《[XX-b-20]相关方信息安全管理程序.doc》由会员分享,可在线阅读,更多相关《[XX-b-20]相关方信息安全管理程序.doc(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、相关方信息安全管理程序XX-B-20V1.0发布日期2013年03月10日发布部门信息安全管理小组实施日期2013年03月10日文件编号XX-B-20相关方信息安全管理程序文件版次1.0密级机密变更履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0初次发布i1 目的为加强对组织相关方的控制,识别其信息安全风险,采取相应措施,防范组织的信息资产损失,特制定本程序。2 范围本程序适用于组织信息安全管理范围内外部相关方管理活动,包括对供应商、外来人员、运输承包方、废弃物处理方及客户的信息安全方面的管理和监督。3 职责3.1 行政部a) 组织各部门识别外部相关方对信息资产和信息处理
2、设施造成的风险;b) 定期组织对相关方控制的实施活动进行检查与跟踪;c) 负责与相关方人员签订保密协议。3.2 各相关部门a) 负责对本部门、本项目外的部门的相关方进行控制和管理;b) 负责对客户提供的信息采取保密措施。4 相关文件安全区域管理程序物理访问策略用户访问管理程序5 程序5.1 管理对象a) 服务提供商:互联网服务提供商、电话提供商;b) 管理服务提供商,管理咨询,业务咨询,外部审核方;c) 清洁、物业、会计以及其他外包的支持性服务提供商;d) 外来人员:临时人员、实习学生;e) 客户。5.2 相关方信息安全管理安全信息管理小组组织各部门识别外部相关方对信息资产和信息处理设施造成的
3、风险,并在批准外部相关方访问信息资产和信息处理设施前,对所识别的风险实施适当的控制。涉及对组织的信息资产物理访问、逻辑访问时,安全信息管理小组应与相关方签署相关方保密协议。相关方保密协议中应反映所有与相关方合作而引起的内部管理需求或信息安全需求,相关方保密协议中还要提请相关方对其员工进行必要的信息安全意识、技能培训和教育,使其满足工作要求。在对信息安全的要求未实施适当的控制之前不应向外部相关方提供权限进行信息的访问。安全信息管理小组应确保外部相关方认识到其义务,并接受与访问、处理、交流或管理组织信息和信息处理设施相关的责任和义务。5.3 对外来人员的管理外来人员主要有:临时工、外来参观和检查人
4、员、外来技术/服务人员、服务提供商(包括管理服务提供商)等。外来人员进入组织,应按安全区域管理程序和物理访问策略进行控制。外来人员的逻辑访问按用户访问管理程序进行控制。5.4 对供应商的管理供应商的业务管理部门应识别物资采购活动中的信息安全的风险,明确采购过程中的信息安全要求,在采购合同中明确规定对信息安全方面的要求,并在批准其访问组织信息资产和信息处理设施前实施适当的控制。供应商访问组织的安全区域和网络按对外来人员的管理进行控制。5.5 对相关方的监督管理安全信息管理小组应建立相关方一览表,保存相关方保密协议和访问授权记录。安全信息管理小组与相关主管部门负责定期组织对相关方控制的实施进行检查与跟踪:a) 对相关方控制管理不严格、存在信息安全隐患的部门,提出整改意见,对问题较多或整改不力的,限令整改,提出信息安全考核意见和要求;b) 对不符合信息安全管理要求的相关方,整改后仍不符合要求或拒绝整改可能造成信息安全事件的相关方,做出限期整改、减少订货、经济扣罚、终止合同等决定意见。6 记录相关方保密协议相关方一览表2