當(dāng)前位置:1566范文網(wǎng) > 企業(yè)管理 > 企業(yè)管理 > 管理服務(wù)

信息服務(wù)安全管理規(guī)范

發(fā)布時(shí)間:2024-11-29 查看人數(shù):41

信息服務(wù)安全管理規(guī)范

信息服務(wù)安全管理規(guī)范

1 目的

保護(hù)組織的信息系統(tǒng)被外部方訪問時(shí)的安全,保證公司信息系統(tǒng)安全水平不會(huì)因?yàn)橥獠糠皆L問、提供產(chǎn)品和服務(wù)而降低;及時(shí)、有效、可控的管理外部方所提供的服務(wù)質(zhì)量、服務(wù)交付和安全狀況,規(guī)范公司外部方服務(wù)管理相關(guān)的流程及安全要求。

2 適用范圍

適用于對(duì)所有訪問公司信息系統(tǒng)外部方的安全管理,以及對(duì)外部方服務(wù)的管理。

3 術(shù)語(yǔ)和定義

第三方服務(wù):因業(yè)務(wù)或其它原因,對(duì)組織信息系統(tǒng)進(jìn)行訪問、操作、服務(wù)的外部組織。

4 職責(zé)和權(quán)限

4.1 信息安全領(lǐng)導(dǎo)辦公室

負(fù)責(zé)對(duì)組織所有外部方進(jìn)行統(tǒng)一管理;

識(shí)別外部方訪問或服務(wù)時(shí)的風(fēng)險(xiǎn);

負(fù)責(zé)對(duì)第三方訪問機(jī)密信息訪問的審批和管理。

4.2 各部門

協(xié)助信息安全領(lǐng)導(dǎo)辦公室做好對(duì)外部方服務(wù)的管理和監(jiān)督。

5 相關(guān)活動(dòng)

5.1 第三方服務(wù)需求確定

根據(jù)業(yè)務(wù)工作需要,由各部門提出第三方服務(wù)需求,并由xxx部匯總后報(bào)信息安全領(lǐng)導(dǎo)辦公室審批。

服務(wù)需求內(nèi)容除服務(wù)內(nèi)容、水平和要求外,還應(yīng)明確是否涉及訪問公司的機(jī)密級(jí)信息。

5.2 第三方服務(wù)安全管理

5.3.1公司與第三方服務(wù)方應(yīng)簽訂相關(guān)服務(wù)協(xié)議,在協(xié)議中明確服務(wù)內(nèi)容、服務(wù)水平、信息安全要求等內(nèi)容。

5.3.2對(duì)組織的秘密信息一般不允許外部方進(jìn)行訪問。特殊情況下,必須經(jīng)信息安全領(lǐng)導(dǎo)辦公室審核后,經(jīng)副總經(jīng)理批準(zhǔn)后方可訪問。

在新建、改建、擴(kuò)建信息系統(tǒng)時(shí),如確需對(duì)公司的信息系統(tǒng)進(jìn)行訪問,應(yīng)由接待部門提出申請(qǐng),經(jīng)信息安全領(lǐng)導(dǎo)辦公室批準(zhǔn)后,僅限訪問公司的內(nèi)部(含)以下內(nèi)部的信息。

接等部門在提出申請(qǐng)時(shí),需要明確如下內(nèi)容:外部方的基本情況、訪問的范圍、所涉及公司內(nèi)部信息的安全級(jí)別、訪問信息系統(tǒng)的時(shí)限等。

信息安全領(lǐng)導(dǎo)辦公室對(duì)提出的申請(qǐng),進(jìn)行評(píng)審,識(shí)別存在的安全風(fēng)險(xiǎn),必要時(shí)制定相應(yīng)的控制措施。如:

? 對(duì)外部方所能訪問的信息進(jìn)行限制;

? 對(duì)外部方訪問公司信息系統(tǒng)的過程進(jìn)行監(jiān)控;

? 與外部方簽署安全保密協(xié)議。

5.3.3信息系統(tǒng)的日常維護(hù)由公司的xxx部門負(fù)責(zé),如需要外部方進(jìn)行技術(shù)支持,先提出申請(qǐng),經(jīng)批準(zhǔn)后方可實(shí)施,且必須有公司人員現(xiàn)場(chǎng)陪同,防止信息泄露。

5.3.4第三方服務(wù)常駐人員必須經(jīng)公司的人力資源部審核,并與公司簽訂相關(guān)保密協(xié)議。

5.3.5第三方對(duì)信息系統(tǒng)的訪問,信息系統(tǒng)管理部門應(yīng)做好監(jiān)控記錄并予以保存。

5.3 第三方服務(wù)的評(píng)審和變更

公司每年對(duì)第三方服務(wù)進(jìn)行一次評(píng)審。

由于某種原因,需要更換第三方服務(wù),由相關(guān)部門提出申請(qǐng),經(jīng)信息安全領(lǐng)導(dǎo)辦公室審核后實(shí)施。

變更后的第三方服務(wù)按本程序5.2進(jìn)行安全管理。

6 相關(guān)文件和記錄

信息服務(wù)安全管理規(guī)范

1 目的保護(hù)組織的信息系統(tǒng)被外部方訪問時(shí)的安全,保證公司信息系統(tǒng)安全水平不會(huì)因?yàn)橥獠糠皆L問、提供產(chǎn)品和服務(wù)而降低;及時(shí)、有效、可控的管理外部方所提供的服務(wù)質(zhì)量、服務(wù)…
推薦度:
點(diǎn)擊下載文檔文檔為doc格式

推薦專題

相關(guān)信息服務(wù)安全信息

  • 信息服務(wù)安全管理規(guī)范(6篇范文)
  • 信息服務(wù)安全管理規(guī)范(6篇范文)71人關(guān)注

    1 目的保護(hù)組織的信息系統(tǒng)被外部方訪問時(shí)的安全,保證公司信息系統(tǒng)安全水平不會(huì)因?yàn)橥獠糠皆L問、提供產(chǎn)品和服務(wù)而降低;及時(shí)、有效、可控的管理外部方所提供的服務(wù) ...[更多]

  • 信息服務(wù)安全管理規(guī)范(六篇)
  • 信息服務(wù)安全管理規(guī)范(六篇)58人關(guān)注

    1 目的保護(hù)組織的信息系統(tǒng)被外部方訪問時(shí)的安全,保證公司信息系統(tǒng)安全水平不會(huì)因?yàn)橥獠糠皆L問、提供產(chǎn)品和服務(wù)而降低;及時(shí)、有效、可控的管理外部方所提供的服務(wù) ...[更多]

  • 信息服務(wù)安全管理規(guī)范
  • 信息服務(wù)安全管理規(guī)范41人關(guān)注

    1 目的保護(hù)組織的信息系統(tǒng)被外部方訪問時(shí)的安全,保證公司信息系統(tǒng)安全水平不會(huì)因?yàn)橥獠糠皆L問、提供產(chǎn)品和服務(wù)而降低;及時(shí)、有效、可控的管理外部方所提供的服務(wù) ...[更多]