ISO27001：2013供应商管理程序

合集下载

记录控制程序(ISO27001-2013)

记录控制程序1. 目的和范围 (2)2. 引用文件 (2)3. 职责和权限 (2)4. 记录控制要求 (2)4.1.信息安全相关运行记录包括： (2)4.2.记录模板编制 (3)4.3.记录填写和编制 (4)4.4.记录储存 (5)4.5.记录的保护 (5)4.6.保存期 (5)4.7.记录借阅及处置 (6)5. 相关文件 (6)1.目的和范围为了正确实施记录的标识、储存、保护、检索、保存期限和处置,以提供产品符合规定要求和信息安全管理体系有效运行的证据,实现其可追溯性和信息安全改进,特制订本制度。

本制度适用于所有与信息安全管理体系运行有关的所有记录的控制管理。

2.引用文件1)《文件控制程序》3.职责和权限1)总经办：是记录的归口管理部门，负责记录标识、储存、保护、检索、保存期和处置的管理与控制。

2)各部门：负责本部门记录的控制和管理。

4.记录控制要求4.1. 信息安全相关运行记录包括：1)管理评审记录；2)内部审核记录；3)人力资源教育、培训、技能和经验记录；4)监视和测量记录；5)风险评价、分析、处理记录；6)纠正措施实施结果记录；7)预防措施实施结果记录；8) 信息安全管理体系第二、三层文件规定体系运行产生的其它记录。

4.2. 记录模板编制1) 记录格式和模板按照信息安全管理手册、相关制度及文件的要求编写，并按《文件控制制度》中的变更管理的规定进行修订，由体系负责人审批。

总经办每年对公司的记录模板进行汇总，填写《信息安全体系文件管理矩阵表》。

其中：2) 文件密级F1～F5表示记录密级为一级到五级。

3) 层次号（D 表示记录、表单）● A 信息安全手册● B 制度文件● C 流程、管理规定● D 记录、表单4) 部门● 总经办 D ） 001～999）（1～5）文件版本号●财务部●行政部等5)记录编号●记录编号：文件编号中层次号为D时，表示本文档是记录表单，编号为文件顺序号。

4.3. 记录填写和编制1)记录的填写或编制由记录的发生部门专人负责, 按信息安全管理手册、制度及规定等要求，使用规定的表格或模板如实填写或编制。

最新ISO27001：2013信息安全管理体系一整套程序文件(共41个程序184页)

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

ISO27001：2013信息安全管理手册和程序文件

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

ISO27001 2013标准

Information technology- Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO (the International Organization for Standardization) and IEC (the International Electro technical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

ISO27001：2013信息安全管理体系全套程序09信息安全沟通协调控制程序

xx电子商务技术有限公司版本：A
信息安全沟通协调控制程序
JSWLS /IP-09-2009
编制：xx
审核：xx
批准：xx
2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布
程序文件版次：A/0
程序文件修改控制
序号版次修改章节修改人审核人批准人修改日期
程序文件版次：A/0
信息安全沟通协调控制程序
1 目的
为确保公司信息安全方面信息的内外部沟通渠道的畅通，特制定本程序。

2 范围
适用于公司有关信息安全事务的协商和内外信息交流的管理。

3 职责
3.1 技术部
3.1.1本程序归口管理部门为技术部，负责公司范围内有关信息安全方面的信息交流和沟通活动的日常管理工作，组织召开信息安全协调会；
3.1.2与相关的权威机构、专业团体或其他安全专家论坛以及专业协会建立和保持适当的联系；
3.2 办公室
3.2.1负责本公司信息安全管理信息向外部传递，与地方电信、消防、供电、供水公安等部门在信息安全管理方面保持联系。

3.3 其他部门
3.3.1根据职责分工在各自业务内，负责与地方等部门建立联系并进行沟通。

3.3.2负责收集本部门安全管理信息，并进行传递、沟通。

3.3.3在各自业务内，负责与相关方之间在信息安全方面进行纵向横向信息的交流与沟通。

4 相关文件。

ISO27001：2013第三方服务管理程序

XXXXXXXXX有限责任公司第三方服务管理程序[XXXX-B-34]V1.0变更履历1 目的为加强对第三方服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，特制定本程序。

2 范围适用于组织信息安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。

3 职责3.1 综合部a)负责统一管理第三方服务的控制活动。

b)负责定期对第三方服务商进行监督和评审；3.2 采购部a)负责确定合格的第三方服务商，并与第三方服务商签订服务合同和保密协议；b)负责做好第三方服务商的变更管理。

3.3 技术部a)负责第三方信息处理设备、网络、系统、软件的采购申请和基本维护；b)负责对第三方服务商的服务进行安全控制；4 相关文件《信息安全管理手册》《相关方信息安全管理程序》《安全区域管理程序》《信息系统访问与使用监控管理程序》5 程序5.1 第三方服务的确定本组织所需的第三方服务包括：a)采购的物资需要委托第三方进行监造；b)技术开发项目需要分包；c)信息处理设备、网络、系统、软件需要第三方进行开发和维护；d)信息安全等需要委托第三方提供服务；e)其他服务提供方。

在与第三方签署服务合同前，相关的主管部门应明确第三方服务的内容和要求，评估由于第三方服务带来的信息安全风险，并对第三方提供服务的能力进行评定，应确保第三方有充分的提供服务的能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性，必要时可以通过招投标，确定合格的第三方服务提供商。

对重要的第三方服务提供商，应确定其信息安全管理要求和提供服务的能力要求，制定《第三方信息安全核查计划》和《第三方信息安全核查表》并进行现场评定。

确定合格的第三方服务提供商后，相关主管部门应与第三方签署第三方服务合同(SLA)，并在服务合同中体现信息安全风险金。

如果服务中涉及需要第三方保密的信息，必须明确第三方的责任，并签订《第三方服务保密协议》。

ISO27001：2013信息安全管理体系一整套程序

文件控制制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.管理内容及控制要求 (3)4.1文件的分类 (3)4.2文件编制 (3)4.3文件标识 (4)4.4文件的发放 (5)4.5文件的控制 (5)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (6)4.6.4版本控制 (6)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (7)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。

ISO27001：2013设备管理规定

XXXXXX软件有限公司人性化科技提升业绩设备管理规定目录1. 目的和范围 (2)2. 引用文件 (2)3. 职责和权限 (2)4. 设备管理流程 (2)4.1. 设备资产统计 (2)4.2. 设备入网 (3)4.3. 设备安置与保护 (3)4.3.1信息设备安装管理 (3)4.3.2支持性设施安置管理 (3)4.3.3线缆安全 (4)4.4. 设备移动 (4)4.5. 维护、保养 (4)4.6. 设备处置 (4)4.7.无人值守的用户设备 (5)4.8.清空桌面和屏幕 (5)5. 笔记本电脑管理规定 (5)6. 实施策略 (5)7. 相关记录........................................................................................................ 错误！未定义书签。

1.目的和范围本制度是对信息资产分类中物理资产下的硬件设备的规划、购置、安装、验收、使用、维护、处置等各阶段进行有效控制，在保证设备安全的前提下最大限度发挥设备的效能，同时减少由于设备入网造成的安全风险。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3.职责和权限服务部：负责信息设备的使用、维护、处置。

信息设备指IT建设方面所需的硬件设备。

4.设备管理流程4.1. 设备资产统计1)服务部负责IT设备的统计，并更新完善《运营硬件固定资产清单库》。

ISO27001：2013信息安全管理体系一整套程序文件

4.1 防范的措施，主要是安装防火墙、入侵检测系统、使用加密程序和安装杀病毒软件。
4.1.1 在对外互联的网络间，IT 部安装防火墙、入侵检测系统、使用加密程序，同时在服务器和客户端上安装杀病毒软件。各部门应根据 IT 部的安排，从指定的网络服务器上安装企业版防病毒软件；单独成网或存在单机的部门，应由本部门 PC 管理员或指定专人负责安装防病毒软件，并周期性（如每周）对病毒库进行升级。 4.1.2 对于配置低、不适宜安装防病毒软件的微机，则不能接入局域网，进行病毒查杀和防范控制，加强日常点检，应做好点检记录。 4.1.3 XX 部负责设置企业版防病毒服务器，每日通过互联网自动进行病毒库的更新升级。
文件名称文件编号
恶意软件控制程序
XX-ISMS-10
版次 A/0
页码
日期 2017.11.01 3 /3
安全策略，确保本公司网络的安全。 4.4.2 对于涉及公司机密和国家秘密等重要系统严格实施网络隔离政策，严禁与互联网连接。
4.5 各部门应按照信息备份的要求(《重要信息备份管理程序》）进行重要数据和软件的备份。
a) 安装反病毒软件； b) 使用正版软件； c) 对软件更改进行控制； d) 对软件开发过程进行控制； e) 其他必要措施。
4.2 XX 部组织各部门进行有关防病毒及其他后门程序等恶意软件预防工作的培训，使各部门明确病毒及其他恶意软件的管理程序及责任。
4.3 预防恶意软件的通用要求保护不受恶意软件攻击的基础是安全意识，适当的系统权限。所有 IT 用户应养成良好
5 相关文件
《重要信息备份管理程序》《信息处理设备管理程序》
文件名称文件编号
第一节总则
更改控制程序
XX-ISMS-11

ISO27001：2013管理评审程序

XXXXXXXXX有限责任公司管理评审程序[XXXX-B-07]V1.0变更履历1 目的为确保组织信息安全管理体系持续的适宜性、充分性和有效性，评估组织信息安全管理体系改进和变更的需要，特制定本程序。

2 范围本程序适用于对信息安全管理体系中要求进行的管理评审的实施程序的管理。

3 职责3.1 总经理主持信息安全管理体系管理评审。

3.2 综合部负责信息安全管理体系管理评审的归口管理。

4 相关文件《信息安全管理手册》《文件控制程序》《记录控制程序》5 程序5.1 管理评审策划5.1.1 管理评审的频次5.1.1.1 定期管理评审由总经理主持，通常每年进行一次，一般在内部审核后一至两个月内进行。

5.1.1.2 非定期当遇到下列情况时，可不受5.1.1.1的限制，由综合部制定计划，报总经理批准后实施:a)当出现重大信息安全事件时；b)当信息安全管理体系发生较大变化时；c)当客户要求或外部环境条件发生重大变化时；d)内部审核、客户审核或ISO/IEC27001外部审核时，发现了对全组织有影响，属信息安全管理体系上的重大不符合事项时。

5.1.2 管理评审的方式管理评审以专题会议的方式进行，由总经理主持管理评审，评审会议由总经理、综合部、综合部全员、相关部门负责人参加，必要时可吸收对应专业管理人员参加。

5.1.3 管理评审的准备5.1.3.1 计划编制综合部根据综合部的要求组织编制《管理评审计划》，总经理批准后，提前一周下发至各相关部门。

5.1.3.2 相关准备相关部门按《管理评审计划》要求，对照信息安全管理体系运行情况进行自评，按各自职责做好相关信息、资料的准备工作，并将有关信息、资料于管理评审会议召开前3天提供给综合部。

5.1.3.3 资料汇总综合部将各相关部门提供的材料汇总、分析后编写《信息安全管理体系运行情况报告》。

5.1.3.4 议程管理评审会议召开前1天，综合部应安排好会议的议程，通过总经理批准后填写《管理评审通知单》，并发放至评审计划要求参加的各相关部门（人员）。

ISO27001：2013信息安全管理体系全套程序 37容量管理控制程序

5.3供应商选择
5.3.1技术部按公司采购管理的要求选择存储容量的硬件供应商。
5.3.2硬件供应商以及他们提供的产品和服务的控制《第三方服务控制程序》进行。
5.4方案的确定和实施
5.4.1《容量管理策划书》审批后提交给供应商进行采购。技术部负责容量变更的具体安装操作，经检查符合容量管理要求后，在《容量管理变更记录表》中进行记录；若不符合容量管理要求，则对容量需求重新策划、采购、实施，直到满足容量管理要求，并做记录。
5.2.2《信息系统容量需求书》应包括容量需求背景、容量管理目标、具体容量需求、容量变更时间要求等。《信息系统容量需求书》交技术部审核。
5.2.3技术部接到《信息系统容量需求书》后，应对信息系统的容量进行分析，提出《容量管理策划书》，包括当前系统容量要求、预计变更内容、成本估算。
5.2.4《容量管理策划书》应经业务部门确认。《信息系统容量需求书》和《容量管理策划书》，报总经理批准。
容量管理控制程序
JSWLS/IP-37-2009
编制：技术部
审核：何澜
批准：张德洲
程序文件修改控制
序号
版次
修改章节
修改人
审核人
批准人
了对公司信息系统容量进行有效的控制，监督、调整资源的使用情况，以确保信息系统正常使用，特制定本程序。
2范围
本程序适用于信息处理设施的CPU、内存、硬件存储设备容量的管理。
3职责
3.1总经理负责批准各种硬件采购的方案。
3.2技术部负责归口管理信息系统的容量，负责对信息系统的容量进行监控，对将来容量需求扩充进行策划。
3.3各部门负责在业务范围内提出信息系统的容量需求，以便统一进行容量扩充的策划。
4相关文件
4.1《信息安全管理手册》

ISO27001：2013信息处理设施管理程序

XXXXXXXXX有限责任公司信息处理设施管理程序[XXXX-B-38]V1.0变更履历1 目的为确保引进的信息处理设施的安全性、完整性和可用性，特制定本程序。

为对适用范围内的设备的维护过程实施有效控制，确保其连续的可用性和完整性，特制定本程序。

2 目的本程序适用于组织与IT相关各类信息处理设施（包括各类软件、硬件及服务)的采购、安装、配置和使用等事宜的管理。

本程序适用于本组织各类信息处理设施(包括传输线路)的维护管理。

3 职责3.1 技术部负责组织内办公用计算机和网络设备的管理与维护。

负责组织与IT相关各类信息处理设施及其服务的引进。

包括制作《采购计划书》、进行技术选型、安装和验收等。

4 相关文件《信息安全管理手册》《软件开发管理程序》《计算机管理程序》5 程序5.1 采购各部门必须采购的信息处理设施、外包开发信息系统项目或外包信息系统服务，得到本部门负责人的批准后，向技术部提交《采购计划书》。

《采购计划书》得到技术部批准后，技术部负责技术选型和供应商评价。

5.2 技术选型技术部负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行评价。

技术选型应该包含性能、相关设施的兼容性、协作能力、技术发展能力等。

技术选型结果应填写在《采购计划书》相关栏目中。

5.3 安装验收5.3.1 开箱检查设备到货后技术部应负责开箱检查，依照《采购计划书》和装箱单核对数量及物品，确认有无损坏并填写《验收报告》。

5.3.2 安装、调试、验收需要安装、调试的设施，技术部会同使用部门进行安装、调试。

在实施调试过程中出现的问题，要如实记录在《验收报告》中。

5.3.3 记录技术部应保持以下文件和记录：a)采购计划书b)采购合同及其相关附件c)验收报告5.4 移交使用验收合格后，可向相关的使用部门移交，移交时应同时移交相关使用说明书或操作手册，并填写《信息处理设施移交记录》。

设备移交后，使用部门应明确使用责任人，修改《信息处理设施一览表》上该设备的最新信息。

ISO27001供应商管理程序

文件制修订记录1、目的规范公司的供应商管理，通过对供应商提供服务的监督，提高供应商服务的质量和安全控制的要求。

2、适用范围本公司相关供应商。

3、定义3.1供应商：服务提供者之外的组织或组织的一部分，其与服务提供者签署协议，共同参与到服务或服务流程的设计、转换、交付和改进中。

注：供应商包括指定的总包商，但不包括他们的分包商。

3.2供应商回顾：就供应商提供的服务与合同进行比较，审查包括服务的要求、范围和等级以及沟通过程与相关方达成的一致，对不符合内容进行审查并要求其限期整改。

4、职责55.1管理策略5.1.1管理运营部指定人员代表作为与商务、采购部门的接口人，在与供应商签订合同的过程中提供支持，向采购和商务部门提供对供应商相关要求。

服务合同应尽可能细致，明确供应商交付服务的范围、供应商资质、服务目标、工作量、双方权利与职责、纠纷处理、收费依据、付款周期等信息；5.1.2与供应商签订服务合同后，供应商人员必须签订保密承诺书，确保公司的商业机密、贸易机密、操作信息、技术信息等不被泄露；5.1.3在供应商提供的服务涉及我方重要设备时，应在我们的监控区域进行服务，如在视频监控的区域或在我方人员陪同下进行。

服务商工作需记录并归档，作为服务商服务回顾时的依据；5.1.4每年按计划的时间间隔对供应商提供的服务进行回顾；供应商服务绩效依据签订的服务合同和服务目标进行测量；5.1.5与服务商的合同发生的变更，需要通过变更控制程序进行控制和管理。

5.2控制指标5.2.1关键绩效指标(KPI)5.2.2管理运营部经理负责供应商管理的改进，应按照PDCA持续改进方法，定期对供应商管理流程及其实际情况进行回顾。

将识别的改进事项记录到「改进计划表」并定期跟踪执行进度。

6、相关记录《供应商列表》《供应商评分表》《供应商评价报告》《供应商管理报告》。

ISO270012013供应商管理程序

XXXXXXXXX 有限责任公司供应商管理程序[XXXX-B-35]V1.0供应商管理程序1目的本程序的目的建立供应商管理程序，以管理并监督供应商，确保供应商具有足够能力交付符合公司要求的服务。

2范围本程序适用于本公司根据业务需求，需要对外采购服务所涉及的所有部门和所有为本公司提供服务的供应商。

3定义供应商管理是负责识别、管理、监督并与供应商维持良好合作关系的整个管理流程。

4职责采购部a）负责与供应商就其所提供服务的要求、范围和级别以及沟通流程与所有方面达成一致，并在服务级别协议或其他文件中书面记录。

b）确保与供应商签订的服务级别协议应与业务的服务级别协议保持一致，与供应商协商并书面规定所有方面使用的流程接口。

c）对合同或正式协议按照合同评审程序至少每年进行一次供应商合同评审，以确保仍能继续满足业务需求和合同要求。

d）如出现合同或服务级别协议的变更，应紧随评审之后或在其他要求的时间进行适当的变更。

e）负责建立解决合同争议的正式流程及服务的预期或提前终结或将服务转嫁给他方的流程。

f）根据服务级别目标来监视和评审业绩，根据业绩及流程中的记录，确定出可能的改进措施以作为其他部门制定服务改进计划的依据。

各相关部门配合并协助采购部进行供应商评审，反馈对供应商的意见和建议，参与供应商服务质量的评审，以作为制定服改进计划的依据。

5合同管理流程5.1合同起草与修订由采购部负责合同的起草、修订。

5.2合同评审在与供应商签订、续签、变更服务合同前，合同必须经过管理层审批。

5.3合同签订采购部负责执行与客户签订、续签、改签合同等工作。

5.4合同变更合同变更一般签署补充合同，由管理层进行合同评审。

5.5合同争议合同争议通过协商解决，协商达成一致通过变更管理签署补充合同，如果协商不能解决需要做仲裁。

5.6合同归档采购部负责合同归档、管理。

ISO27001：2013相关方信息安全管理程序

XXX科技有限公司相关方信息安全管理程序编号：ISMS-B-20版本号：V1.0编制：日期：审核：日期：批准：日期：受控状态1 目的为加强对组织相关方的控制，识别其信息安全风险，采取相应措施，防范组织的信息资产损失，特制定本程序。

2 范围本程序适用于组织信息安全管理范围内外部相关方管理活动，包括对供应商、外来人员、公司外驻员工、废弃物处理方及客户的信息安全方面的管理和监督。

3 职责3.1 综合管理部a)组织各部门识别外部相关方对信息资产和信息处理设施造成的风险；b)定期组织对相关方控制的实施活动进行检查与跟踪；c)负责与相关方人员签订保密协议。

3.2 各相关部门a)负责对本部门、本项目外的部门的相关方进行控制和管理；b)负责对客户提供的信息采取保密措施。

4 相关文件《安全区域管理程序》《物理访问策略》《用户访问管理程序》5 程序5.1 管理对象a)服务提供商：互联网服务提供商、电话提供商、IT维护和支持服务提供商、软件产品和IT系统开发商和供应商；b)管理服务提供商，管理咨询，业务咨询，外部审核方；c)清洁、物业、会计以及其他外包的支持性服务提供商；d)外来人员：快递人员、供应商等临时人员、实习学生；e)客户。

5.2 相关方信息安全管理综合管理部组织各部门识别外部相关方对信息资产和信息处理设施造成的风险，并在批准外部相关方访问信息资产和信息处理设施前，对所识别的风险实施适当的控制。

涉及对组织的信息资产物理访问、逻辑访问时，综合管理部应与相关方签署《相关方保密协议》。

《相关方保密协议》中应反映所有与相关方合作而引起的内部管理需求或信息安全需求，《相关方保密协议》中还要提请相关方对其员工进行必要的信息安全意识、技能培训和教育，使其满足工作要求。

在对信息安全的要求未实施适当的控制之前不应向外部相关方提供权限进行信息的访问。

综合管理部应确保外部相关方认识到其义务，并接受与访问、处理、交流或管理组织信息和信息处理设施相关的责任和义务。

ISO27001：2013信息系统应用管理程序

XXXXXXXXX有限责任公司信息系统应用管理程序[XXXX-B-17]V1.0发布日期2015年02月01日发布部门信息安全小组实施日期2015年02月01日变更履历版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0 初次发布信息系统应用管理程序1 目的为实施对公司信息系统应用活动的控制，特制定本程序。

2 范围本程序规定了信息系统应用的控制策略、应用需求、开发、测试、培训、故障处理、检查监督和考核，适用于信息系统应用活动的管理。

3 职责3.1 技术部负责按照应用系统的应用控制要求，指导各部门的使用，保证应用系统应用的规范性，协助各部门进行应用推广、检查监督与考核。

3.2 各职能部门应用系统所涉及业务的职能部门，负责系统的控制策略执行。

4 程序4.1 系统操作的控制策略4.1.1 技术部负责建立《应用系统一览表》，明确系统管理的职责。

各应用系统必须确定相应的系统管理员。

系统管理员不能由安全管理员兼任。

4.1.2各部门应对系统实用程序的使用进行限制和严格控制，严禁使用如优化大师，超级兔子等改变应用系统的工具，只有经过总经理授权使用的系统管理员方可使用实用工具网管软件等，且必需服从网络安全管理员检查监督和管理。

并由技术部建立《系统实用工具一览表》。

4.1.3 信息系统的访问控制，应用系统应严格按《用户访问管理程序》执行。

禁止访问系统中应用程序的用户使用系统实用工具。

因未按《用户访问管理程序》授权的用户访问造成的信息安全事件，技术部领导负主要责任。

4.1.4 应用系统的用户必须遵守各应用系统的相关管理规定，必须服从技术部系统管理员的检查监督和管理。

因应用系统用户未按相应的应用管理程序使用系统造成的信息安全事件，应用系统用户负主要责任。

4.1.5 信息系统用户不得利用信息系统做任何危及本公司、部门、他人或其他无关的活动。

4.1.6 信息系统用户必须严格执行保密制度。

对各自的用户帐号负责，不得转借他人使用。