ISO27001：2013第三方服务资产分级管理制度

XXXXXX软件有限公司人性化科技提升业绩信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险，这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失，需要规范信息资产保护方法和管理要求，特制订本管理制度。

本规定适用于本公司信息资产的安全管理，适用对象为本公司员工和所有外来人员。

特殊岗位或特殊人员，另有规定的从其规定。

公司信息资产是指一切关系公司安全和利益，在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求，各部门或各项目组，均可以根据客户要求，添加补充策略，并在本部门、本项目组内实施，与本规定一起，作为信息安全管理的工作指南。

信息资产管理规定（版本号：V1.1）更改控制页目录1目的 (2)2范围 (2)3术语定义 (2)4职责 (2)4.1管理者代表 ............................................................................ 错误!未定义书签。

4.2信息安全经理 (2)4.3各部门 (2)5内容 (3)5.1角色和责任 ............................................................................ 错误!未定义书签。

5.2信息资产类型 (3)5.3信息资产分级标准 (4)5.3.1信息资产密级确定方式 (5)5.3.2信息资产密级标注规定 (6)5.4信息资产处理和保护 (6)6相关文件 (8)7相关记录 (8)1目的本规定旨在对XXX内部重要的信息资产进行分类分级，对不同级别的信息资产提出恰当的处理原则，以便对信息的分发和流转进行恰当的控制，确保信息资产的保密性、完整性和可用性。

2范围本规定适用于整个xxx公司。

本规定所涉及的信息包括各种存储或者存在形式，包括但不限于电子信息、纸质数据文件、语音和图像等。

3术语定义责任人（Owner）：信息资产的创建者，或者主要用户所在组织、单位或部门的负责人。

信息资产责任人对所属信息资产负直接责任。

保管者（Custodian）：受信息资产责任人委托，对信息资产进行日常的管理。

用户（User）：信息资产的使用者，除了公司内部员工，也可能是因为业务需要而访问公司信息的客户或第三方组织。

4职责4.1信息安全经理负责确定信息资产的分类标准；负责制定信息资产的赋值规则；组织并指导各部门正确识别信息资产。

4.2各部门5内容5.1信息资产分类及维护信息资产责任人应该指导进行相关资产的调查，资产调查以业务流程为线索，包括各类输入、中间环节和输出信息，所有这些信息资产都为业务流程的运转提供支持。

iso27001管理制度ISO 27001 管理制度随着信息技术的快速发展和广泛应用，信息安全问题变得日益突出。

为了有效管理和保护组织的信息资产，ISO（国际标准化组织）制定了一系列关于信息安全的国际标准，其中包括 ISO 27001 标准。

ISO 27001 管理制度是一种基于风险管理理念的信息安全管理制度，旨在帮助组织建立、实施、操作、监控、评审和改进信息安全管理体系。

本文将对 ISO 27001 管理制度的基本概念、要求和实施步骤进行详细介绍。

一、概念ISO 27001 管理制度是指基于 ISO 27001 标准，组织在其信息安全管理体系中建立的一系列文件、程序和控制措施，以确保信息资产的保护、风险管理和持续改进。

该管理制度根据组织的实际情况，确定信息安全政策、目标、流程、责任和指南，并采取措施来识别、评估和应对信息安全风险。

二、要求1. 上级承诺：组织的最高管理层应明确承诺支持和推动信息安全工作，并确保信息安全政策得到贯彻执行。

2. 上下文分析：组织应了解其内外部环境，并确定与信息安全相关的利益相关方及其需求。

3. 领导参与：组织的领导应积极参与信息安全管理体系的规划、制定和实施。

4. 风险管理：组织应建立风险管理流程，识别、评估和处理信息安全风险，并制定相应的风险应对措施。

5. 信息安全目标：组织应根据风险评估结果设定信息安全目标，并确保其和组织目标的一致性。

6. 资产管理：组织应对信息资产进行管理，包括标识、分类、归类、备份、恢复和销毁等措施。

7. 安全意识培训：组织应为员工提供信息安全意识培训，加强他们对信息安全的认识和责任意识。

8. 操作控制：组织应制定适当的操作控制措施来保护信息资产的机密性、完整性和可用性。

9. 通信与运营管理：组织应规范和管理信息系统的通信和运营活动，确保其安全性和持续性。

10. 监控与评估：组织应建立有效的监控和评估机制，跟踪信息安全管理体系的运行状况和改进机会。

ISO27001第三方服务管理程序1目的保证公司信息安全和业务持续性，确保第三方交付的服务符合协议要求。

2适用范围适用于为公司提供服务的第三方的部门。

3职责与权限管理本部：（1）与公司基础设施和场所相关系统，由管理本部与相关厂商签订服务协议，并监督审核其提供的服务是否满足要求。

（2）与实习学生以及其他临时雇用的外部人员签订服务协议，并监督审核其提供的服务是否满足要求。

（3）在营销过程中发生的与其他机构的合作，负责签订协议，并监督审核提供的服务是否满足要求。

（4）对合作方、第三方以及实习生的筛选、审核等应遵循相关法律的规定以及行业规范。

4程序和工作流程4.1与第三方的协议要求◆规定双方的相关义务；◆合作中如涉及公司信息安全有关的业务、信息等，需签订《保密承诺书》等协议，以防止公司信息的泄露；◆要提供产品或者服务的使用说明和描述；◆规定协议的重新协商/终止条件；◆说明因为第三方的产品或者服务带来信息安全事故或者违背协议所要承担的责任；◆确保在协议截止时对所掌握的信息和资产进行归档和销毁；◆在与第三方合作的过程中，第三方因合作需要，需要访问信息处理设施的附加部件或服务的，亦适用本程序中规定的所有信息安全流程及要求。

4.2服务交付管理本部检查第三方交付的服务或者产品是否满足协议规定。

4.3服务监控和评审◆监控产品或者服务的执行效率；◆向第三方提供由于其所提供的产品或者服务所产生的信息安全事故；◆评审第三方审核跟踪和关于交付服务的安全事件、操作问题、故障、失误追踪和破坏记录。

维护过程中涉及机密信息的，应将第三方服务工程师的操作进行记录并由其签字确认。

填写《第三方服务维护登记表》。

◆解决和管理所有识别的问题4.4服务变更4.4.1公司需要的实施的服务变更：如果公司需要对提供的现有服务进行加强新的应用和系统的开发解决信息安全事故和改进安全的新的控制措施4.4.2第三方实施的变更：新技术的使用新产品或者新版本的采用服务设施物理位置的变更提供商的变更管理本部应该考虑变更对业务系统的影响，进行风险再评估，及时更新相关协议和工作流程。

XXXXXXX软件有限公司人性化科技提升业绩外包服务管理规定目录1、目的 (2)2、适用范围 (2)3、管理规定 (2)3.1 机房安全 (2)3.2 网络安全 (2)3.3 系统管理 (2)3.4 用户管理 (3)3.5 数据安全 (3)3.6 合同管理 (4)3.7 运行时管理 (4)1)变更管理 (4)2) 应急响应 (5)3) 运维管理 (5)4) 系统管理 (5)5) 数据安全 (5)1、目的为了提高外包业务的服务质量，规范外包业务的管理活动，保障系统安全运行，提升外包服务业务人员安全意识水平，北京讯鸟软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，制定了本外包服务业务的管理规定。

2、适用范围本规定适用于云计算及互联网服务平台的所有应用系统。

3、管理规定3.1 机房安全机房应安装门禁系统和视频监控系统。

机房环境应符合相关机房管理规定的要求。

3.2 网络安全1) 外包服务的信息系统所在网络区域应与其他网络区域使用访问控制列表或防火墙进行网络安全隔离。

2) 外包服务的网络区域应部署入侵检测系统，及时分析入侵事件。

（增强性要求）3) 外包服务的网络区域应安装网络监控系统，及时监控网络访问情况。

（增强性要求）3.3 系统管理1) 运行应用系统的服务器和工作站必须安装防病毒系统，病毒库及时更新。

2) 应用系统首次投产前，应实施操作系统、数据库、应用漏洞扫描和渗透测试，修复高危漏洞后投产，并向甲方提交书面报告（包括漏洞扫描结果、分析报告、漏洞修复情况等内容）。

3) 应用系统客户端不允许直接连接数据库。

4) 信息系统应有日志审计功能，不提供删除、修改、覆盖日志功能。

3.4 用户管理1)应检查用户密码复杂度，密码不得与用户账号相同，密码组成至少包含大写字母、小写字母、数字和特殊字符四类要素中的三种，且长度至少为8位。

XXXXXX软件有限公司人性化科技提升业绩文档资产分级管理制度目录一、文档资产分级及责任部门 (2)二、管理部门职责： (4)三、文档资产使用监管单位： (5)四、管理制度 (5)文档资产分级管理制度一、文档资产分级及责任部门1、一级：公司绝密级文件，是指公司最高涉密信息，与公司生存、经营、人事有重大利益关系，凡该信息泄漏后，足以严重损害本公司利益、影响本公司发展生存，使竞争对手因而取得领先地位，相对降低本公司竞争力的文件。

标记为F1。

由总经办承担安全管理责任。

主要包括：●未发布的经营战略、规划、计划；●其它应列为公司绝密级的资料。

2、二级：公司机密级文件，是指与本公司的生存、经营、人事有重要利益关系，凡该信息泄漏后，足以严重损害本公司各事业群体利益或有利于内外部竞争对手的，对公司信息安全造成重大的损害，需要严格保护的文件。

标记为F2。

由各相关部门承担安全管理责任。

主要包括：●公司薪酬制度及数据,人力资源对员工的绩效考核材料；●财务专用印签、帐号，保险柜密码文件，财务预/决算报告及各类财务统计报表；●公司对外项目投标的标书及标底方案；●系统管理员口令、设备开机或访问密码文件；●客户真实数据文件；●其它应列为公司机密级的资料。

3、三级：公司秘密文件，是指与本公司生存、经营、人事有较大利益关系，凡该信息泄漏后，足以严重损害本公司利益或有利于竞争对手的，会对公司安全造成较高的损害，需要以安全的方式加以保护的文件。

标记为F3。

由各相关部门承担安全管理责任。

主要包括：●员工个人信息、档案、数据等；●各类合同、协议、合作计划书等；●供应商及客户档案等；●市场广告企划、营销企划方案；●产品研发及项目实施文档、成果资料等；●项目管理文档资料；●包括客户的重要数据文件；●部门访问口令文件；●备份数据；●网络、设备等基础配置信息、数据等文件；●准备或已经申请国家、部、省、市级科技成果、专利的文件；●在同行业中处于领先地位的核心技术、替代技术、未公布的专利技术文件；●其它应列为公司秘密级的资料。

第三方服务管理工作指南
目录
1 范围 (2)
2 规范性引用文件 (2)
3 职责 (2)
4 管理内容和要求 (3)
4.1 第三方服务的确定 (3)
4.2 对第三方服务的监督和评审 (3)
4.3 第三方服务的变更管理 (4)
4.4第三方人员及外包商安全管理 (4)
4.5供应商协议中的安全 (5)
4.6 信息和通信技术供应链 (6)
第三方服务管理工作指南
1 范围
适用于公司信息安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。

为加强对第三方服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，特制定本程序。

2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

《信息技术安全技术信息安全管理体系要求》（GB/T 22080-2016/ISO/IEC 27001:2013）
3 职责
3.1 商务采购部
负责统一管理第三方服务的控制活动，负责确定合格的第三方服务商。

3.2 各相关部门
a) 与第三方服务商签订服务合同和保密协议；
b) 负责对第三方服务商的服务进行安全控制；
c) 负责定期对第三方服务商进行监督和评审。

Information technology- Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO (the International Organization for Standardization) and IEC (the International Electro technical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

XXXXXX 软件有限公司人性化科技提升业绩人员资产分级管理制度目录一•人员资产等级分类及责任部门........................................................ 2.二.管理部门职责..................................................................... 2..三•人力资源安全监管部门.............................................................. 3.四•管理制度 ......................................................................... 3..一•人员资产等级分类及责任部门一级（P1 ）：公司内部关键岗位人员，如公司中高层管理人员（公司副总、各部门总监级、经理级的管理人员）、各信息系统管理人员、源代码管理人员、重要账务处理人员（会计主管、薪酬福利主管、法务、出纳）、金融及重点客户部、中高级开发工程师。

二级（P2）：基层管理人员（公司主管级的管理人员）以及系统服务部、平台开发部、云计算及移动互联网开发部、大数据开发部、云呼叫业务开发部、系统架构委员会、产品部。

三级（P3）：测试部、战略及整合营销部、客户增长及增值服务部、服务运营委员会、大数据营销顾问部、自建服务部。

四级（P4）:人力资源部、行政部、商务采购部、总经办。

五级（P5）:临时雇用人员、最终客户、来自外单位的专业服务机构等相关第三方人员。

公司的人员资产由人力资源部、行政部以及员工所任职的部门共同负责管理。

二.管理部门职责1•人力资源部管理职责1）负责组织各部门编制部门所属员工的工作职能2）负责员工的专业资质审查、招聘和背景调查等3）负责员工调动、离职的审查和批准等4）负责第三方人员信息安全管理工作5）负责普及信息安全防范意识，并针对信息安全违规事件向公司提出处理建议2•行政部：1 ）负责办公资产的采购、接收、登记、分配、维护等管理2）负责根据员工差旅、会议行程等做好相关事务处理3）负责员工入、离职手续行政部分的办理4）负责公司考勤制度执行及考勤记录统计5 ）负责组织第三方人员来访的接待工作3•任职部门：1）负责对本部门员工的工作进行常规的监督管理2）负责本部门员工的岗位技能培训，并根据情况进行培训考核三•人力资源安全监管部门总经办四•管理制度引用文件：1•信息安全之人力资源安全管理制度2•背景调查管理规定3.办公固定资产管理规定。

XXXXXX软件有限公司人性化科技提升业绩数据资产分级管理制度目录一、数据资产等级分类及责任部门 (2)二、管理部门职责： (4)三、数据资产使用监管单位： (6)数据资产分级管理制度一、数据资产等级分类及责任部门1、一级：重要敏感数据，包括公司数据资产，主要用于公司直接营收的数据，如提交给客户的客探结果数据，泄露会造成直接经济损失。

公司核心数据，经过加工的数据，有全方面的数据信息，需要严格管理，如客户肖像库，信息库，客户方提供的需要通过业务外包平台操作的数据，泄露后对公司可能造成全面损失。

这些数据被非法复制传播后，可造成经济上的重大损失和引发重大安全事故及涉诉事件。

由所涉及到的部门人员：服务部、如涉及财务数据由财务部共同承担安全管理责任。

标记为D1。

主要包括：●业务结果数据●客户信息数据●系统或网络安全控制配置数据，防火墙数据●业务帐号安全配置数据●业务运行配置数据●敏感客户业务原始数据●录音记录数据●财务帐目数据●其他敏感信息数据2、二级：非敏感重要数据，包括公司系统数据，由各种公司系统产生出的原始数据，限制范围使用，泄露对公司有可能造成某方面损失。

如启通宝系统通话记录，客探系统记录，被非法复制传播或丢失、损坏后，可造成一定的经济损失或引发客户投诉事件。

由所涉及到的部门人员：服务部承担安全管理责任。

标记为D2。

主要包括：●业务过程数据●启通宝通话记录●客探系统数据●系统运行日志数据●其他重要数据3、三级：公司内部非敏感数据及第三方非敏感数据，不对外公开，但公开对公司无损失的信息，如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。

由所涉及到的部门人员：服务部、测试部，销售部，研发部共同承担安全管理责任。

标记为D3。

主要包括：●员工通讯录●话述信息数据●系统测试业务数据●项目施工测试数据●项目施工过程数据●销售业绩数据●其他非敏感数据4、四级：普通数据，除上述数据以外的其他数据，包括公司可公开数据，可对外发布的各类信息，所有部门均可公开使用，如电话号段记录，城市区号记录。

XXXXXXX软件有限公司人性化科技提升业绩办公固定资产管理规定第一章总则 (2)一、目的 (2)二、固定资产的分类原则 (2)三、固定资产的计价原则 (2)四、固定资产的管理目标： (2)五、固定资产的管理原则： (3)第二章办公固定资产管理办法 (3)一、职责和权限 (3)二、办公固定资产管理流程 (4)㈠办公固定资产的采购管理 (4)㈡办公固定资产的验收管理 (4)㈢办公固定资产的编码管理 (5)㈣办公固定资产的统计管理 (6)㈤办公信息设备的安置管理 (7)㈥办公固定资产的移动管理 (7)㈦办公固定资产的变动管理 (8)㈧办公固定资产的维护管理 (9)㈨办公固定资产的闲置管理 (9)㈩办公固定资产的报废管理 (10)（十一）办公固定资产的赔偿管理 (10)（十二）办公固定资产的监督管理 (11)第一章总则一、目的为加强北京讯鸟软件有限公司的固定资产的管理，保证固定资产的完好无损，防止资产流失，使公司固定资产能够更好的为公司运营及管理服务，特作如下规定。

二、固定资产的分类原则（一）单位价值在2000元以上，使用年限在一年以上的办公固定资产，指用于办公的网络设备、电子及办公设备、办公家具等；（二）单位价值在2000元以上，使用年限在一年以上的运营固定资产，指为公云、私云服务采购的资产。

三、固定资产的计价原则（一）购入的固定资产按购入价格入帐，按规定支付的购置附加费计入购价，购置运杂费不计入购价。

（二）有偿调入的固定资产，按调拨价入帐。

（三）无偿调入、捐赠的固定资产估价入帐。

四、固定资产的管理目标：全程可视、流转可控、职责明确，达到资产投资收益和使用效率的最大化。

五、固定资产的管理原则：北京讯鸟软件有限公司及下属分公司、子公司的固定资产实行统一核算，分级归口管理的原则，即由公司财务部、行政部、系统服务部制定固定资产管理办法，进行统一核算，设立总帐；分管部门和各使用部门按照固定资产管理制度的规定属地管理本地区固定资产。

XXXXXXX软件有限公司人性化科技提升业绩第三方服务管理工作指南目录1 范围 (2)2 规范性引用文件 (2)3 职责 (2)4 管理内容和要求 (3)4.1 第三方服务的确定 (3)4.2 对第三方服务的监督和评审 (3)4.3 第三方服务的变更管理 (4)4.4第三方人员及外包商安全管理 (4)4.5供应商协议中的安全 (5)4.6 信息和通信技术供应链 (6)第三方服务管理工作指南1 范围适用于公司信息安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。

为加强对第三方服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，特制定本程序。

2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

《信息技术安全技术信息安全管理体系要求》（GB/T 22080-2016/ISO/IEC 27001:2013）3 职责3.1 商务采购部负责统一管理第三方服务的控制活动，负责确定合格的第三方服务商。

3.2 各相关部门a) 与第三方服务商签订服务合同和保密协议；b) 负责对第三方服务商的服务进行安全控制；c) 负责定期对第三方服务商进行监督和评审。

4 管理内容和要求4.1 第三方服务的确定4.1.1 公司所需的第三方服务包括：a) 采购的物资需要委托第三方进行监造；b) 技术开发项目需要分包；c) 信息处理设备、网络、系统、软件需要第三方进行开发和维护；d) 信息安全等需要委托第三方提供服务；e) 其他服务提供方。

4.1.2 在与第三方签署服务合同前，相关的主管部门应明确第三方服务的内容和要求，评估由于第三方服务带来的信息安全风险，并对第三方提供服务的能力进行评定，应确保第三方有充分的提供服务的能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性，必要时可以通过招投标，确定合格的第三方服务提供商。

文件控制程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (2)4.管理内容及控制要求 (2)4.1文件的分类 (2)4.2文件编制 (3)4.3文件标识 (3)4.4文件的发放 (4)4.5文件的控制 (4)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (5)4.6.4版本控制 (5)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (6)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。

XXXXXX软件有限公司人性化科技提升业绩第三方人员管理规定目录1目的 (2)2管理范围 (2)3机构和职责 (2)4管理内容 (2)5相关记录 (5)1目的为保障本公司信息安全，规范第三方人员进行维护时的安全管理，特制定此第三方人员管理规定。

2管理范围本规定适用于本公司拥有的、控制和管理的所有信息系统、数据和网络环境。

第三方人员是指除本公司员工以外所有的组织和人员。

第三方人员分为临时第三方人员和非临时第三方人员。

临时第三方人员是指因某些临时需求来访公司的人员，如：面试人员、客户以及其他来访人员等。

非临时第三方是指来自外单位的专业服务机构，为本单位提供设备、网络、系统、软件、信息安全、保洁等服务的工作人员，如：项目人员、设备维护人员、保洁人员、快递人员、物业人员等。

3机构和职责3.1行政部：第三方人员的组织接待，行政相关供应商的合理选用及管理3.2商务采购部：采购相关供应商的合理选用及管理3.3值班人员：第三方人员的专门接待人员4管理内容4.1临时第三方的管理：⑴临时第三方自进入本公司起至离开止，必须由部门安排专人（下称“值班人员”）陪同，不得任其自行走动。

⑵临时第三方进入本公司进行业务活动，应在前台登记《来访客人登记表》，然后由值班人员引领到指定的场所进行业务洽谈。

⑶公用办公区域的网络要设置独立的访客区，以便临时第三方使用，如有上网需求，要在《来访客人登记表》做备注。

⑷临时第三方无权进入公司E1环境区域，特殊情况需要相关环境资产负责人授权，详见《受控区域访问申请表》。

⑸业务洽谈一般应当在会议室内进行，不得在公共办公区域进行。

⑹除预定的工作内容外，值班人员不得为临时第三方随意安排其它活动；不得向临时第三方透露业务范围之外的本公司的技术和商务情况。

⑺结束业务活动后，临时第三方如与公司其它部门有业务联系，值班人员应通知相关部门另行接待，值班人员的义务至相关部门人员领走临时第三方为止；如无其它业务，值班人员应陪送临时第三方离开公司。