《SMS-相关方服务管理程序.docx》由会员分享,可在线阅读,更多相关《SMS-相关方服务管理程序.docx(2页珍藏版)》请在优知文库上搜索。
1、相关方服务管理程序1 .目的为有效防范相关方带来的安全风险,加强和规范相关方的安全管理,保障公司的信息安全,特制定本程序。2 .范围本程序适用于本公司对相关方服务的管理。3 .职责与权限3.1 运维服务部是公司服务生命周期涉及的各相关方服务的归口管理部门,负责对公司所有与外部相关方的服务进行协调及管理。3.2 其他部门负责对本部门相关的服务相关方进行管理。4 .管理程序4.1 总则1.1.1 1.1本公司及子公司需要将设备、网络、系统、软件和信息安全等事项进行外包时,应与相关服务提供方签署服务合同。1.1.2 相关服务提供方需提供服务人员的姓名、技术能力评定、联系方式等信息,服务人员需持有效身
2、份证明进入现场。临时服务人员由专业人员全程陪同,长时间服务人员需办理外来人员临时出入证。1.1.3 相关服务人员在现场或远程服务时,必须明确相关内容,包括时间、地点、联系人、工作安排、预期结果、观察期等。4. 1.4外来人员的物理访问按安全区域管理程序进行。5. 1.5外来人员的逻辑访问按用户访问管理程序进行。4 .1.6应与当地政府部门(如执法部门、消防部门、监管部门等)保持联系,确保公司在发生信息安全事件时能及时有效处理,且符合相关法律法规要求。5 .1.7应与权威机构、特殊专业团体(如:信息安全协会、信息安全专家等)保持联系,以获得信息安全的最佳实践和最新状态的知识。4.2相关方能力的评
3、定4.2.1 将设备、网络、系统、软件和信息安全等事项外包时,应明确外包服务的内容和服务级别要求,对相关方提供服务的能力进行评定,必要时通过招投标,确定合格的服务方。4.2.2 应确保相关方保持充分的提供服务的能力,并且具备有效的工作计划,即便发生重大的服务故障或灾难也能保持服务的连贯性。4. 3协议履行4. 3.1安全控制5. 3.1.1服务提供方必须明确安全责任,并在服务合同中体现信息安全风险。6. 3.1.2对服务提供方技术人员在现场处理需要设备入网时,应填写“第三方访问申请/授权表”(请见用户访问管理程序),经相关部门领导同意后方可入网,对系统的巡检和维护需有相关人员陪同,按安全区域管
4、理程序和用户访问管理程序进行,并填写“第三方工作记录单”,或在运维记录、外来人员工作记录中填写第三方服务情况。7. 3.1.3第三方用户完成合同时,应办理完所负责的所有资产归还手续。8. 3.1.4第三方用户完成合同时,公司相关负责人应及时解除其访问权限。9. 3.2服务监控和评审10. .2.1相关服务归口管理部门应保持对第三方访问、处理公司的敏感信息、关键信息、信息处理设施的监控。11. 3.2.2相关服务归口管理部门应指定专人按照服务合同要求对服务情况进行检查,对服务内容和质量进行评审或验收。4.4服务的变更管理4.4.1 当服务提供方发生变更时,进行服务提供方变更登记,并进行服务、现有状态的评估。对变更后的服务提供方进行服务评估或验收。4.4.2 当服务内容发生变更时,进行服务内容变更登记,对服务变更后对现有系统进行评估,确保系统的安全性。