安全服务商选择管理办法-安全管理制度

XXX网站平台

-- 安全服务商选择管理办法--

修订及审核记录

目录

第一章总则 (4)

第二章外包服务厂商管理 (4)

第三章外包服务人员管理 (5)

第四章外包服务安全管理 (5)

第五章服务执行管理 (6)

第六章附则 (6)

附件一： (7)

第一章总则

第一条为了规范XXX 运维外包服务管理模式，提高对外包服务厂商的工作人员的工作质量，及时解决外包过程中出现的各种问题，确保XXX 信息系统和计算机环境的安全稳定运行，特制订本管理制度。

第二条本办法所指运维外包服务主要包括XXX 机房基础环境的日常运维、机房硬件设备巡检和保洁、应用系统日常运维检查、单位网络设备、邮件系统、防病毒系统、教育门户网站系统日常安全维护等工作。

第三条本办法所指运维外包服务管理主要包括以下内容：外包服务厂商管理、外包服务人员管理、外包服务安全管理、外包服务执行管理。

第四条XXX 是本办法的制定部门。

第二章外包服务厂商管理

第五条外包服务厂商应能根据XXX 的信息系统技术架构，结合现行日常运维操作要求，实施合适的服务。针对服务项目中包含的各项具体操作，应能够确保正常运行并提供应急现场技术支持服务。外包服务厂商应提供应急备份外包服务人员联系电话和联系人姓名等具体信息，并确保在应急情况下，公司能通过手机等即时通讯手段与外包服务人员之间取得联系。

第六条外包服务厂商对XXX 交给的主要工作内容应形成对应的维护工作方案，维护工作过程中应及时提交阶段性执行分析报告。

第七条XXX 应对外包服务厂商的工作质量、工作数量、工作态度等进行年度考评。如果外包服务厂商年度总评价低于85%，应进行更换，并不得参与XXX 后续外包服务工作。

第三章外包服务人员管理

第八条运维外包服务人员进场时须向XXX 提供身份证明，外包服务人员进场后需填制《外部合作厂商人员信息登记表》（附件一），提交XXX 安全管理员备案。

第九条运维外包服务人员派驻XXX 现场的，必须注意XXX 的行为规范，，办公期间必须遵守有关规定和日常管理制度，上下班遵守XXX 的值班时间要求，不迟到，不早退；

第十条外包服务人员出入公司机房必须有XXX 人员陪同，并遵守XXX 相应规定登记审批。外包服务人员不得使用移动介质擅自复制或分发与工作有关的工作资料，一旦查实按违反保密协议处罚。

第十一条XXX 对外包服务人员的工作质量、工作数量、工作态度等进行年度考评。如外包服务人员年度总评价低于85%，应进行更换，并不得参与XXX 后续运维值班外包服务。

第四章外包服务安全管理

第十二条外包服务人员的运维操作权限申请、变更、删除应由XXX 按照《变更管理规定》会签执行，用户授权和权限管理应采取保守原则，选择最小的权限满足用户需求。

第十三条原则上各操作系统管理员、系统数据库管理员的密码不得交由外包服务人员。

第十四条外包服务厂商的工作人员执行系统更新、版本更新或其他有风险的操作时,要先制定好详细的操作方案（操作指导手册和故障恢复方法）, 在经过XXX 执行审批流程通过后方可执行。在执行的过程中严格按照计划上的步骤操作，并由XXX

监督完成。

第十五条外包服务人员因操作失误导致系统异常故障应立刻汇报XXX 安全管理员，并以书面形式汇报给外包服务厂商备案，外包服务厂商应针对发生的问题给出修正性方案，明确今后的预防措施。对外包服务厂商服务差错而导致的损失，XXX 有权通过商务途径对服务厂商和相应服务人员追究法律责任及赔偿。

第五章服务执行管理

第十六条在外包服务执行过程中，XXX 对外包服务实施跟进和全程监管

第十七条XXX 综合协助员须每月检查外包服务厂商的服务内容、服务方案、服务计划和技术水平、服务水平，监督外包服务厂商实施维护协议的内容，每季度检查外包服务厂商制定的服务方案实施落实过程是否有效。

第十八条为提高系统运行的可靠性，XXX 应与外包服务厂商定期举行例会，总结本阶段环境、设备、系统、服务的运行、执行情况，评估外包服务厂商的服务质量，研究尚未解决的问题和下阶段的工作计划，向厂商提出建议和要求，并监督厂商做好技术培训和管理工作。

第六章附则

第十九条本管理制度由XXX 拟稿，文件制订和解释权属于XXX 。

第二十条本管理制度自发布日起执行。

第二十一条XXX 每年统一检查和评估本管理规定，并做出适当更新。

在业务环境和安全需求发生重大变化时，也将对本规定进行检查和更新。附件一：

外部厂商人员信息表