信息技术外包服务安全管理制度三篇

  • 格式:pdf
  • 大小:192.83 KB
  • 文档页数:6

信息技术外包服务安全管理制度三篇

信息技术外包服务安全管理制度三篇

篇⼀:信息技术外包服务安全管理制度

第⼀节总则1、为加强医院信息技术外包服务的安全管理,保证医院信息系统运⾏环境的稳定,特制定本制度。

2、本制度所称信息技术外包服务,是指医院以签订合同的⽅式,委托承担信息技术服务且⾮本医院所属的专业机构提供的信息技术服务,主要包括信息技术咨询服务、运⾏维护服务、技术培训及其它相关信息化建设服务等。3、安全管理是以安全为⽬的,进⾏有关安全⼯作的⽅针、决策、计划、组织、指挥、协调、控制等职能,合理有效地使⽤⼈⼒、财⼒、物⼒、时间和信息,为达到预定的安全防范⽽进⾏的各种活动的总和,称为安全管理。4、外包服务安全管理遵循关于安全的所有商业准则及适当的外部法律、法规。

第⼆节外包服务范围5、外包服务包括信息技术咨询服务、运⾏维护服务、技术培训等。

6、咨询服务:

6.1根据医院的信息化建设总体部署,协助医院制定切实可⾏的技术实施⽅案。

6.2 对医院现有的信息技术基础架构、设备运⾏状态和应⽤情况进⾏诊断和评估,提出合理化的解决⽅案。

6.3 根据医院的实际情况提出备份⽅案和应急⽅案。

6.4 其它信息技术咨询服务。

7、运⾏维护服务:

7.1 软硬件设备安装、升级服务。

7.2硬件设备的维修和保养。

7.3 根据医院业务变化,提供应⽤系统功能性的需求解决⽅案及执⾏服务。

7.4系统定期巡检和整体性能评估。

7.5 ⽇常业务数据问题的处理服务。

7.6 其它运⾏维护服务。

8、技术培训:根据医院的实际情况,提供相关的技术培训。

第三节外包服务安全管理9、外包服务安全管理应按照“安全第⼀、预防为主”的原则,采取科学有效的安全管理措施,应⽤确保信息安全的技术⼿段,建⽴权责明确、覆盖信息化全过程的岗位责任制,对信息化全过程实⾏严格监督和管理,确保信息安全。10、成⽴由分管领导同志信息化外包管理组织,明确信息化管理的部门、⼈员及其职责。

11、建⽴信息建设安全保密制度,与外包服务⽅签订安全保密协议或合同,明确符合安全管理及其它相关制度的要求。并对服务⼈员进⾏安全保密教育。12、制定信息化加⼯过程管理、信息化成果验收与交接、存储介质管理等操作规程或规章制度。

13、外包服务⽅的⼈员素质、技术与管理⽔平能够满⾜拟承担项⽬的要求,进⾏相应的安全资质管理。

14、信息中⼼配备专⼈负责安全保密⼯作,负责⽇常信息安全监督、检查、指导⼯作。对服务⽅提供的服务进⾏安全性监督与评估,采取安全措施对访问实施控制,出现问

题应遵照合同规定及时处理和报告,确保其提供的服务符合医院的内部控制要求。15、对外包服务的业务应⽤系统运⾏的安全状况应定期进⾏评估,当出现重⼤安全问题或隐患时应进⾏重新评估,提出改进意见,直⾄停⽌外包服务。16、使⽤外包服务⽅设备的,对其进⾏必要的安全检查。

17、在重要安全区域,对外部服务⽅的每次访问进⾏风险控制;必要时应外部服务⽅的访问进⾏限制。

第四节附则18、本制度由信息中⼼负责解释。

19、本制度⾃发布之⽇起⽣效执⾏。

篇⼆:信息技术外包服务安全管理制度

为加强单位信息技术外包服务的安全管理,保证单位信息系统运⾏环境的稳定,特制定本制度。1、外包服务安全管理遵循关于安全的所有商业准则及适当的外部法律、法规。

2、外包服务范围:外包服务包括信息技术咨询服务、运⾏维护服务、技术培训等。

3、咨询服务:根据单位的信息化⽹络安全建设总体部署,协助单位制定切实可⾏的技术实施⽅案。对单位现有的信息技术⽹络安全基础架构、设备运⾏状态和应⽤情况进⾏诊断和评估,提出合理化的解决⽅案。4、根据单位的实际情况提出备份⽅案和应急⽅案。

5、其它信息技术咨询服务。

6、运⾏维护服务:

7、软硬件设备安装、升级服务。

8、硬件设备的维修和保养。

9、根据单位业务变化,提供应⽤系统功能性的需求解决⽅案及执⾏服务。

10、系统定期巡检和整体性能评估;⽇常业务数据问题的处理服务。

11、其它运⾏维护服务。

12、技术培训:根据单位的实际情况,提供相关的技术培训。

13、外包服务安全管理应按照安全第⼀、预防为主的原则,采取科学有效的安全管理措施,应⽤确保信息⽹络安全的技术⼿段,建⽴权责明确、覆盖信息化全过程的岗位责任制,对信息化⽹络安全全过程实⾏严格监督和管理,确保信息安全。14、成⽴由分管领导同志信息化⽹络安全外包管理组织,明确信息化管理的部门、⼈员及其职责。

15、建⽴信息⽹络安全建设保密制度,与外包服务⽅签订安全保密协议或合同,明确符合安全管理及其它相关制度的要求。并对服务⼈员进⾏安全保密教育。16、制定信息化⽹络安全建设过程管理、信息化⽹络安全建设成果验收与交接、存储介质管理等操作规程或规制度。

17、外包服务⽅的⼈员素质、技术与管理⽔平能够满⾜拟承担项⽬的要求,进⾏相应的安全资质管理。

18、使⽤外包服务⽅设备的,对其进⾏必要的安全检查。

篇三:信息技术服务外包⼈员安全管理细则1总则

1.1⽬的

为规范本公司对外包服务⼈员的信息安全管理⼯作,明确相关部门和⼈员职责,使信息技术外包服务纳⼊制度化、规范化管理,特制定本管理细则。1.2适⽤范围

本规范适⽤于《名称》管理服务中⼼对外包服务商及外包服务⼈员的管理。2术语和定义3外包安全管理基本原则

在信息技术服务外包活动中,应遵循以下信息安全管理基本原则:(⼀)责任延展原则。信息安全管理责任不随服务外包⽽转移,⽆论《名称》数据和业务是位于⾃⾝信息系统还是外包服务商的信息系统上,XXX都是信息安全的最终责任⼈。(⼆)领导决策原则。信息技术外包应获得《名称》服务外包主管领导的⽀持、批准和授

权。(三)风险控制原则。责任⼈员应始终关注信息技术服务外包可能带来的信息安全风险,并能够及时应⽤风险控制措施。

(四)监督检查原则。运维部应对信息技术服务活动进⾏监管,并接受信息安全主管部门的监督检查。

(五)数据归属关系不变。XX公司提供给外包服务服务商的数据、设备等资源,以及外包服务过程中收集、产⽣、存储的数据和⽂档等资源属XX公司所有。外包服务商应保障XX公司对这些资源的访问、利⽤、⽀配,未经XX公司授权,外包服务商和任何第三⽅不得访问、修改、披露、利⽤、转让、销毁。4⾓⾊与职责4.1主管领导

XX公司领导⼩组担任信息技术外包服务信息安全管理的最⾼管理机构,承担外包活动的信息安全管理总职责,对外包活动中的信息安全相关事项具有⼀票否决权。主管领导具有以下职责:(⼀)根据XX公司的信息安全管理总体框架,批准服务外包信息安全管理策略。

(⼆)授权并⽀持相应的服务外包接⼝⼈具体管理外包活动的信息安全。

(三)提供并保障服务外包信息安全管理所需要的资源。

(四)组织检查外包服务商的信息安全控制措施的执⾏情况。

(五)承担服务外包信息安全管理的监管职责。

(六)定期评审并发布本规定。

4.2外包服务责任⼈

主管领导可根据外包类型和项⽬的不同,设置多个外包服务责任⼈,负责具体的外包项⽬管理活动,主要职责如下:(⼀)对信息安全主管领导负责,将服务外包信息安全管理情况、信息技术服务外包信息安全执⾏情况及时报告主管领导。

(⼆)负责按本规定要求来管理外包服务⼈员,落实并监督外包服务基本信息安全控制措施的执⾏情况,及时制⽌外包服务⼈员的⾮安全⾏为。(三)负责与本单位业务部门的协调,负责与外包服务商的协调。

(四)负责外包服务⼈员的管理,包括保密协议的签订、外包服务⼈员信息数据⽹接⼊管理、外包服务⼈员权限创建与移除、外包服务⼈员的变更管理等;(五)承担外包服务信息安全管理的直接责任。

4.3外包服务⼈员

外包服务⼈员应严格遵守本规定中的相关要求。5管理规定

5.1合同签订

外包服务商应与XX公司签署服务外包合同,合同内容应包括但不限于以下内容:(⼀)所承担的外包服务的信息安全⽬标和保障措施。

(⼆)服务过程中不泄露我⽅重要敏感信息的信息安全承诺。

(三)未经XX公司授权不将服务进⾏分保的承诺。

(四)接受XX公司信息安全管理部门监督检查的义务。(五)外包服务合同终⽌后对服务内容和信息的保密承诺。

5.2外包服务⼈员管理

5.2.1服务前

外包服务责任⼈在服务开始前应通过以下措施对外包服务⼈员进⾏安全管理:(⼀)对于能接触到XX公司敏感信息的外包服务⼈员,应与其签订《外包服务⼈员保密

协议》(附件⼀),协议签订后⽅可接触XX公司的敏感信息。(⼆)应对外包服务⼈员进⾏适当的岗位描述、任⽤要求和其应履⾏的信息安全职责要求,以降低资源被盗窃、滥⽤和误⽤的风险。(三)应要求外包服务商提供本单位外包服务⼈员的背景调查信息,要求外包服务商为背景调查的结果负责。

(四)应要求外包服务⼈员承诺不使⽤含有恶意代码的产品、有缺陷的产品或假冒产品进⾏相关服务⼯作。

5.2.2服务中

外包服务责任⼈在服务过程中应通过以下措施对外包服务⼈员进⾏安全管理:(⼀)应对外保服务⼈员进⾏信息安全意识和相关管理制度的培训,告知外包服务⼈员相关的安全责任和要求,并对培训结果进⾏考核。(⼆)应为外包服务⼈员办理上岗证,要求外包服务⼈员持证上岗。

(三)应要求外包服务⼈员对⼯作中接触到的XXX敏感资源,不得提供给其他任何⼈员,更不得上传到⽹络中供他⼈下载、使⽤或查看。(四)当出现外包服务⼈员职责变更或离职时,外包服务商应提前⼀个⽉向外包责任⼈提出申请,同时外包服务商应安排接替⼈员进⾏⼀个⽉的交接与熟悉,接替⼈员在这⼀个⽉中其专业技能、⼯作能⼒、职业素养获得外包服务责任⼈认可后,⽅能核准外包服务⼈员职责变更或离职申请,并要求外包服务商收回其掌握的信息资产,禁⽌其向外传播。5.2.3服务变更或中⽌

外包服务变更或中⽌后,外包服务责任⼈应要求外包服务⼈员归还借⽤的相关设备,办理资源归还⼿续,并通知各信息系统和IT基础设施负责⼈移除外包服务⼈员的相关

权限。5.3外包服务⼈员权限与设备接⼊管理

外包服务⼈员的对XX公司信息系统和资源的访问权限以及电脑等硬件设备接⼊XX公司的办公⽹络,应遵照以下要求执⾏:(⼀)因⼯作需要访问互联⽹、XX公司办公⽹络及信息系统和数据资源的,应填写业务申请表,经主管领导审批同意并报运维部门备案后,由外包服务责任⼈为其开通相关权限,权限应按照“必需知道”和“最⼩授权”原则对外包服务⼈员进⾏授权。⼯作结束后,外包服务责任⼈须将申请的临时权限和资源及时注销登记。(⼆)因⼯作需要申请XX公司相关信息设备或需接⼊⾃带设备及使⽤附属设备的,应填写业务申请表,经主管领导审批同意并报运维部门备案后,由外包服务责任⼈提供相关设备,对于外包服务⼈员的⾃带设备需进⾏安全检查后⽅允许其使⽤。(三)原则上,禁⽌外包服务⼈员⾃带电脑接⼊XX公司办公⽹络,但如⼯作需要确需接⼊办公⽹络时,应由外服服务责任⼈进⾏防病毒检测及漏洞扫描后⽅可接⼊办公⽹络,外包服务⼈员不得使⽤任何⿊客⼯具及与⼯作⽆关的软件,不得从事任何⽹络、主机的安全攻击、信息窃取。5.4物理与环境安全管理

5.4.1物理与环境规划

外包服务责任⼈应对本局的物理和环境做出规划,将关键和重要敏感信息及信息处置设备控制在安全区域内,且该区域具有清晰的安全边界标识,防⽌外包服务⼈员⾮授权接触重要敏感信息。外包服务⼈员应在指定的办公场所及公共区域内活动,未经许可不得随意进出其他办公区域。5.4.2物理环境访问控制

运维主管领导应建⽴物理环境访问控制机制,对外包服务⼈员的物理访问进⾏授权,主要包括: