第三方安全管理规定
1 目的
1.1 维护被第三方访问的公司信息处理设施和信息资产的安全
1.2 控制第三方对公司信息处理设施的访问
1.3 当信息处理的责任己外协到公司外部时,保护信息的安全
2 适用范围
本规定适用于全公司,以及与公司有业务联系,包括但不仅限于客户、供应商、合作伙伴、访客等在内的第三方,适用于控制第三方访问。
3 定义
第三方(Third party):泛指和公司发生业务关系的各类外部伙伴,这些外部伙伴需要对公司进行访问。第三方包括但不仅限于:
●研发、设计公司。
●软件和硬件等设备供应商;
●ISP、网络通信、维护支持等服务提供商;
●IT系统、软件开发、呼叫中心等外包服务提供商;
●保安、清洁等外包支持服务;
●咨询顾问公司和审计公司;
●包括客户、临时访客、短期工在内的其他外部伙伴。
4
职责
岗位职责下载项目部各岗位职责下载项目部各岗位职责下载建筑公司岗位职责下载社工督导职责.docx
4.1 信息安全官/信息安全管理委员会:在牵涉第三方的重大事务时进行决策。
4.2 信息安全管理组:引导相关部门及人员落实本规定之要求。
4.3 与第三方相关的业务部门及CAO及PES:负责第三方物理处所及访问权限的审核。
4.4 与第三方相关的IT部门:负责第三方逻辑访问的控制和审核。
4.5 与第三方相关的采购和法律部门:负责与第三方
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
中相关的安全控制条目的审核。
4.6 其他相关的部门和员工:遵守本规定,在与第三方发生关系时实施恰当的安全控制措施。
5 程序
5.1 识别第三方风险
5.1.1 公司面临的信息安全风险,其中一部分可能来自包括保安、清洁工、基础设施维
护、供应商和外包团队在内的第三方机构或外部伙伴。公司在和外部伙伴业务往
来时,需要接受第三方访问,可能会提供必要的信息或其他资产,因此会面临信
息泄漏等风险,除此之外,低质量的第三方服务对公司来说也会造成潜在风险,
例如迟钝的服务响应。
5.1.2 第三方访问既可以是物理(实际)的,例如办公环境、计算机房、档案室等,也
可以是逻辑的,例如网络、服务器、数据库以及应用系统等,任何第三方访问都
应该有合理的理由,必须经过相关部门经理或公司管理层的批准。在接受第三方
访问之前,应该识别由此可能引发的安全风险,并且采取适当的控制措施以消减
风险
5.2 第三方安全管理规定
5.2.1 任何第三方在对公司进行访问之前(包括物理和逻辑访问),必须在相关
合同
劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载
中包
含公司的安全控制要求,对于不在合同覆盖范围内的第三方人员,必须签署保密协
议或者NDA(Non-disclosure Agreement),这些控制要求必须向第三方事先澄清。
安全控制要求、保密协议或NDA,必须经过公司法律代表的审核并得到部门经理批
准。
5.2.2 需要访问公司的第三方人员,无论是物理访问还是逻辑访问,事先必须接受检查并
得到相关部门经理的批准,然后以适当的方式、在限定范围内进行访问。
5.2.3 为了确保第三方服务的交付质量,除了在相关合同中提出安全控制和交付要求外,
还应该监督并定期审核服务方提供的报告,并做好变更控制。
5.2.4 任何负责第三方访问和服务的部门或员工,都应该意识到与第三方发生关系时可能
带来的风险,并采取适当措施来消减风险。
6 相关
记录
混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载
6.1FORM/COP-ISMS-005#01桑菲信息安全组织架构表
6.2 FORM/COP-ISMS-005#02第三方风险识别表
7 参考文件
《信息安全方针》
《信息安全管理手册》
《员工信息安全守则》WI-ISMS-003 《网络安全管理规定》COP-ISMS-014 《公司保密协议》
《环境安全管理规定》
《外来人员接待管理规定》
浙公网安备 33021202002483