(ISO27001-2013)
1、目的
保证公司信息安全和业务持续性,确保供应商交付的服务符合协议要求。
2、适用范围
适用于为公司提供信息安全服务的供应商。
3、职责与权限
采购部:
(1)与公司基础设施和场所相关系统,由采购部与相关厂商签订服务协议,并监督审核其提供的服务是否满足要求。
人事部:
(1)与实习学生以及其他临时雇用的外部人员签订服务协议,并监督审核其提供的服务是否满足要求。
(2)对合作方、第三方以及实习生的筛选、审核等应遵循相关法律的规定以及行业规范。
销售部:
(1)在营销过程中发生的与其他机构的合作,负责签订协议,并监督审核提供的服务是否满足要求。
4、程序和工作流程
4.1与第三方的协议要求
◆规定双方的相关义务;
◆合作中如涉及公司信息安全有关的业务、信息等,需签订《保密承诺书》等协议,以防止公司信息的泄露;
◆要提供产品或者服务的使用说明和描述;
◆规定协议的重新协商/终止条件;
◆说明因为第三方的产品或者服务带来信息安全事故或者违背协议所要承担的责任;
◆确保在协议截止时对所掌握的信息和资产进行归档和销毁;
◆在与第三方合作的过程中,第三方因合作需要,需要访问信息处理设施的附加部件或服务的,亦适用本程序中规定的所有信息安全流程及要求。
4.2服务交付
采购部检查第三方交付的服务或者产品是否满足协议规定。
4.3服务监控和评审
◆监控产品或者服务的执行效率;
◆向第三方提供由于其所提供的产品或者服务所产生的信息安全事故;
◆评审第三方审核跟踪和关于交付服务的安全事件、操作问题、故障、失误追踪和破坏记录。维护过程中涉及机密信息的,应将第三方服务工程师的操作进行记录并由其签字确认。填写《第三方服务维护登记表》。
◆解决和管理所有识别的问题。
4.4服务变更
4.4.1公司需要的实施的服务变更:
如果公司需要对提供的现有服务进行加强。
新的应用和系统的开发。
解决信息安全事故和改进安全的新的控制措施。
4.4.2第三方实施的变更:
新技术的使用。
新产品或者新版本的采用
服务设施物理位置的变更
提供商的变更。
采购部应该考虑变更对业务系统的影响,进行风险再评估,及时更新相关协议和工作流程。
5、相关支持性文件
无
6、相关记录:
《保密承诺书》
