ISO27001：2013外包服务资产分级管理制度

XXXXXX软件有限公司人性化科技提升业绩信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险，这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失，需要规范信息资产保护方法和管理要求，特制订本管理制度。

本规定适用于本公司信息资产的安全管理，适用对象为本公司员工和所有外来人员。

特殊岗位或特殊人员，另有规定的从其规定。

公司信息资产是指一切关系公司安全和利益，在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求，各部门或各项目组，均可以根据客户要求，添加补充策略，并在本部门、本项目组内实施，与本规定一起，作为信息安全管理的工作指南。

LOGO ABCDE 科技有限公司信息安全/信息技术服务管理手册（ 依照ISO/IEC27001:2013idtGB/T 22080-2016 &ISO/IEC20000-1:2018标准编制）文 件 编 号：XX/I-TSMS-2019 版 次：A/0 受 控 状态：发 放 编生 效 日 期： 2019年11月1日2019-10-18 发布 2019-11-01 日 生效声明：此《信息安全/信息技术服务管理手册》内容版权为ABCDE 科技有限公司所有，此文件自生效日期起开始执行，由本公司综合部予以受控发行，各持有者应妥善保存及维护。

未经本公司最高管理层批准，任何人均不得以任何方式对本手册内容进行复制、传阅或外泄。

0.1目录0.2信息安全/信息技术服务管理手册修改记录 (3)0.3颁布令 (4)0.4任命书 (5)0.5公司简介 (6)0.6公司简介 (6)1.目的和适用范围 (8)2.引用标准 (9)3.术语和定义 (10)4 公司所处的环境 (8)4.1理解组织及其环境 (8)4.2理解相关方的需求和期望 (8)4.3确定信息安全/信息技术服务管理体系范围 (8)4.4信息安全/信息技术服务管理体系 (9)5.领导 (13)5.1领导和承诺 (13)5.2信息安全/信息技术服务方针 (13)5.3公司岗位、职责和权限 (14)6.规划 (17)6.1 应对风险和机遇的措施 (17)6.2信息安全/信息技术服务目标及其实现的规划 (1)7.支持 (21)7.1资源 (21)7.2能力 (21)7.3意识 (22)7.4沟通 (22)7.5文件化信息 (23)7.6知识 (25)8 运行 (25)8.1运行规划和控制 (25)8.2信息安全风险评估/服务组合 (27)8.3信息安全风险处置/关系和协议 (29)8.4供应与需求 (33)8.5服务设计构建和转换 (36)8.6解决和履行 (38)8.7服务保证 (40)9.绩效评价 (42)9.1监视、测量、分析和评价 (43)9.2内部审核 (44)9.3管理评审 (45)9.4信息技术服务报告 (45)10.改进 (46)附录1：信息安全/信息技术服务管理体系流程图 (48)附录2：公司组织机构图 (49)附录3：公司各部门职责与权限 (50)附录4：信息安全/信息技术服务职能分配表 (53)附录5：信息安全/信息技术服务方针和目标 (55)附录6：信息安全/信息技术服务管理流程图 (57)附录7：工程/信息化网络拓扑图 (59)0.2信息安全/信息技术服务管理手册修改记录0.3颁布令为提高ABCDE科技有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，以及规范我公司IT信息技术服务管理，提供满足顾客要求的信息技术服务，我公司开展贯彻ISO/IEC27001:2013《信息技术一安全技术-信息安全管理体系-要求》和ISO/IEC20000-1:2018《信息技术-服务管理-服务管理体系-要求》国际标准工作，建立、实施和持续改进文件化的管理手册体系，制定了《信息安全/信息技术服务管理手册》。

外包服务的管理制度第一章总则第一条为了规范外包服务的管理，提高外包服务的质量和效率，保障委托方和承包方的合法权益，制定本管理制度。

第二条外包服务是指委托方将自身的部分业务或业务流程交由承包方进行处理的一种合作模式。

外包服务的管理应当依法合规，遵循市场原则，公平、公正、透明。

第三条外包服务的管理应当遵循合同精神，明确双方的权利义务，以达成双赢的目标。

第四条外包服务的管理实施应当遵守国家有关法律法规，遵守合同约定，做到诚实守信，不得损害他人利益。

第二章外包服务的委托与承包第五条委托方和承包方应当签订书面合同，明确委托事项、服务内容、服务标准、服务期限、服务费用等各项内容。

第六条委托方应当根据实际情况选择合适的承包方，进行严格的评估和选择，确保承包方具备提供外包服务所需的能力和资质。

第七条承包方应当按照合同约定的服务内容和标准，按时、按质地完成委托方交办的工作。

第八条委托方和承包方应当建立健全的服务管理机制，及时沟通、协商解决问题，确保外包服务的顺利进行。

第九条委托方应当对承包方的服务进行监督和检查，及时发现并纠正问题，保障服务质量。

第十条承包方应当对委托方的信息进行严格保密，不得泄露委托方的商业秘密和个人隐私。

第十一条委托方和承包方应当遵守国家有关劳动法规，保障员工的合法权益，确保劳动关系的稳定。

第三章外包服务的质量管理第十二条外包服务的质量管理是外包服务管理的重要环节，委托方和承包方应当共同努力，提高服务质量。

第十三条委托方应当根据实际情况，制定外包服务的质量标准和评价指标，对承包方的服务质量进行评估。

第十四条承包方应当建立健全的内部质量管理体系，制定质量管理制度和操作规程，保证服务质量。

第十五条委托方和承包方应当建立质量反馈机制，及时收集用户意见和建议，改进服务质量。

第十六条委托方有权对承包方的服务进行抽查和评估，对不合格的服务提出整改要求，并对优质的服务进行奖励。

第十七条承包方应当加强员工培训，提高员工的服务意识和专业技能，提升服务质量。

外包管理制度第一章总则第一条为规范和加强外包管理工作，提高外包项目执行效率，保障外包项目的质量和安全，根据国家相关法律法规、政策、行业标准和公司发展需要，制定本制度。

第二条本制度适用于公司内外包业务管理。

第三条外包管理工作是公司对外包项目进行计划、组织、指导、监督、检查、评价等管理活动的过程。

第四条公司外包管理工作应当坚持科学、规范、合法、公正、透明的原则，保护外包人员的合法权益。

第五条公司外包管理工作应当遵循市场化、专业化、社会化的原则，发挥市场在资源配置中的决定性作用。

第六条公司外包管理应当注重保障外包项目的质量和安全，提高外包项目执行效率。

第七条公司外包管理应当注重信息化、智能化建设，提高外包管理工作的效率和水平。

第八条公司外包管理应当注重人才培养和队伍建设，提高外包管理人员的专业素养和综合能力。

第二章外包项目申报管理第九条公司外包项目的申报应当符合国家相关法律法规的规定，包括项目的范围、工作内容、预算、时间节点等。

第十条外包项目的申报应当由项目发起人按照公司规定的申报程序进行申报，经上级主管部门审核通过后方可启动项目。

第十一条涉及重大外包项目的申报，应当提供相应的技术支撑、方案论证、风险评估等材料。

第十二条公司外包项目的申报应当注重项目的科学性、可行性和经济性，确保项目的合理性和有效性。

第十三条公司外包项目的申报应当注重项目的社会效益和环境效益，保障项目的可持续发展和社会责任。

第十四条公司外包项目的申报应当注重项目的信息安全和知识产权保护，保障公司的合法权益。

第十五条公司外包项目的申报应当注重项目的风险管理和风险控制，确保项目的安全性和稳定性。

第十六条公司外包项目的申报应当注重项目的质量管理和安全保障，确保项目的质量和安全。

第十七条公司外包项目的申报应当注重项目的验收标准和结果评价，确保项目的绩效和效益。

第十八条公司外包项目的申报应当注重项目的监督和评估，确保项目的规范和效果。

第三章外包项目执行管理第十九条公司外包项目的执行应当按照项目管理计划进行组织、指导和监督。

<机密>易保ISO/IEC 27001:2013风险评估管理规定eBaoTech-ISMS-02-001易保网络技术有限公司<机密> 易保网络技术有限公司i版权及保密声明© 版权所有2017 易保网络技术有限公司。

保留所有权利。

未经版权持有人事先书面许可，严禁部分或全部复制。

未经版权持有人事先书面许可，客户或其任何员工不得向他人泄漏本文件信息，必须严格保密。

客户只能向有必要知晓该等信息的员工和/或专业顾问进行披露，并且应知会该等员工和/或专业顾问本声明之条款。

如有任何疑问，请联系易保网络技术有限公司 +86 (21)-61407777。

文档信息变更记录相关文档目录1目的 (2)2范围 (2)3职责 (2)3.1管理者代表 (2)3.2信息安全管理委员会 (2)3.3各部门负责人 (2)3.4全体员工 (2)4术语及定义 (2)5规定 (2)5.1风险评估总体要求 (2)5.2风险评估启动 (3)5.3信息资产识别与评价 (3)5.4风险识别与评价 (3)5.4.1识别并评价威胁： (3)5.4.2识别并评价弱点： (3)5.4.3计算风险值确定风险等级： (4)5.5风险处置计划与实施 (4)5.6风险评估的持续改进 (5)6相关文件 (5)7相关记录 (5)8APPENDIX I. 信息资产风险评估流程图 (7)9APPENDIX II. 威胁发生的可能性评价标准 (8)10APPENDIX III. 弱点可被利用的严重性评价标准 (9)11APPENDIX IV. 信息资产风险值计算公式 (10)12APPENDIX V. 风险等级划分标准 (11)<机密> 易保网络技术有限公司 11目的本规定定义了公司在开展信息资产风险评估工作过程中的人员职责以及信息安全风险识别、评估和处置的方法和程序，规范了各部门进行信息安全风险识别、评估和风险处置的工作流程。

XXXXXX软件有限公司人性化科技提升业绩文档资产分级管理制度目录一、文档资产分级及责任部门 (2)二、管理部门职责： (4)三、文档资产使用监管单位： (5)四、管理制度 (5)文档资产分级管理制度一、文档资产分级及责任部门1、一级：公司绝密级文件，是指公司最高涉密信息，与公司生存、经营、人事有重大利益关系，凡该信息泄漏后，足以严重损害本公司利益、影响本公司发展生存，使竞争对手因而取得领先地位，相对降低本公司竞争力的文件。

标记为F1。

由总经办承担安全管理责任。

主要包括：●未发布的经营战略、规划、计划；●其它应列为公司绝密级的资料。

2、二级：公司机密级文件，是指与本公司的生存、经营、人事有重要利益关系，凡该信息泄漏后，足以严重损害本公司各事业群体利益或有利于内外部竞争对手的，对公司信息安全造成重大的损害，需要严格保护的文件。

标记为F2。

由各相关部门承担安全管理责任。

主要包括：●公司薪酬制度及数据,人力资源对员工的绩效考核材料；●财务专用印签、帐号，保险柜密码文件，财务预/决算报告及各类财务统计报表；●公司对外项目投标的标书及标底方案；●系统管理员口令、设备开机或访问密码文件；●客户真实数据文件；●其它应列为公司机密级的资料。

3、三级：公司秘密文件，是指与本公司生存、经营、人事有较大利益关系，凡该信息泄漏后，足以严重损害本公司利益或有利于竞争对手的，会对公司安全造成较高的损害，需要以安全的方式加以保护的文件。

标记为F3。

由各相关部门承担安全管理责任。

主要包括：●员工个人信息、档案、数据等；●各类合同、协议、合作计划书等；●供应商及客户档案等；●市场广告企划、营销企划方案；●产品研发及项目实施文档、成果资料等；●项目管理文档资料；●包括客户的重要数据文件；●部门访问口令文件；●备份数据；●网络、设备等基础配置信息、数据等文件；●准备或已经申请国家、部、省、市级科技成果、专利的文件；●在同行业中处于领先地位的核心技术、替代技术、未公布的专利技术文件；●其它应列为公司秘密级的资料。

外包体系管理制度第一章总则第一条为了规范外包业务，明确各方责任，保障外包项目的顺利进行，制定本制度。

第二条本制度适用于公司内部和外部进行的所有外包业务，包括但不限于人力资源外包、财务外包、技术外包等。

第三条外包业务管理原则：依法合规、服务至上、责任明确、风险可控。

第四条外包业务管理目标：提高工作效率、降低成本、提高服务质量、确保信息安全。

第五条外包业务管理要求：标准化、流程化、规范化。

第六条公司设立外包管理委员会，负责外包业务的管理和监督工作。

第七条外包管理委员会的工作职责：制定外包业务管理政策、制定外包合同、审批外包计划、审核外包项目的实施进度和效果。

第二章外包业务管理流程第八条外包项目确定：公司各部门提出外包需求，经外包管理委员会审核认可后，方可确定外包项目。

第九条外包合同签订：外包项目确定后，由外包管理委员会负责起草外包合同，经法务部门审核后签订。

第十条外包实施：外包项目实施由委托方与受托方共同完成，委托方要配合受托方做好外包项目的过程管理和监督。

第十一条外包成果验收：外包项目完成后，由委托方负责对成果进行验收，确认合格后结清款项。

第十二条外包项目管理：外包项目的管理由外包项目经理负责，包括但不限于进度管理、质量管理、成本管理等。

第三章外包业务管理责任第十三条外包项目经理要负责外包项目的全面管理，保证项目按时、按质、按量完成。

第十四条外包项目受托方要负责为委托方提供符合要求的服务成果，确保信息安全。

第十五条外包项目委托方要配合受托方完成项目管理和监督工作，确保项目的顺利进行。

第十六条外包项目法务要负责审核外包合同，保障委托方的合法权益。

第四章外包业务管理安全第十七条外包项目实施过程中，应遵循信息安全管理规定，保护相关信息不被泄露、篡改或丢失。

第十八条外包项目实施过程中，应保证数据保存完整、可靠、可查，并定期备份数据。

第十九条外包项目实施过程中，应严格控制外包人员的权限，禁止越权访问、使用相关系统。

XXXXXX软件有限公司人性化科技提升业绩数据资产分级管理制度目录一、数据资产等级分类及责任部门 (2)二、管理部门职责： (4)三、数据资产使用监管单位： (6)数据资产分级管理制度一、数据资产等级分类及责任部门1、一级：重要敏感数据，包括公司数据资产，主要用于公司直接营收的数据，如提交给客户的客探结果数据，泄露会造成直接经济损失。

公司核心数据，经过加工的数据，有全方面的数据信息，需要严格管理，如客户肖像库，信息库，客户方提供的需要通过业务外包平台操作的数据，泄露后对公司可能造成全面损失。

这些数据被非法复制传播后，可造成经济上的重大损失和引发重大安全事故及涉诉事件。

由所涉及到的部门人员：服务部、如涉及财务数据由财务部共同承担安全管理责任。

标记为D1。

主要包括：●业务结果数据●客户信息数据●系统或网络安全控制配置数据，防火墙数据●业务帐号安全配置数据●业务运行配置数据●敏感客户业务原始数据●录音记录数据●财务帐目数据●其他敏感信息数据2、二级：非敏感重要数据，包括公司系统数据，由各种公司系统产生出的原始数据，限制范围使用，泄露对公司有可能造成某方面损失。

如启通宝系统通话记录，客探系统记录，被非法复制传播或丢失、损坏后，可造成一定的经济损失或引发客户投诉事件。

由所涉及到的部门人员：服务部承担安全管理责任。

标记为D2。

主要包括：●业务过程数据●启通宝通话记录●客探系统数据●系统运行日志数据●其他重要数据3、三级：公司内部非敏感数据及第三方非敏感数据，不对外公开，但公开对公司无损失的信息，如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。

由所涉及到的部门人员：服务部、测试部，销售部，研发部共同承担安全管理责任。

标记为D3。

主要包括：●员工通讯录●话述信息数据●系统测试业务数据●项目施工测试数据●项目施工过程数据●销售业绩数据●其他非敏感数据4、四级：普通数据，除上述数据以外的其他数据，包括公司可公开数据，可对外发布的各类信息，所有部门均可公开使用，如电话号段记录，城市区号记录。

XXXXXXX软件有限公司人性化科技提升业绩第三方服务管理工作指南目录1 范围 (2)2 规范性引用文件 (2)3 职责 (2)4 管理内容和要求 (3)4.1 第三方服务的确定 (3)4.2 对第三方服务的监督和评审 (3)4.3 第三方服务的变更管理 (4)4.4第三方人员及外包商安全管理 (4)4.5供应商协议中的安全 (5)4.6 信息和通信技术供应链 (6)第三方服务管理工作指南1 范围适用于公司信息安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。

为加强对第三方服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，特制定本程序。

2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

《信息技术安全技术信息安全管理体系要求》（GB/T 22080-2016/ISO/IEC 27001:2013）3 职责3.1 商务采购部负责统一管理第三方服务的控制活动，负责确定合格的第三方服务商。

3.2 各相关部门a) 与第三方服务商签订服务合同和保密协议；b) 负责对第三方服务商的服务进行安全控制；c) 负责定期对第三方服务商进行监督和评审。

4 管理内容和要求4.1 第三方服务的确定4.1.1 公司所需的第三方服务包括：a) 采购的物资需要委托第三方进行监造；b) 技术开发项目需要分包；c) 信息处理设备、网络、系统、软件需要第三方进行开发和维护；d) 信息安全等需要委托第三方提供服务；e) 其他服务提供方。

4.1.2 在与第三方签署服务合同前，相关的主管部门应明确第三方服务的内容和要求，评估由于第三方服务带来的信息安全风险，并对第三方提供服务的能力进行评定，应确保第三方有充分的提供服务的能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性，必要时可以通过招投标，确定合格的第三方服务提供商。

27001管理体系27001管理体系是一种国际标准，用于确保组织在信息安全管理方面采取适当的措施。

该标准提供了一套框架和方法，帮助组织建立、实施、维护和持续改进信息安全管理体系。

本文将对27001管理体系进行详细介绍，并探讨其在实际应用中的重要性和优势。

27001管理体系的目标是确保组织的信息资产得到充分保护，包括机密性、完整性和可用性。

该体系通过制定一系列政策、程序和控制措施，帮助组织识别和管理信息安全风险。

这些风险可能来自内部或外部的威胁，如黑客攻击、病毒感染、数据泄露等。

通过采取适当的措施，组织可以降低这些风险，并保护其关键信息资产。

27001管理体系的实施过程可以分为以下几个步骤。

首先，组织需要确定信息安全管理的范围和目标，制定信息安全政策，并为其指定信息安全管理团队。

然后，组织需要进行信息资产的评估和分类，确定关键信息资产，并识别相应的威胁和风险。

接下来，组织需要制定一系列信息安全控制措施，以降低风险的发生概率和影响程度。

这些措施可以包括技术控制、组织控制和物理控制等。

最后，组织需要对所实施的信息安全管理体系进行监控和评审，并持续改进其有效性。

27001管理体系的实施对组织来说具有重要意义。

首先，它可以帮助组织提高信息资产的保护水平，降低信息安全风险。

这对于那些依赖于信息技术的组织来说尤为重要，如银行、电信公司和电子商务企业等。

其次，它可以帮助组织提升客户和合作伙伴的信任度。

在信息安全意识不断提高的今天，客户和合作伙伴更加关注组织的信息安全管理水平。

通过实施27001管理体系，组织可以向外界证明其对信息安全的重视，并提供相应的保障。

此外，27001管理体系还可以帮助组织遵守法律、法规和合同要求，以及应对监管机构的审计和检查。

与其他管理体系标准相比，27001管理体系具有一些独特的优势。

首先，它是一个综合性的标准，涵盖了信息安全管理的各个方面，如组织管理、人员安全、物理安全、通信安全和应急管理等。

iso27001管理制度范文ISO 27001是信息安全管理系统的国际标准，旨在帮助组织建立、实施、监控、评审和不断改进其信息安全管理体系。

ISO 27001管理制度是指根据ISO 27001标准编写的一系列文件，用于规范组织的信息安全管理活动。

本文将以6000字以上的篇幅，为你详细介绍ISO 27001管理制度的主要内容和编写要点。

一、引言引言部分对ISO 27001管理制度的编写目的、适用范围、引用文件和术语进行了说明。

编写目的是指明制度的目标，例如：确保组织的信息资产得到适当的保护，降低信息风险等。

适用范围是指明适用该制度的部门或单位。

引用文件是指在制度编写和实施过程中需要参考的其他文件，如ISO 27001标准及其相关指南。

术语是指在制度中可能会使用到的专有名词和缩写词，如“信息资产”，“保密性”等。

二、信息安全管理制度的要求信息安全管理制度的要求部分主要包括以下内容：1. 领导承诺：要求组织的领导层承诺为信息安全管理提供资源和支持，确保信息安全政策的有效实施。

2. 策划阶段：要求组织进行信息安全管理的规划，确定信息安全目标和制定实施计划，进行风险评估和治理，并确定相应的信息安全响应措施。

3. 支持阶段：要求组织提供适当的资源，培训员工和提供意识教育，确保信息安全政策的有效传达和执行。

4. 运行阶段：要求组织建立信息资产管理制度、控制操作制度、传输管理制度等，确保信息安全管理活动的有效进行。

5. 性能评估阶段：要求组织定期进行内部和外部的性能评估，包括内审、管理评审和外审等，以确保信息安全管理体系的有效性和持续改进。

6. 持续改进阶段：要求组织通过分析评估结果、纠正和预防措施等，不断改进信息安全管理体系，提高信息安全管理的效果和成熟度。

三、信息安全政策信息安全政策是指组织为指导和约束员工和相关方在信息安全管理方面的行为所制定的规定。

信息安全政策应与组织的业务目标和风险承受能力相一致。

信息安全政策要明确保密性、完整性和可用性的要求，规范信息资产的分类和保护级别，确定责任和权限等。

文件制修订记录
一、外包服务资产分级及责任部门
1、一级：指公司为客户提供的第三方涉密数据服务，如涉密外包业务。

此类业务如果发生安全事故，我公司可能承担重大的法律风险，并会对公司外包运营业务和经济收益造成重大损失。

标记为T1。

由系统服务部承担安全管理责任。

2、二级：公司为客户提供的第三方非涉密数据服务，此类业务如果发生安全事故，会对公司运营活动造成较大影响，并对公司造成较大的经济损失，如通讯服务停止、批量外呼任务中断等。

标记为T2。

由系统服务部、业务开发人员共同承担安全管理责任。

3、三级：因其他可能的原因，使服务中断，不会直接对公司运营和经济造成影响的服务。

标记为T3。

由系统服务部承担安全管理责任。

二、管理部门职责：
1、系统服务部：
1)对于一级服务外包资产，服务场所执行一级环境资产安全管理制度和流程，服务数据执行一级数据资产安全管理制度和流程，业务依赖设备执行一级硬件资产管理制度和流程。

2)对于二级第三方服务资产，服务场所可执行二级环境资产安全管理制度和流程，服务数据执行一级数据资产安全管理制度和流程，业务依赖设备执行一级硬件资产管理制度和流程。

3)对于三级外包服务资产相关设施执行三级硬件资产、三级数据资产、三级环境资产管理制度和流程。

三、其他资产使用监管单位：系统服务部
四、管理制度
引用文件：
1、外包业务信息安全规范。

XXXXXXX软件有限公司人性化科技提升业绩外包服务管理规定目录1、目的 (2)2、适用范围 (2)3、管理规定 (2)3.1 机房安全 (2)3.2 网络安全 (2)3.3 系统管理 (2)3.4 用户管理 (3)3.5 数据安全 (3)3.6 合同管理 (4)3.7 运行时管理 (4)1)变更管理 (4)2) 应急响应 (5)3) 运维管理 (5)4) 系统管理 (5)5) 数据安全 (5)1、目的为了提高外包业务的服务质量，规范外包业务的管理活动，保障系统安全运行，提升外包服务业务人员安全意识水平，北京讯鸟软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，制定了本外包服务业务的管理规定。

2、适用范围本规定适用于云计算及互联网服务平台的所有应用系统。

3、管理规定3.1 机房安全机房应安装门禁系统和视频监控系统。

机房环境应符合相关机房管理规定的要求。

3.2 网络安全1) 外包服务的信息系统所在网络区域应与其他网络区域使用访问控制列表或防火墙进行网络安全隔离。

2) 外包服务的网络区域应部署入侵检测系统，及时分析入侵事件。

（增强性要求）3) 外包服务的网络区域应安装网络监控系统，及时监控网络访问情况。

（增强性要求）3.3 系统管理1) 运行应用系统的服务器和工作站必须安装防病毒系统，病毒库及时更新。

2) 应用系统首次投产前，应实施操作系统、数据库、应用漏洞扫描和渗透测试，修复高危漏洞后投产，并向甲方提交书面报告（包括漏洞扫描结果、分析报告、漏洞修复情况等内容）。

3) 应用系统客户端不允许直接连接数据库。

4) 信息系统应有日志审计功能，不提供删除、修改、覆盖日志功能。

3.4 用户管理1)应检查用户密码复杂度，密码不得与用户账号相同，密码组成至少包含大写字母、小写字母、数字和特殊字符四类要素中的三种，且长度至少为8位。

国际标准ISO/IEC 27001第二版2013－10－19信息技术-安全技术 -信息安全管理体系 -要求Information technology- Security techniques -Information securitymanagement systems-Requirements目录1 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织环境 (5)4.1 理解组织及其环境 (5)4.2 理解相关方的需求和期望 (5)4.3 确定信息安全管理体系的范围 (5)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织角色、职责和权限 (7)6 规划 (7)6.1 应对风险和机会的措施 (7)6.1.1总则 (7)6.1.2信息安全风险评估 (7)6.1.3信息安全风险处置 (8)6.2 信息安全目标和规划实现 (8)7 支持 (9)7.1 资源 (9)7.2 能力 (9)7.3 意识 (9)7.4 沟通 (10)7.5 文件记录信息 (10)7.5.1总则 (10)7.5.2创建和更新 (10)7.5.3文件记录信息的控制 (10)8 运行 (11)8.1 运行的规划和控制 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 绩效评价 (11)9.1 监视、测量、分析和评价 (11)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A（规范性附录）参考控制目标和控制措施 (15)参考文献 (23)ISO（国际标准化组织）和 IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

国家机构是 ISO或IEC的成员，他们通过各自的组织建立技术委员会参与国际标准的制定，来处理特定领域的技术活动。

ISO和IEC技术委员会在共同感兴趣的领域合作。

文件控制程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (2)4.管理内容及控制要求 (2)4.1文件的分类 (2)4.2文件编制 (3)4.3文件标识 (3)4.4文件的发放 (4)4.5文件的控制 (4)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (5)4.6.4版本控制 (5)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (6)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。