1第三方服务管理程序1目的为对第三方服务提供商(合作商)进行管控,减少安全风险,防范技术中心公司信息资产损失,特制定本程序。2范围适用于公司技术中心信息安全保密第三方服务管理活动,包括第三方确定过程、第三方的服务安全保密控制措施、第三方的服务监督和评审方法、第三方的变更管理。3职责3.1行政人力部综合管理部主责管理第三方服务的控制活动,相关部门商务中心、服务中心等负责具体管理职责范围内的第三服务。行政人力部系统运维及IT服务部负责信息处理设备、网络、系统、软件的采购和维护第三方服务的管理。3.2其他相关部门a)负责确定合格的第三方服务商,并与第三方服务商签订服务合同和保密协议;b)负责对第三方服务商的服务进行安全控制;c)负责定期对第三方服务商进行监督和评审;d)负责做好第三方服务商的变更管理。4程序4.1第三方服务的确定本公司技术中心所需的第三方服务包括:a)信息处理设备、网络、系统、软件需要第三方进行安装调试和维护;b)信息安全保密等需要委托第三方提供服务;c)其他服务提供方。在与第三方签署服务合同前,相关的主管部门应明确第三方服务的内容和要求,评估由于第三方服务带来的信息安全风险,并对第三方提供服务的能力进行评定,应确保第三方有充分的提供服务的能力,并且具备有效的工作计划,即便发生重大的服务故障或灾难也能保持服务的连贯性,必要时可以通过招投标,确定合格的第三方服务提供商。对重要的第三方服务提供商,应确定其信息安全保密管理要求和提供服务的能力要求并进行现场评定。确定合格的第三方服务提供商后,相关主管部门应与第三方签署第三方服务合同(SLA),并在服务合同中2体现信息安全风险金。如果服务中涉及需要第三方保密的信息,必须明确第三方的责任,并签订《第三方服务保密协议》。如果第三方服务涉及组织的知识产权,应明确第三方的知识产权保护责任,与第三方签署《知识产权声明书》。4.2对第三方服务的安全控制第三方需要提供服务人员的姓名、技术能力评定、联系方式等信息,服务人员需持有效身份证明进入工作场所。第三方服务人员进入组织区域提供服务的,应按照物理访问控制程序中有关临时人员的管理方法进行控制。第三方服务人员在现场提供服务的,应遵守现场安全保密有关规定。第三方服务人员在远程提供服务时,必须明确时间、地点、联系人、工作安排、预期结果、观察期等。对第三方技术人员在服务中需要设备入网时,第三方技术人员应填写《第三方逻辑访问申...
