ISO27001：2013第三方服务资产分级管理制度

XXXXXX软件有限公司人性化科技提升业绩

第三方服务资产分级管理

目录

一、第三方资产分级及责任部门 (2)

二、管理部门职责： (2)

三、其他资产使用监管单位： (3)

四、管理制度 (3)

引用文件： (3)

第三方服务资产分级管理制度

一、第三服务资产分级及责任部门

1、一级：第三方服务商为我公司提供的服务，如若发生故障或中断，会给公司业务运营造成危害，对公司信用产生较大影响，在经济上造成巨大损失。标记为TS1。由系统服务部和商务采购部承担安全管理责任。

2、二级：第三方服务商为我公司提供的服务，如若发生故障或中断，会对公司运营活动造成一定影响，在经济产生一定损失。标记为TS2。由系统服务部和商务采购部承担安全管理责任。

3、三级：第三方服务商为我公司提供的服务如若发生故障或中断，不会直接对公司运营和经济造成影响。标记为TS3。由系统服务部和商务采购部承担安全管理责任。

二、管理部门职责：

1、服务部：

1）对于所涉及的第三方服务资产进行统一编号。

2）制定第三方服务资产安全管理制度

3）对第三方服务资产具有安全监控责任。

4）对于一级二级第三方服务涉及的软硬件设备设施须做好安全标记。

5）对于一级第三方服务资产，服务场所执行一级环境资产安全管理制度和流程，服务数据执行一级数据资产安全管理制度和流程，业务依赖设备执行一级硬件资产管理制度和流程。

6）对于二级第三方服务资产，服务场所可执行二级环境资产安全管理制度和流

程，服务数据执行一级数据资产安全管理制度和流程，业务依赖设备执行一级硬件资产管理制度和流程。

7）对于三级第三方服务资产相关设施执行三级硬件资产、三级数据资产、三级环境资产管理制度和流程。

2、商务采购部

1）与一级第三方服务提供方签的订合作协议中，明确服务指标要求及赔偿条款，并定期进行安全评审，对于可能发生的安全风险限期改进，改进后重新评审，直至符合要求。

2）与二级第三方服务提供方签的订合作协议中，明确服务指标要求及赔偿条款，并定期进行安全评审，对潜在的风险，采取降低风险的措施。

3）与三级第三方服务提供方签的订合作协议中，明确服务指标要求及赔偿条款。

三、第三方服务资产使用监管单位：服务部

四、管理制度

引用文件：

1、第三方服务管理规定