管理程序》进行控制,并需要填写《第三方工作记录单》,或在检查和维护记录、外来人员工作记录中填写第三方服务情况。
5.3 对第三方服务的监督和评审
相关主管部门应按照《相关方信息安全管理程序》中相关方的监督管理的要求对第三方服务进行监督检查,对服务内容和质量进行记录和评审。
第三方服务结束后,第三方应提交《第三方服务报告》,相关主管部门应对第三方服务情况和《第三方服务报告》进行评审。
在第三方服务合同规定的保密期限内,相关主管部门应保存第三方服务期间的所有资料,尤其是第三方访问、处理和管理敏感信息、关键信息、信息处理设施的监控和技术分析等方面的资料。
5.4 对第三方服务的变更管理
当第三方发生变更时,相关主管部门应对第三方的服务和服务的现有状态进行评估,并编写《第三方变更报告》。对于变更过的第三方仍需要按照本程序的5.1至5.3条款进行控制和管理。
当服务内容发生变更时,相关主管部门应对第三方的服务和服务的现有状态进行评估,还要对服务内容变更后对现有信息系统影响进行评估,确保信息系统的安全性,并编写《第三方变更报告》。对于变更过的第三方服务内容仍需要按照本程序的5.1至5.3条款进行控制和管理。
5.5 对第三方信息安全管理
人事行政部组织各部门识别外部相关方对信息资产和信息处理设施造成的风险,并在批准外部相关方访问信息资产和信息处理设施前,对所识别的风险实施适当的控制。
涉及对组织的信息资产物理访问、逻辑访问时,人事行政部应与相关方签署《相关方保密协议》。
《相关方保密协议》中应反映所有与相关方合作而引起的内部管理需求或信息安全需求,《相关方保密协议》中还要提请相关方对其员工进行必要的信息安全意识、技能培训和教育,使其满足工作要求。在对信息安全的要求未实施适当的控制之前不应向外部相关方提供权限进行信息的访问。
人事行政部应确保外部相关方认识到其义务,并接受与访问、处理、交流或管理组织信息和信息处理设施相关的责任和义务。
5.3 对第三方人员的管理
外来人员主要有:临时工、外来参观和检查人员、外来技术/服务人员、服务提供商(包括管理服务提供商)等。
外来人员进入组织,应按《安全区域管理程序》和《物理访问策略》进行控制。
外来人员的逻辑访问按《用户访问管理程序》进行控制。
5.4 对供应商的管理
供应商的业务管理部门应识别物资采购活动中的信息安全的风险,明确采购过程中的信息安全要求,在采购合同中明确规定对信息安全方面的要求,并在批准其访问组织信息资产和信息处理设施前实施适当的控制。
供应商访问组织的安全区域和网络按对外来人员的管理进行控制。
5.5 第三方的监督管理
行政部应建立《相关方一览表》,保存《相关方保密协议》和访问授权记录。
行政部与相关主管部门负责定期组织对相关方控制的实施进行检查与跟踪:
对相关方控制管理不严格、存在信息安全隐患的部门,提出整改意见,对问题较多或整改不力的,限令整改,提出信息安全考核意见和要求;
对不符合信息安全管理要求的相关方,整改后仍不符合要求或拒绝整改可能造成信息安全事件的相关方,做出限期整改、减少订货、经济扣罚、终止合同等决定意见。
6 记录
《第三方信息安全核查计划》
《第三方信息安全核查表》
《第三方服务合同》
《第三方服务保密协议》
《知识产权声明书》
《第三方逻辑访问申请授权表》
《第三方工作记录单》
《第三方服务报告》
《第三方变更报告》
《第三方保密协议》
