《B20信息安全-相关方管理程序.docx》由会员分享,可在线阅读,更多相关《B20信息安全-相关方管理程序.docx(4页珍藏版)》请在第一文库网上搜索。
1、深圳市*科技有限公司相关方信息安全管理程序编 号:ISMS-B-20版本号:VI. 0编制:日期:2021-8-5审核:日期:2021-8-5批准:日期:2021-8-5受控状态受控文件1目的为加强对组织相关方的控制,识别其信息安全风险,采取相应措施,防范组织的信息资产损失,特制定本程序。2范本程序适用于组织信息安全管理范围内外部相关方管理活动,包括对供应商、外来人员、公司外驻员工、废弃物处理方及客户的信息安全方面的管理和监督。3职责3.1 综合管理部a)组织各部门识别外部相关方对信息资产和信息处理设施造成的风险;b)定期组织对相关方控制的实施活动进行检查与跟踪;c)负责与相关方人员签订保密协
2、议。3.2 各相关部门a)负责对本部门、本项目外的部门的相关方进行控制和管理;b)负责对客户提供的信息采取保密措施。4相关文件安全区域管理程序物理访问策略用户访问管理程序5程序5.1管理对象a)服务提供商:互联网服务提供商、电话提供商、IT维护和支持服务提供商、软件产品和IT系统开发商和供应商;b)管理服务提供商,管理咨询,业务咨询,外部审核方;C)清洁、物业、会计以及其他外包的支持性服务提供商;d)外来人员:快递人员、供应商等临时人员、实习学生;e)客户。5. 2相关方信息安全管理综合管理部组织各部门识别外部相关方对信息资产和信息处理设施造成的风险,并在批准外部相关方访问信息资产和信息处理设
3、施前,对所识别的风险实施适当的控制。涉及对组织的信息资产物理访问、逻辑访问时,综合管理部应与相关方签署相关方保密协议。相关方保密协议中应反映所有与相关方合作而引起的内部管理需求或信息安全需求,相关方保密协议中还要提请相关方对其员工进行必要的信息安全意识、技能培训和教育,使其满足工作要求。在对信息安全的要求未实施适当的控制之前不应向外部相关方提供权限进行信息的访问。综合管理部应确保外部相关方认识到其义务,并接受与访问、处理、交流或管理组织信息和信息处理设施相关的责任和义务。5.3 对外来人员的管理外来人员主要有:临时工、外来参观和检查人员、外来技术/服务人员、服务提供商(包括管理服务提供商)等。
4、外来人员进入组织,应按安全区域管理程序和物理访问策略进行控制。外来人员的逻辑访问按用户访问管理程序进行控制。5.4 对供应商的管理供应商的业务管理部门应识别物资采购活动中的信息安全的风险,明确采购过程中的信息安全要求,在采购合同中明确规定对信息安全方面的要求,并在批准其访问组织信息资产和信息处理设施前实施适当的控制。供应商访问组织的安全区域和网络按对外来人员的管理进行控制。5. 5对相关方的监督管理综合管理部应建立相关方一览表,保存相关方保密协议和访问授权记录。综合管理部与相关主管部门负责定期组织对相关方控制的实施进行检查与跟踪:a)对相关方控制管理不严格、存在信息安全隐患的部门,提出整改意见,对问题较多或整改不力的,限令整改,提出信息安全考核意见和要求;b)对不符合信息安全管理要求的相关方,整改后仍不符合要求或拒绝整改可能造成信息安全事件的相关方,做出限期整改、减少订货、经济扣罚、终止合同等决定意见。6记录相关方保密协议相关方一览表4