ISMS第三方人员安全管理规定V01.docx

ISMS第三方人员安全管理规定V01.docx

《ISMS第三方人员安全管理规定V01.docx》由会员分享，可在线阅读，更多相关《ISMS第三方人员安全管理规定V01.docx（11页珍藏版）》请在冰豆网上搜索。

ISMS第三方人员安全管理规定V01

*

主办部门：

执笔人：

审核人：

XXXXX

第三方人员安全管理规定V0.1

XX-ISMS-HS-02002

2014年3月17日

[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXXXX所有，受到有关产权及版权法保护。

任何个人、机构未经XXXXX的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

]

文件版本信息

版本

日期

拟稿和修改

说明

V0.1

2014.3.17

拟稿

文件版本信息说明

记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。

文件版本小于1.0时，表示该版本文件为草案，仅可作为参照资料之目的。

阅送范围

内部发送部门：

综合部、系统运维部、人力资源部、

第一章总则

第一条为加强清算所的第三方人员信息安全管理，有效控制第三方及人员的信息安全风险，根据《金融行业信息系统信息安全等级保护实施指引》（JR/T0071—2012），结合XXXXX实际，制定本规定。

第二条本规定中所指“第三方”是为XXXXX提供各种信息系统支持服务的厂商，包括以下类型：

（一）基础服务提供商：

提供水、电、物业、保洁、安保、监控、快递物流等服务的单位；

（二）网络服务提供商：

提供有线、无线或其它形式的通信线路、数据链路及网络服务的单位，例如电信、移动；

（三）设备维保服务提供商：

提供桌面PC电脑、网络设备、主机、小型机及服务器、打印机、扫描仪、空调等硬件及系统的维护厂商；

（四）软件及系统平台开发及维保服务提供商：

操作系统、应用套装软件、外购系统平台的开发、维护厂商和问题支持单位。

（五）咨询审计检查等服务提供商：

提供各类IT咨询及审计、检查等服务的服务提供商，包括外部咨询部门、外部审计机构、国家等级保护检查测评单位等。

第三条网络与信息安全管理工作小组办公室负责检查和监督公司各部门第三方信息安全管理工作的开展情况。

第四条系统运维部负责第三方接入账号、权限管理、网络访问控制。

第五条信息安全管理员负责及时获取、收集和统计公司各部门对第三方的日常管理和安全检查情况，及时向网络与信息管理工作小组办公室汇报。

第六条各部门的第三方接口人员负责落实第三方的信息安全管理工作，组织对第三方人员进行安全培训和检查考核。

第二章第三方风险识别

第七条在与第三方开展合作前，须对第三方进行相关调查和公司资质验证，必要时可进行人员资质、人员背景等内容调查，并填写《第三方调查表》参见（附件1）。

第八条信息安全管理员协助各部门第三方接口人员识别第三方人员信息安全风险。

若发现第三方人员日常服务或访问期间有风险隐患或造成信息安全事件的，应及时进行处理。

第九条风险识别内容涉及但不限于以下内容：

（一）物理访问引起的设备、资料失窃；

（二）误操作导致的各种软硬件故障；

（三）资料、信息外传导致泄密；

（四）对信息系统的滥用和越权访问；

（五）给信息系统、软件留下后门；

（六）对信息系统的恶意攻击。

第三章第三方管控要求

第十条与第三方合作前，若因工作需要向第三方提供内部使用或商业秘密资料，应严格进行申请审批，经网络与信息安全工作领导小组办公室批准以后方可向第三方提供，并向其示明保密义务。

第十一条在与第三方进行合作前，应与第三方签订服务合同或协议，并明确保密的相关要求。

对于涉及商业秘密的咨询、谈判、合作开发、资产清查等事项，应在与第三方签订的合同或协议中，明确定义服务交付物、服务交付等级以及相应的保密和安全控制要求,并对第三方提供服务的能力进行评定，必要时通过招标方式以确定合格第三方。

《第三方保密协议》参见附件5。

第十二条对第三方服务人员在现场或远程服务的工作内容进行记录和检查，记录内容包括时间、地点、联系人、工作安排和预期结果等。

记录结果可填写至《第三方工作记录单》（附件2），各部门也可以根据实际需要建立相关记录。

第十三条各部门的第三方接口人员应将XXXXX和本部门现有的安全管理制度和要求及时全面地对第三方进行告知和培训，并相应的后果及责任进行充分说明。

第十四条与第三方的业务交流在会议室内进行，招标、谈判等正式洽谈或重大项目的会谈应当在专门的会议室进行。

第十五条第三方人员进出办公场所，应遵照办公大楼人员出入相关管理要求执行。

第十六条第三方在对上海清算进行访问时（包括物理和网络访问）必须遵循上海清算现有的信息安全策略，以及相关管理规定和技术规范。

第十七条第三方如需接入上海清算网络，接入前，应严格遵守审批流程，待批准后，方可接入。

第十八条第三方开设的临时帐号以及权限设置必须经过系统运维部确认审批，并在访问过程中需进行日志记录。

第十九条当服务完成之后，第三方人员离开时，相关接口人员应及时通知系统运维部，删除第三方人员的帐户和撤销所有访问权限。

第二十条对第三方人员的逻辑访问权限分配实施“最小访问”原则，接口部门定期对其权限进行检查和清理。

第二十一条第三方因工作需要借用各部门的敏感数据或重要信息的，应向接口部门提交申请并由网络与信息安全工作小组办公室进行审批。

第四章第三方服务管理与检查

第二十二条各部门应负责监督、管理和检查第三方服务交付的质量，并定期（不少于每年一次）对第三方进行评审，作为对第三方在合同执行期间服务交付质量的考核依据，用以保证第三方服务及交付的质量和安全性。

《第三方服务评审表》参见（附件3）。

第二十三条信息安全管理员应定期对第三方逐项进行信息安全检查，以确保本规定、相应保密协议等信息安全控制措施的有效落实，该检查每年至少进行一次。

该检查也可由网络与信息安全工作小组办公室发起和组织。

《第三方信息安全管理检查列表》参见（附件4）。

第二十四条对于第三方外包开发的软件产品，应参照《信息系统建设安全管理规定》的要求执行。

第二十五条对于发现的问题，各部门应责令第三方采取整改措施，并及时通知信息安全管理员；情节严重时，应根据合同或者协议采取相应处罚，直至终止与第三方的合作和追究其相关法律和经济责任。

第五章附则

第六条本规定由网络与信息安全工作领导小组办公室负责制定、解释和更新。

第七条本规定自颁布之日起实行。

附件

附件1：

第三方调查表

部门/人员

（注解：

第三方接口管理部门或人员）

第三方单位名称

调查项目

调查内容

调查结果

备注

1

公司（例）

公司相关资质、营业执照等

2

人员（例）

项目主要人员背景调查情况

3

..

4

5

3

7

8

9

10

附件2：

第三方工作记录单

部门名称

第三方部门名称

合同/协议名称

工作标题

工作内容

实施原因

预期成果

实施人员

XXXXX

第三方公司

开始时间

结束时间

实施过程

实施结果

备注

记录时间

附件3：

第三方服务评审表

部门名称

合同/协议名称

第三方单位

服务期限

自_________年____月____日至_________年____月____日

第三方工作内容：

评审意见：

评审人（签字）

备注

记录时间

附件4：

第三方信息安全管理检查表

编号

检查内容

是否满足要求

合同签订时

1

是否有对第三方关键人员工作背景等信息进行过调查？

2

是否与第三方公司或人员签署保密合同或保密协议？

3

保密合同或保密协议中是否对知识产权的最终归属作出明确规定？

合同履行过程中

1

是否对现有的第三方部门的工作进行记录并对记录清单进行及时更新？

2

是否有清单记录目前常驻的第三方人员的基本信息和出入证信息？

3

是否有记录记载第三方人员进入XXXXX后所使用的设备清单？

4

是否有清单记录第三方人员在XXXXX拥有的各信息系统的访问权限？

5

是否对第三方人员进行安全培训，并对培训效果进行考核？

6

是否对第三方的服务质量和交付物进行管理、监督和评审，并对发现的问题及时进行整改?

7

是否对第三方进行安全检查（每年至少一次），并对检查中发现的问题及时进行整改？

合同结束时

1

第三方人员是否有归还所使用的各类资产？

2

是否有及时清除第三方人员的各类物理和逻辑访问权限？

附件5：

第三方保密协议

保密协议

鉴于甲乙双方在方面开展业务合作，并与年月日签订《xxx》合同（以下简称“主合同”）一份，现双方就合作中的保密事宜作出如下约定，特签订本保密协议，以兹共同遵守。

第一条保密资料的定义

甲乙双方中任何一方披露给对方的已明确标注或指明是“内部使用”或“商密”，以及所有未明确标注为“公开”的相关业务和技术方面以及其他形式的资料和信息（以下简称“保密资料”），但不包括下述资料和信息：

（1）已经公布于众的资料，但不包括甲乙双方或其代表违反本协议规定XX所披露的；

（2）在任何一方向接受方披露前已为该方知悉的非保密性资料；

第二条双方责任

（一）甲乙双方互为保密资料的提供方和接受方，负有保密义务，承担保密责任。

（二）甲乙双方中任何一方未经对方书面同意不得向第三方（包括新闻界人士）公开和披露任何保密资料或以其他方式使用保密资料。

双方也须促使各自代表不向第三方（包括新闻界人士）公开或披露任何保密资料或以其它方式使用保密资料。

除非披露、公开或利用保密资料是双方从事和开展合作项目工作在通常情况下应所需的。

（三）双方均须把保密资料的接触范围严格限制在本协议规定的而需接触保密资料的各自负责的代表的范围内；

（四）除经过对方书面同意而必须进行披露外，任何一方不得将含有对方保密资料复印、复制、或者泄露给第三人；

（五）如果合作项目终止进行或其中一方因故退出项目，应一方提出书面要求，另一方应当在五个工作日内销毁或向对方返还其占有的或控制的全部保密资料以及包含或体现了保密资料的全部文件和其他材料并连同全部副本。

但是在不违反本协议的其他条款的条件下，双方可仅为本协议第四条目的的，保留上述文件或材料的复制件一份；

（六）甲乙双方将以不低于其对自己拥有的类似资料的保护义务来对待对方向其披露的保密资料，并在任何情况下，对保密资料的保护义务都不能低于合理程度。

第三条知识产权

甲乙双方向对方或对方代表披露保密资料并不意味着向对方或对方的代表的转让；一方授予另一方对其商业秘密、商标、专利、技术秘密或任何其他知识产权拥有的权益，也不构成向对方或对方代表转让或授权使用该方商业秘密、商标、专利、技术秘密或任何其他知识产权的有关权益。

第四条保密资料的保存和使用

（一）乙方应保证按照主合同的时间和服务质量要求交付服务。

如因乙方人员有意或无意泄露、窃取或破坏保密资料，导致的一切后果由乙方承担。

（二）任何一方在书面通知对方并将披露的复印件抄送给对方后，可根据需要在提交任何市、省、中央或其它对接受方有管辖权或声称对接受方有管辖权的监管团体的任何报告、声明或证明中披露的保密资料。

第五条争议解决和适用法律

本协议受中华人民共和国法律管辖并按中华人民共和国法律解释。

对因本协议或本协议各方的权利和义务而发生的或与之有关的任何事项和争议、诉讼或程序，本协议双方不可撤销地接受中华人民共和国法院的管辖。

第六条协议有效期

（一）本协议在主合同执行期间长期有效，且即使双方解除合同，本协议在解除合同之日起的5年内仍有效。

（二）本协议一式六份，双方各执三份，具有同等法律效力

甲方：

__________有限公司乙方：

__________有限公司

（章）（章）

地址：

地址：

授权代表：

授权代表：

电话：

电话：

邮政编码：

邮政编码：

年月日年月日