1 目的

保護組織的信息系統(tǒng)被外部方訪問時的安全，保證公司信息系統(tǒng)安全水平不會因為外部方訪問、提供產(chǎn)品和服務而降低；及時、有效、可控的管理外部方所提供的服務質(zhì)量、服務交付和安全狀況，規(guī)范公司外部方服務管理相關(guān)的流程及安全要求。

2 適用范圍

適用于對所有訪問公司信息系統(tǒng)外部方的安全管理，以及對外部方服務的管理。

3 術(shù)語和定義

第三方服務：因業(yè)務或其它原因，對組織信息系統(tǒng)進行訪問、操作、服務的外部組織。

4 職責和權(quán)限

4.1 信息安全領(lǐng)導辦公室

負責對組織所有外部方進行統(tǒng)一管理；

識別外部方訪問或服務時的風險；

負責對第三方訪問機密信息訪問的審批和管理。

4.2 各部門

協(xié)助信息安全領(lǐng)導辦公室做好對外部方服務的管理和監(jiān)督。

5 相關(guān)活動

5.1 第三方服務需求確定

根據(jù)業(yè)務工作需要，由各部門提出第三方服務需求，并由XXX部匯總后報信息安全領(lǐng)導辦公室審批。

服務需求內(nèi)容除服務內(nèi)容、水平和要求外，還應明確是否涉及訪問公司的機密級信息。

5.2 第三方服務安全管理

5.3.1公司與第三方服務方應簽訂相關(guān)服務協(xié)議，在協(xié)議中明確服務內(nèi)容、服務水平、信息安全要求等內(nèi)容。

5.3.2對組織的秘密信息一般不允許外部方進行訪問。特殊情況下，必須經(jīng)信息安全領(lǐng)導辦公室審核后，經(jīng)副總經(jīng)理批準后方可訪問。

在新建、改建、擴建信息系統(tǒng)時，如確需對公司的信息系統(tǒng)進行訪問，應由接待部門提出申請，經(jīng)信息安全領(lǐng)導辦公室批準后，僅限訪問公司的內(nèi)部(含)以下內(nèi)部的信息。

接等部門在提出申請時，需要明確如下內(nèi)容：外部方的基本情況、訪問的范圍、所涉及公司內(nèi)部信息的安全級別、訪問信息系統(tǒng)的時限等。

信息安全領(lǐng)導辦公室對提出的申請，進行評審，識別存在的安全風險，必要時制定相應的控制措施。如：

? 對外部方所能訪問的信息進行限制；

? 對外部方訪問公司信息系統(tǒng)的過程進行監(jiān)控；

? 與外部方簽署安全保密協(xié)議。

5.3.3信息系統(tǒng)的日常維護由公司的XXX部門負責，如需要外部方進行技術(shù)支持，先提出申請，經(jīng)批準后方可實施，且必須有公司人員現(xiàn)場陪同，防止信息泄露。

5.3.4第三方服務常駐人員必須經(jīng)公司的人力資源部審核，并與公司簽訂相關(guān)保密協(xié)議。

5.3.5第三方對信息系統(tǒng)的訪問，信息系統(tǒng)管理部門應做好監(jiān)控記錄并予以保存。

5.3 第三方服務的評審和變更

公司每年對第三方服務進行一次評審。

由于某種原因，需要更換第三方服務，由相關(guān)部門提出申請，經(jīng)信息安全領(lǐng)導辦公室審核后實施。

變更后的第三方服務按本程序5.2進行安全管理。

6 相關(guān)文件和記錄