《0105-相关方信息安全管理程序.doc》由会员分享,可在线阅读,更多相关《0105-相关方信息安全管理程序.doc(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、相关方信息安全管理程序LHHJ-ISMS-0105-2020 版本:A/0 相关方信息安全管理程序1 目的为加强对相关方的控制,减少安全风险,防范公司信息资产损失,特制定本程序。2 范围适用于公司对相关方的信息安全活动的管理和供应商的管理活动。3 职责3.1 人力资源部负责统一管理相关方和供应商在信息安全方面的控制活动。3.2 各相关部门a. 负责识别本部门的相关方,并与相关方签订保密协议;b. 负责对相关方的服务进行信息安全控制;c. 负责定期对相关方进行监督和评审; d. 负责做好相关方的变更管理。 4 程序4.1管理对象4.1.1 我公司的相关方包括以下团体或个人:a) 服务提供商:互联
2、网服务提供商、电话提供商、IT维护和支持服务提供商、软件产品和IT系统开发商和供应商;b) 设备供方;c) 外来人员:临时人员、实习学生以及其他短期工作人员;d) 管理服务提供商,管理咨询,业务咨询,外部审核;e) 公司客户。4.1.2 各部门应对公司的相关方进行识别,并进行风险评估和风险管理。4.2相关方的信息安全管理4.2.1 相关部门应协调人力资源部识别外部相关方对信息资产和信息处理设施造成的风险,并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制。4.2.2相关部门应与外部相关方签署涉及物理访问、逻辑访问和工作安排条款和条件的相关方保密协议或供应商保密协议,所有与外部相关方合
3、作而引起的安全需求或内部控制都应在协议中反映,在未实施适当的控制之前不应该向外部相关方提供对信息的访问。4.2.3相关部门应识别外包供应商活动的风险,明确供应商活动的信息安全要求,在外包合同中明确规定信息安全要求或签署供应商保密协议。4.2.4 相关部门应确保外部相关方意识到其义务,并接受与访问、处理、交流或管理组织信息和信息处理设施相关的责任和义务。4.3外来人员管理4.3.1外来人员主要有:临时工、实习人员、参观检查人员、外来技术人员、公司客户等。4.3.2 外来人员由使用部门提请人力资源部审核同意后,签署相关方保密协议,并明确工作范围、工作内容、职责、权利、义务、物理(逻辑)访问控制等要
4、求,方可在公司信息系统从事相关工作。4.3.3 外来人员的物理访问按安全区域管理程序进行。4.3.4 外来人员的逻辑访问按用户访问管理程序进行。4.4 供应商的管理4.4.1 供应商能力的评定4.4.1.1相关网络归口部门需要将设备、网络、系统、软件和信息安全等事项外包时,应明确外包服务的内容和要求,对供应商提供服务的能力进行评定,确定合格供应商。4.4.1.2 应确保供应商保持充分的提供服务的能力,并且具备有效的工作计划,即便发生重大的服务故障或灾难也能保持服务的连贯性。4.4.2 供应商提供商需提供服务人员的姓名、技术能力评定、联系方式等信息,服务人员需持有效身份证明进入现场。临时服务人员
5、由专业人员全程陪同。4.4.3 供应商服务人员在现场或远程服务时,必须明确相关内容,包括时间、地点、联系人、工作安排、预期结果、观察期等。4.4.4 对服务提供方技术人员在现场处理需要设备入网时,应填写入网申请单,经人力资源部领导同意后方可入网,对系统的巡检和维护需有本公司专业人员陪同,按安全区域管理程序和用户访问管理程序进行,并填写供应商工作记录单或在运行记录中填写供应商情况。4.4.5 当服务提供方发生变更时,人力资源部应进行服务提供方变更登记,并进行服务、现有状态的评估。对变更后的服务提供方进行服务评估。4.4.6 当服务内容发生变更时,人力资源部应进行服务内容变更登记,对服务变更后对现有系统进行评估,确保系统的安全性。4.4.7第三方应提供服务报告,人力资源部负责对供应商情况进行评价。对不符合要求的供应商提出整改意见,对因整改不符合要求或拒绝整改可能造成事件的供应商,做出限期整改、经济扣罚、终止合同等决定意见。5. 引用文件5.1商业秘密管理程序5.2安全区域管理程序5.3用户访问管理程序6. 记录JL0105-01相关方保密协议JL0105-02第三方服务工作记录单JL0105-04第三方详细列表第0次修改 第 3 页 共 3 页