ISMS-2006信息服务供应商管理程序

信息技术-安全技术-信息安全程序文件1/4深圳市首品精密模型有限公司ISMS信息服务供应商管理程序文件编号:ISMS-2006编制审核批准信息技术-安全技术-信息安全程序文件2/4变更履历序号版本编号或更改记录编号简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期1A/0初始发行----2016-8-5信息技术-安全技术-信息安全程序文件3/41目的保证公司信息安全和业务持续性，确保供应商交付的服务符合协议要求。2适用范围适用于为公司提供信息安全服务的供应商。3职责与权限采购部：（1）与公司基础设施和场所相关系统，由采购部与相关厂商签订服务协议，并监督审核其提供的服务是否满足要求。人事部：（1）与实习学生以及其他临时雇用的外部人员签订服务协议，并监督审核其提供的服务是否满足要求。（2）对合作方、第三方以及实习生的筛选、审核等应遵循相关法律的规定以及行业规范。销售部：（1）在营销过程中发生的与其他机构的合作，负责签订协议，并监督审核提供的服务是否满足要求。4程序和工作流程4.1与第三方的协议要求◆规定双方的相关义务；◆合作中如涉及公司信息安全有关的业务、信息等，需签订《保密承诺书》等协议，以防止公司信息的泄露；◆要提供产品或者服务的使用说明和描述；◆规定协议的重新协商/终止条件；◆说明因为第三方的产品或者服务带来信息安全事故或者违背协议所要承担的责任；◆确保在协议截止时对所掌握的信息和资产进行归档和销毁；◆在与第三方合作的过程中，第三方因合作需要，需要访问信息处理设施的附加部件或服务的，亦适用本程序中规定的所有信息安全流程及要求。信息技术-安全技术-信息安全程序文件4/44.2服务交付采购部检查第三方交付的服务或者产品是否满足协议规定。4.3服务监控和评审◆监控产品或者服务的执行效率；◆向第三方提供由于其所提供的产品或者服务所产生的信息安全事故；◆评审第三方审核跟踪和关于交付服务的安全事件、操作问题、故障、失误追踪和破坏记录。维护过程中涉及机密信息的，应将第三方服务工程师的操作进行记录并由其签字确认。填写《第三方服务维护登记表》。◆解决和管理所有识别的问题4.4服务变更4.4.1公司需要的实施的服务变更：如果公司需要对提供的现有服务进行加强新的应用和系统的开发解决信息安全事故和改进安全的新的控制措施4.4.2第三方实施的变更：新技术的使用新产品或者新版本的采用服务设施物理位置的变更提供商的变更采购部应该考虑变更对业务系统的影响，进行风险再评估，及时更新相关协议和工作流程。5相关支持性文件无6相关记录《保密承诺书》