信息服务安全管理规范(标准版)

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

When the lives of employees or national property are endangered, production activities are stopped to rectify and eliminate dangerous factors.

(安全管理)

单位:___________________

姓名:___________________

日期:___________________

信息服务安全管理规范(标准版)

信息服务安全管理规范(标准版)导语:生产有了安全保障,才能持续、稳定发展。生产活动中事故层出不穷,生产势必陷于混乱、甚至瘫痪状态。当生产与安全发生矛盾、危及职工生命或国家财产时,生产活动停下来整治、消除危险因素以后,生产形势会变得更好。"安全第一"

的提法,决非把安全摆到生产之上;忽视安全自然是一种错误。

1目的

保护组织的信息系统被外部方访问时的安全,保证公司信息系统安全水平不会因为外部方访问、提供产品和服务而降低;及时、有效、可控的管理外部方所提供的服务质量、服务交付和安全状况,规范公司外部方服务管理相关的流程及安全要求。

2适用范围

适用于对所有访问公司信息系统外部方的安全管理,以及对外部方服务的管理。

3术语和定义

第三方服务:因业务或其它原因,对组织信息系统进行访问、操作、服务的外部组织。

4职责和权限

4.1信息安全领导办公室

负责对组织所有外部方进行统一管理;

识别外部方访问或服务时的风险;

负责对第三方访问机密信息访问的审批和管理。

4.2各部门

协助信息安全领导办公室做好对外部方服务的管理和监督。

5相关活动

5.1第三方服务需求确定

根据业务工作需要,由各部门提出第三方服务需求,并由XXX部汇总后报信息安全领导办公室审批。

服务需求内容除服务内容、水平和要求外,还应明确是否涉及访问公司的机密级信息。

5.2第三方服务安全管理

5.3.1公司与第三方服务方应签订相关服务协议,在协议中明确服务内容、服务水平、信息安全要求等内容。

5.3.2对组织的秘密信息一般不允许外部方进行访问。特殊情况下,必须经信息安全领导办公室审核后,经副总经理批准后方可访问。

在新建、改建、扩建信息系统时,如确需对公司的信息系统进行访问,应由接待部门提出申请,经信息安全领导办公室批准后,仅限访问公司的内部(含)以下内部的信息。

接等部门在提出申请时,需要明确如下内容:外部方的基本情况、访问的范围、所涉及公司内部信息的安全级别、访问信息系统的时限等。

信息安全领导办公室对提出的申请,进行评审,识别存在的安全风险,必要时制定相应的控制措施。如:

对外部方所能访问的信息进行限制;

对外部方访问公司信息系统的过程进行监控;

与外部方签署安全保密协议。

5.3.3信息系统的日常维护由公司的XXX部门负责,如需要外部方进行技术支持,先提出申请,经批准后方可实施,且必须有公司人员现场陪同,防止信息泄露。

5.3.4第三方服务常驻人员必须经公司的人力资源部审核,并与公司签订相关保密协议。

5.3.5第三方对信息系统的访问,信息系统管理部门应做好监控记录并予以保存。

5.3第三方服务的评审和变更

公司每年对第三方服务进行一次评审。

由于某种原因,需要更换第三方服务,由相关部门提出申请,经

信息安全领导办公室审核后实施。

变更后的第三方服务按本程序5.2进行安全管理。

6相关文件和记录

XX设计有限公司

Your Name Design Co., Ltd.

相关文档
最新文档