第三方信息安全管理规定V0.8
- 格式:doc
- 大小:67.51 KB
- 文档页数:10
信息技术管理规定信息技术中心
第三方信息安全管理规定
第一章总则
第一条为有效控制第三方单位及相关人员可能带来的信息安全风险,加强和规范对第三方的信息安全管理,特制定本规
定。
第二条本规定适用于本电站信息技术中心部门针对内外部第三方单位及相关人员的信息安全管理。
第三条本规定所述“第三方单位”为本电站提供各种支持服务(包括基础设施、物业安全、系统开发和运维支持等)的所有
外部单位。
第二章第三方进入风险识别
第四条在第三方与本电站及各单位开展合作前,接口部门需负责对第三方进行调查,必要时可进行资质、人员背景等,并
填写“第三方调查表”,或根据本部门有关第三方合作的
相关管理规定填写相应表格;也可通过工作联系单或其它
方式对第三方人员的真实身份进行确认。
第五条第三方接口部门负责识别第三方进入可能带来的信息安全风险,应特别注意:
(一)分析第三方的引入是否适应本电站的业务战略及总体信息安全风险控制目标,以及第三方是否有能力满足本电
站对信息安全风险监管的要求;
(二)第三方是否允许本电站对其实施有效的信息安全管理的
监督和考核;
(三)充分审查、评估第三方的财务稳定性和专业经验,对第三方进行风险评估,考查第三方提供的资源和能力是否
能够弥补风险发生可能为本电站带来的潜在损失;(四)考虑任何可能存在的集中风险,如几家公司共用一家第三方可能带来的潜在的业务连续性风险。
第六条以下为第三方的类型:
(一)基础服务提供商:提供水、电、物业、保洁、安保、监控等服务的单位;
(二)网络服务提供商:提供有线、无线或其它形式的通信线路、数据链路及网络服务的单位,例如电信、移动;(三)设备维保服务提供商:提供桌面PC电脑、网络设备、主机、小型机及服务器、打印机、扫描仪、空调等硬件及
系统的厂商维护;
(四)软件及系统平台维保服务提供商:操作系统、应用套装软件、外购系统平台的厂商维护和问题支持,包括驻场
软件开发商,即需要进入本电站场所进行短期或中长期
软件开发的软件开发商。
(五)咨询审计检查等服务提供商:提供各类IT咨询及审计、检查等服务的服务提供商,包括外部咨询单位、外部审
计机构、国家等级保护检查测评单位等。
第七条以下为可能识别出的第三方信息安全风险:
(一)物理访问引起的设备、资料失窃;
(二)误操作导致各种软硬件故障;
(三)资料、信息外传导致泄密;
(四)对信息系统的滥用和越权访问;
(五)给信息系统、软件留下后门;
(六)对信息系统的恶意攻击。
第八条在本规定基础上,对于特定服务内容的第三方(包括软件和硬件等设备供应商和服务提供商、网络通信等服务提供
商、IT 系统开发等合作服务提供商、咨询单位、审计和
安全检查机构),还需遵循《本电站信息系统建设安全管
理规定》等其它管理制度,实施进一步的有效管控。
第九条对于本电站涉及国家机密的信息系统建设项目,第三方合作单位资质必须符合国家相关保密制度的要求。
第三章第三方管控要求
第十条与第三方合作前,若因工作需要向第三方提供商业秘密资料,应严格进行申请审批,经本电站信息技术中心领导批
准以后方可向第三方提供,并向其示明保密义务。
第十一条在与第三方进行合作前,接口部门应与第三方签订服务合同或协议,并明确保密的相关要求。
对于涉及商业秘密
的咨询、谈判、合作开发、资产清查等事项,接口部门应
在与第三方签订的合同或协议中,明确定义服务交付物、
服务交付等级以及相应的保密和安全控制要求, 并对第
三方提供服务的能力进行评定,必要时通过招标方式以确
定合格第三方。
针对第三方保密的要求应至少包括且不限
于以下内容:
(一)与本电站有业务往来的第三方,在本电站所要求的时间段里应承诺不泄露本电站的非公开信息;
(二)第三方应严格遵守本电站现有的各项信息安全管理规定;
(三)明确在服务提供期间所涉及知识产权的归属;
(四)明确违反保密协议或保密合同的后果及责任。
第十二条针对各项服务,第三方服务提供单位需提供服务人员的姓名、技术能力评定、联系方式等信息,服务人员需持有
效身份证明进入本电站的工作现场。
第十三条本电站对第三方服务人员在现场或远程服务的工作内容进行记录和检查,记录内容包括时间、地点、联系人、
工作安排和预期结果等。
记录结果可填写至第三方工作记
录单中,各部门也可以根据实际需要建立相关记录。
第十四条本电站的第三方接口人员或接口部门信息安全主要负责人应将本电站和本部门现有的安全管理规定要求及时
全面地对第三方进行告知,并对后果和责任进行充分说
明。
第十五条对第三方人员的操作管理要求如下:
(一)第三方人员使用的任何设备必须经由本电站认可;
(二)第三方人员使用的接入设备必须与内部网络进行物理或逻辑隔离,或者遵照本电站的相关规定执行;
(三)第三方人员工作期间,应确保本电站的各类设施资源的完整性;
(四)第三方人员如有需要接入内网,应向接口部门提交申请,接口部门应依据相关规定和具体情况进行处理;
(五)应当对第三方人员的逻辑访问权限实施最小访问原则,接口部门定期对其权限进行检查;
(六)驻场第三方人员在本电站工作时,需要由接口部门根据本规定细化落实相应的管理措施,以保障本电站的重要
信息资产的安全性;
(七)当服务完成之后,第三方人员离开本电站时,第三方接口部门或接口人员应及时通知公司相关部门,关闭第三
方人员的帐户和所有访问权限;
(八)第三方人员有责任关注并及时报告系统或服务中已发现或疑似的安全弱点或技术薄弱点。
第十六条第三方人员不得擅自进入非指定的区域,具体可参照《本电站物理和环境安全管理规定》及相关制度。
各部门
可根据实际情况针对第三方人员进出重要场所制定相应
的管理细则。
第十七条第三方数据借用管理规定
(一)第三方因工作需要借用本电站的敏感数据或重要数据
的,应向接口部门提交申请并由相关部门进行审批;(二)第三方所借用的数据信息应遵循明确的使用期限,并满足到期可信删除要求。
第四章第三方服务管理与检查
第十八条风险控制与信息安全部负责第三方的整体管理,各部门接口人员和安全员负责第三方的具体日常管理工作。
第十九条对于关键软件开发商、现场软件开发商,风险控制与信息安全部应会同有关部门和人员进行重点检查和管控。
必
要时可要求第三方提供其在信息安全管理方面的资证材
料并对第三方公司进行实地考察,以验证其提供合同承诺
的服务和安全保障的能力。
资证材料包括企业的
BS7799/ISO27001证书、第三方人员的个人资质证书等。
第二十条第三方接口部门应负责监督、管理和检查第三方服务交付的质量,并定期(不少于每年一次)对第三方进行评审,
作为公司管理部门对第三方在合同执行期间服务交付质
量的考核依据,用以保证第三方服务及交付的质量和安全
性。
评审结果记入《附件3 第三方服务评审表》。
第二十一条第三方接口部门或人员应依据《附件4 第三方信息安全管理检查列表》对第三方逐项进行信息安全检查。
对
检查表中的不适用项,可根据第三方服务的性质和内容结
合实际情况给予解释和说明。
第二十二条对于第三方外包开发商所交付的软件产品,应同时
参照《****信息系统建设安全管理规定》的要求进行软件
安全性的评估。
第二十三条第三方接口部门应对第三方进行定期信息安全检查,以确保本规定、相应保密协议等信息安全控制措施的
有效落实,该检查每年至少进行一次,检查结果应及时报
备风险控制与信息安全部。
第二十四条对于不符合本规定要求的情况,第三方接口部门应责令第三方采取整改措施,并及时通知风险控制与信息安
全部;情节严重时,应通知公司相关部门根据合同或者协
议采取相应处罚,直至终止与第三方的合作和追究其相关
法律和经济责任。
第二十五条第三方接口部门应对第三方服务的变更以及由此引起的内部变更进行全面管理,评估由于第三方服务变更所
带来的影响并及时采取应对措施。
如果引起信息系统变更
的,应参照相关规定流程进行变更管理。
第五章附则
第二十六条本制度由信息技术中心负责制订、解释和监督实施。
第二十七条本制度自发布之日起实施。
修订人:庄伟波最后修订日期:2016年12月25日
附件1:第三方调查表
附件2:第三方工作记录单
附件3:第三方服务评审表
附件4:第三方信息安全管理检查列表。