20-第三方服务管理程序.doc

第三方服务管理程序 1 目的 为对第三方服务提供商（合作商)进行管控，减少安全风险，防范技术中心公司信息资产损失，特制定本程序。 2 范围 适用于公司技术中心信息安全保密第三方服务管理活动,包括第三方确定过程、第三方的服务安全保密控制措 施、第三方的服务监督和评审方法、第三方的变更管理。 3 职责 2 3.1  行政人力部综合管理部主责管理第三方服务的控制活动，相关部门商务中心、服务中心等负责具体管理职责范围内的第三 服务。行政人力部系统运维及IT服务部负责信息处理设备、网络、系统、软件的采购和维护第三方服务的管理。 3.2 其他相关部门 a) 负责确定合格的第三方服务商，并与第三方服务商签订服务合同和保密协议； b) 负责对第三方服务商的服务进行安全控制； c) 负责定期对第三方服务商进行监督和评审； d) 负责做好第三方服务商的变更管理。 4 程序 4.1 第三方服务的确定 本公司技术中心所需的第三方服务包括： a) 信息处理设备、网络、系统、软件需要第三方进行安装调试和维护； b) 信息安全保密等需要委托第三方提供服务； c) 其他服务提供方。 在与第三方签署服务合同前，相关的主管部门应明确第三方服务的内容和要求，评估由于第三方服务带 来的信息安全风险，并对第三方提供服务的能力进行评定，应确保第三方有充分的提供服务的能力，并 且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性，必要时可以通过招投 标，确定合格的第三方服务提供商。 对重要的第三方服务提供商，应确定其信息安全保密管理要求和提供服务的能力要求并进行现场评定。 确定合格的第三方服务提供商后，相关主管部门应与第三方签署第三方服务合同(SLA)，并在服务合同中 体现信息安全风险金。如果服务中涉及需要第三方保密的信息，必须明确第三方的责任，并签订《第三 方服务保密协议》。 如果第三方服务涉及组织的知识产权，应明确第三方的知识产权保护责任，与第三方签署《知识产权声 明书》。 4.2 对第三方服务的安全控制 第三方需要提供服务人员的姓名、技术能力评定、联系方式等信息，服务人员需持有效身份证明进 入工作场所。 第三方服务人员进入组织区域提供服务的，应按照物理访问控制程序中有关临时人员的管理方法进 行控制。 第三方服务人员在现场提供服务的，应遵守现场安全保密有关规定。 第三方服务人员在远程提供服务时，必须明确时间、地点、联系人、工作安排、预期结果、观察期 等。 对第三方技术人员在服务中需要设备入网时，第三方技术人员应填写《第三方逻辑访问申请授权表》， 经相关主管部门审核、技术中心公司主管领导批准后，方可入网。 4.3 对第三方服务的监督和评审 相关主管部门应对第三方服务进行监督检查，对服务内容和质量进行记录和评审。填写在第三方服 务合同规定的保密期限内，相关主管部门应保存第三方服务期间的所有资料，尤其是第三方访问、处理 和管理敏感信息、关键信息、信息处理设施的监控和技术分析等方面的资料。 4.4 第三方服务的变更管理 当第三方发生变更时，相关主管部门应对第三方的服务和服务的现有状态进行评估，并编写《第三 方变更报告》。对于变更过的第三方仍需要按照本程序的 5.1 至 5.3 条款进行控制和管理。 当服务内容发生变更时，相关主管部门应对第三方的服务和服务的现有状态进行评估，还要对服务内容 变更后对现有信息系统影响进行评估，确保信息系统的安全性，并编写《第三方变更报告》。对于变更过 的第三方服务内容仍需要按照本程序的 5.1 至 5.3 条款进行控制和管理。 5 相关文件 《信息安全管理手册》 6 记录 记录名称 保存部门 保存期限 《第三方服务合同》 《第三方服务保密协议》 《第三方变更报告》 《第三方服务工作记录》 《第三方服务评审报告》 行政人力部 综合管理部行政人力部 综合管理部行政人力部 行政人力部 综合管理部 综合管理部行政人力部 3 年 3 年 3 年 3 年 3 年