信息服务安全管理规范.docx

信息服务安全管理规范
1 目的
爱护组织的信息系统被外部方访问时的安全，保证公司信息系统安全水平不会由于外部方访问、供应产品和效劳而降低；准时、有效、可控的治理外部方所供应的效劳质量、效劳交付和安全状况，标准公司外部方

信息服务安全管理规范
1 目的
爱护组织的信息系统被外部方访问时的安全，保证公司信息系统安全水平不会由于外部方访问、供应产品和效劳而降低；准时、有效、可控的治理外部方所供应的效劳质量、效劳交付和安全状况，标准公司外部方效劳治理相关的流程及安全要求。
2 适用范围
适用于对全部访问公司信息系统外部方的安全治理，以及对外部方效劳的治理。
3 术语和定义
第三方效劳：因业务或其它缘由，对组织信息系统进展访问、操作、效劳的外部组织。
4 职责和权限
信息安全领导办公室
负责对组织全部外部方进展统一治理；
识别外部方访问或效劳时的风险；
负责对第三方访问机密信息访问的审批和治理。
各部门
帮助信息安全领导办公室做好对外部方效劳的治理和监视。


5 相关活动
第三方效劳需求确定
依据业务工作需要，由各部门提出第三方效劳需求，并由XXX部汇总后报信息安全领导办公室审批。
效劳需求内容除效劳内容、水平和要求外，还应明确是否涉及访问公司的机密级信息。
第三方效劳安全治理
，在协议中明确效劳内容、效劳水平、信息安全要求等内容。
。特别状况下，必需经信息安全领导办公室审核后，经副总经理批准前方可访问。
在新建、改建、扩建信息系统时，如确需对公司的信息系统进展访问，应由接待部门提出申请，经信息安全领导办公室批准后，仅限访问公司的内部(含)以下内部的信息。
接等部门在提出申请时，需要明确如下内容：外部方的根本状况、访问的范围、所涉及公司内部信息的安全级别、访问信息系统的时限等。
信息安全领导办公室对提出的申请，进展评审，识别存在的安全风险，必要时制定相应的掌握措