信息服务安全管理规范。
1 目的。保护组织的信息系统被外部方访问时的安全,保证公司信息系统安全水平不会因为外部方访问、提供产品和服务而降低;及时、有效、可控的管理外部方所提供的服务质量、服务交付和安全状况,规范公司外部方服务管理相关的流程及安全要求。
2 适用范围。
适用于对所有访问公司信息系统外部方的安全管理,以及对外部方服务的管理。
3 术语和定义。
第三方服务:因业务或其它原因,对组织信息系统进行访问、操作、服务的外部组织。
4 职责和权限。
4.1 信息安全领导办公室。
负责对组织所有外部方进行统一管理;
识别外部方访问或服务时的风险;
负责对第三方访问机密信息访问的审批和管理。
4.2 各部门。
协助信息安全领导办公室做好对外部方服务的管理和监督。
5 相关活动。
5.1 第三方服务需求确定。
根据业务工作需要,由各部门提出第三方服务需求,并由xxx部汇总后报信息安全领导办公室审批。
服务需求内容除服务内容、水平和要求外,还应明确是否涉及访问公司的机密级信息。
5.2 第三方服务安全管理。
5.3.1公司与第三方服务方应签订相关服务协议,在协议中明确服务内容、服务水平、信息安全要求等内容。
5.3.2对组织的秘密信息一般不允许外部方进行访问。特殊情况下,必须经信息安全领导办公室审核后,经副总经理批准后方可访问。
在新建、改建、扩建信息系统时,如确需对公司的信息系统进行访问,应由接待部门提出申请,经信息安全领导办公室批准后,仅限访问公司的内部(含)以下内部的信息。
接等部门在提出申请时,需要明确如下内容:外部方的基本情况、访问的范围、所涉及公司内部信息的安全级别、访问信息系统的时限等。
信息安全领导办公室对提出的申请,进行评审,识别存在的安全风险,必要时制定相应的控制措施。如:
对外部方所能访问的信息进行限制;
对外部方访问公司信息系统的过程进行监控;
与外部方签署安全保密协议。
5.3.3信息系统的日常维护由公司的xxx部门负责,如需要外部方进行技术支持,先提出申请,经批准后方可实施,且必须有公司人员现场陪同,防止信息泄露。
5.3.4第三方服务常驻人员必须经公司的人力资源部审核,并与公司签订相关保密协议。
5.3.5第三方对信息系统的访问,信息系统管理部门应做好监控记录并予以保存。
5.3 第三方服务的评审和变更。
公司每年对第三方服务进行一次评审。
由于某种原因,需要更换第三方服务,由相关部门提出申请,经信息安全领导办公室审核后实施。
变更后的第三方服务按本程序5.2进行安全管理。
6 相关文件和记录。
信息安全灾难恢复服务能力准则 中国信息安全测评中心
国家信息安全服务资质。灾难恢复服务能力评估准则。试行 版权2008 中国信息全安全测评中心。2008年5月1日。本标准适用于评估机构对提供信息安全灾难恢复服务的组织进行信息安全灾难恢复服务能力的测评。下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单 不包...
IT服务与信息安全管理手册
山东瀚高科技 管理体系。管理手册。山东瀚高科技 文档发布信息。修订记录。注1 修订类别分为 a 新建 增加 m 修订 d 删除。颁布令 i任命书 ii 管理方针和目标 1 山东瀚高 简介 2 山东瀚高 组织结构图 3 1目的和范围 3 1.1 目的 3 1.2 范围 3 2 引用标准 4 3 术语和...
信息安全风险评估服务
1 风险评估概述。1.1风险评估概念。信息安全风险评估是参照风险评估标准和管理规范,对信息系统。的资产价值 潜在威胁 薄弱环节 已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于it领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞...
信息安全风险评估服务
1 风险评估概述。1.1风险评估概念。信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值 潜在威胁 薄弱环节 已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于it领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫...
信息安全风险评估服务
实用标准文档。1 风险评估概述。1.1风险评估概念。信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值 潜在威胁 薄弱环节 已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于it领域时,就是对信息安全的风险评估。风险评估从早...
信息安全风险评估服务
1 风险评估概述。1.1 风险评估概念。信息安全风险评估是参照风险评估标准和管理规范,对信息系统。的资产价值 潜在威胁 薄弱环节 已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的。过程。当风险评估应用于 it 领域时,就是对信息安全的风险评估。风险评估从早期简...
信息安全风险评估服务
1 风险评估概述。1.1风险评估概念。信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值 潜在威胁 薄弱环节 已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于it领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫...
信息安全风险评估服务
1 风险评估概述。1.1风险评估概念。信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值 潜在威胁 薄弱环节 已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于it领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫...