您的位置:360文档中心› 信息技术服务外包人员安全管理细则

信息技术服务外包人员安全管理细则

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息技术服务外包人员安全管理细则

1总则

1.1目的

为规范本公司对外包服务人员的信息安全管理工作,明确相关部门和人员职责,使信息技术外包服务纳入制度化、规范化管理,特制定本管理细则。

1.2适用范围

本规范适用于《名称》管理服务中心对外包服务商及外包服务人员的管理。

2术语和定义

3外包安全管理基本原则

在信息技术服务外包活动中,应遵循以下信息安全管理基本原则:

(一)责任延展原则。信息安全管理责任不随服务外包而转移,

无论《名称》数据和业务是位于自身信息系统还是外包服务

商的信息系统上,XXX都是信息安全的最终责任人。

(二)领导决策原则。信息技术外包应获得《名称》服务外包主

管领导的支持、批准和授权。

(三)风险控制原则。责任人员应始终关注信息技术服务外包可

能带来的信息安全风险,并能够及时应用风险控制措施。

(四)监督检查原则。运维部应对信息技术服务活动进行监管,

并接受信息安全主管部门的监督检查。

(五)数据归属关系不变。XX公司提供给外包服务服务商的数据、

设备等资源,以及外包服务过程中收集、产生、存储的数据

和文档等资源属XX公司所有。外包服务商应保障XX公司对

这些资源的访问、利用、支配,未经XX公司授权,外包服务

商和任何第三方不得访问、修改、披露、利用、转让、销毁。4角色与职责

4.1主管领导

XX公司领导小组担任信息技术外包服务信息安全管理的最高管理机构,承担外包活动的信息安全管理总职责,对外包活动中的信息安全相关事项具有一票否决权。主管领导具有以下职责:

(一)根据XX公司的信息安全管理总体框架,批准服务外包信息

安全管理策略。

(二)授权并支持相应的服务外包接口人具体管理外包活动的信

息安全。

(三)提供并保障服务外包信息安全管理所需要的资源。

(四)组织检查外包服务商的信息安全控制措施的执行情况。

(五)承担服务外包信息安全管理的监管职责。

(六)定期评审并发布本规定。

4.2外包服务责任人

主管领导可根据外包类型和项目的不同,设置多个外包服务责任人,负责具体的外包项目管理活动,主要职责如下:

(一)对信息安全主管领导负责,将服务外包信息安全管理情况、

信息技术服务外包信息安全执行情况及时报告主管领导。

(二)负责按本规定要求来管理外包服务人员,落实并监督外包

服务基本信息安全控制措施的执行情况,及时制止外包服务

人员的非安全行为。

(三)负责与本单位业务部门的协调,负责与外包服务商的协调。

(四)负责外包服务人员的管理,包括保密协议的签订、外包服

务人员信息数据网接入管理、外包服务人员权限创建与移除、

外包服务人员的变更管理等;

(五)承担外包服务信息安全管理的直接责任。

4.3外包服务人员

外包服务人员应严格遵守本规定中的相关要求。

5管理规定

5.1合同签订

外包服务商应与XX公司签署服务外包合同,合同内容应包括但不限于以下内容:

(一)所承担的外包服务的信息安全目标和保障措施。

(二)服务过程中不泄露我方重要敏感信息的信息安全承诺。

(三)未经XX公司授权不将服务进行分保的承诺。

(四)接受XX公司信息安全管理部门监督检查的义务。

(五)外包服务合同终止后对服务内容和信息的保密承诺。

5.2外包服务人员管理

5.2.1服务前

外包服务责任人在服务开始前应通过以下措施对外包服务人员进行安全管理:

(一)对于能接触到XX公司敏感信息的外包服务人员,应与其签

订《外包服务人员保密协议》(附件一),协议签订后方可接

触XX公司的敏感信息。

(二)应对外包服务人员进行适当的岗位描述、任用要求和其应

履行的信息安全职责要求,以降低资源被盗窃、滥用和误用

的风险。

(三)应要求外包服务商提供本单位外包服务人员的背景调查信

息,要求外包服务商为背景调查的结果负责。

(四)应要求外包服务人员承诺不使用含有恶意代码的产品、有

缺陷的产品或假冒产品进行相关服务工作。

5.2.2服务中

外包服务责任人在服务过程中应通过以下措施对外包服务人员进行安全管理:

(一)应对外保服务人员进行信息安全意识和相关管理制度的培

训,告知外包服务人员相关的安全责任和要求,并对培训结

果进行考核。

(二)应为外包服务人员办理上岗证,要求外包服务人员持证上

岗。

(三)应要求外包服务人员对工作中接触到的XXX敏感资源,不

得提供给其他任何人员,更不得上传到网络中供他人下载、

使用或查看。

(四)当出现外包服务人员职责变更或离职时,外包服务商应提

前一个月向外包责任人提出申请,同时外包服务商应安排接

替人员进行一个月的交接与熟悉,接替人员在这一个月中其

专业技能、工作能力、职业素养获得外包服务责任人认可后,

方能核准外包服务人员职责变更或离职申请,并要求外包服

务商收回其掌握的信息资产,禁止其向外传播。

5.2.3服务变更或中止

外包服务变更或中止后,外包服务责任人应要求外包服务人员归还借用的相关设备,办理资源归还手续,并通知各信息系统和IT基础设施负责人移除外包服务人员的相关权限。

5.3外包服务人员权限与设备接入管理

外包服务人员的对XX公司信息系统和资源的访问权限以及电脑

相关文档
最新文档