ISMS-C-22第三方安全管理制度

参考模版,仅供参考

1. 目的

为了规范和管理第三方使用组织网络、访问组织资源、为组织提供服务时的行为,减少第三方相关活动对组织业务的影响。

2. 范围

本制度适用于第三方相关活动过程。
注:
第三方包括:供应商、代维服务商、合作厂商以及来访人员等非本组织成员。

3. 职责

3.1 信息安全部

  1. 负责出入访问的监督工作;

  2. 负责处理由非正常访问导致的安全事件。

3.2 行政专员

  1. 负责对进入办公区域的员工及外来访客进行确认和控制。

3.3 其他个部门

  1. 负责对应部门的第三方管理

4. 相关文件

《办公区域出入访问管理制度》

5. 内容

  1. 第三方协议和合同必须规定:
  • 第三方需要访问的信息;
  • 第三方怎样保护信息;
  • 合同结束时第三方所拥有的信息返回、毁灭或处置方法;
  • 第三方只能使用用于商业协议目的的信息和信息资源;
  • 在合同期间第三方所获得的任何信息都不能用于第三方自己的目的或泄漏给他人;
  1. 须确保与第三方签订的合同条款符合组织相关策略的要求 ;
  2. 如果第三方参与安全事故管理,那么必须在合同中明确规定其职责。
  3. 所有的第三方人员必须签署《保密协议》,在合同中明确对应条款;
  4. 第三方必须遵守组织制定的安全策略和安全制度,包括但不限于:
  • 网络安全管理策略;
  • 密码技术管理策略;
  • 安全审计管理策略;
  • 资产安全管理策略等。
  1. 每一个在组织场所内工作的第三方人员都必须佩带身份识别卡;
  2. 第三方人员禁止访问合同规定之外的信息和数据;
  3. 第三方人员应该直接向工作的对接人报告工作中发现的安全事故;
  4. 第三方主要的工作活动必须形成日志并且在需要的时候可以审计。日志的内容包括但不仅限于:人员变化、口令变化、项目进度重要事件、启动和结束时;
  5. 当第三方合同期结束或人员离职时,按合同或保密协议的约定时间进行信息收回或销毁,若无时间约定的必须在24小时内进行收回或销毁提交销毁;
  6. 在合同或服务结束时,第三方人员必须交还所有身份识别卡、访问卡以及设备。由第三方保留的设备必须被管理者书面授权。

6. 记录

⭐您的支持将鼓励我继续创作⭐