第三方安全管理规定
1 目的
1.1 维护被第三方访问的公司信息处理设施和信息资产的安全
1.2 控制第三方对公司信息处理设施的访问
1.3 当信息处理的责任己外协到公司外部时,保护信息的安全
2 适用范围
本规定适用于全公司,以及与公司有业务联系,包括但不仅限于客户、供应商、合作伙伴、访客等在内的第三方,适用于控制第三方访问。
3 定义
第三方(Third party):泛指和公司发生业务关系的各类外部伙伴,这些外部伙伴需要对公司进行访问。第三方包括但不仅限于:
●研发、设计公司。
●软件和硬件等设备供应商;
●ISP、网络通信、维护支持等服务提供商;
●IT系统、软件开发、呼叫中心等外包服务提供商;
●保安、清洁等外包支持服务;
●咨询顾问公司和审计公司;
●包括客户、临时访客、短期工在内的其他外部伙伴。
4 职责
4.1 信息安全官/信息安全管理委员会:在牵涉第三方的重大事务时进行决策。
4.2 信息安全管理组:引导相关部门及人员落实本规定之要求。
4.3 与第三方相关的业务部门及CAO及PES:负责第三方物理处所及访问权限的审核。
4.4 与第三方相关的IT部门:负责第三方逻辑访问的控制和审核。
4.5 与第三方相关的采购和法律部门:负责与第三方协议中相关的安全控制条目的审核。
4.6 其他相关的部门和员工:遵守本规定,在与第三方发生关系时实施恰当的安全控制措施。
5 程序
5.1 识别第三方风险
5.1.1 公司面临的信息安全风险,其中一部分可能来自包括保安、清洁工、基础设施维
护、供应商和外包团队在内的第三方机构或外部伙伴。公司在和外部伙伴业务往
来时,需要接受第三方访问,可能会提供必要的信息或其他资产,因此会面临信
息泄漏等风险,除此之外,低质量的第三方服务对公司来说也会造成潜在风险,
例如迟钝的服务响应。
5.1.2 第三方访问既可以是物理(实际)的,例如办公环境、计算机房、档案室等,也
可以是逻辑的,例如网络、服务器、数据库以及应用系统等,任何第三方访问都
应该有合理的理由,必须经过相关部门经理或公司管理层的批准。在接受第三方
访问之前,应该识别由此可能引发的安全风险,并且采取适当的控制措施以消减
风险
5.2 第三方安全管理规定
5.2.1 任何第三方在对公司进行访问之前(包括物理和逻辑访问),必须在相关合同中包
含公司的安全控制要求,对于不在合同覆盖范围内的第三方人员,必须签署保密协
议或者NDA(Non-disclosure Agreement),这些控制要求必须向第三方事先澄清。
安全控制要求、保密协议或NDA,必须经过公司法律代表的审核并得到部门经理批
准。
5.2.2 需要访问公司的第三方人员,无论是物理访问还是逻辑访问,事先必须接受检查并
得到相关部门经理的批准,然后以适当的方式、在限定范围内进行访问。
5.2.3 为了确保第三方服务的交付质量,除了在相关合同中提出安全控制和交付要求外,
还应该监督并定期审核服务方提供的报告,并做好变更控制。
5.2.4 任何负责第三方访问和服务的部门或员工,都应该意识到与第三方发生关系时可能
带来的风险,并采取适当措施来消减风险。
6 相关记录
6.1FORM/COP-ISMS-005#01桑菲信息安全组织架构表
6.2 FORM/COP-ISMS-005#02第三方风险识别表
7 参考文件
《信息安全方针》
《信息安全管理手册》
《员工信息安全守则》WI-ISMS-003 《网络安全管理规定》COP-ISMS-014 《公司保密协议》
《环境安全管理规定》
《外来人员接待管理规定》
