TISAX-IT服务管理制度.pdfVIP

编制日期：

IT版本/页次：

页码：

修订记录:

版本/

页数修改日期修订要点制订者审核批准

页次

编制日期：

IT版本/页次：

页码：

1目的：

为规范公司IT服务管理，明确相关信息资产的管理责任，确保信息资产得到适当的保护，防

止因不恰当使用或泄漏,使本公司蒙受经济损失或法律纠纷，特制定本规定。

2范围：

本程序适用于公司所有使用或计划使用IT服务的业务部门以及其他相关方。

3术语定义：无

4职责：

IT部：负责制定信息安全分类管理策略，协调和指导各部门开展信息安全信息安全资产的分

类活动。

IT服务管理员：负责制定信息安全分类管理策略，协调和指导各部门开展信息安全信息安全

资产的分类活动。

IT服务用户：负责制定信息安全分类管理策略，协调和指导各部门开展信息安全信息安全资

产的分类活动。

5程序

5.1.如果集团公司各部门希望使用外部IT服务提供商，则该部门经理必须确保符合以下要求：

外部IT服务提供商可以证明根据有效的ISO/IEC27001:2013认证评估IT服务信息安全的相关

标准。

5.2.此外，公司相关负责人必须通过合同确保外部IT服务提供商遵守如下要求：

a)与IT服务提供商一起定义退出策略（终止过程），其中包括从IT服务中删除和移除公司

（资产）的数据。

b)必须确保来自公司的所有敏感信息（特别是个人数据和来自公司客户的数据）都可以被此

外部IT服务移植、删除或呈现为不可用。

c)退出策略必须通过合同约定，明确职责并定期检查。

5.3.合同必须包含一个应急概念，该概念描述了损害情景的处理，并经过了明显的测试。

5.4.IT服务加密信息密钥材料的管理权必须由公司拥有。

5.5.IT服务提供商必须为IT服务的外部攻击提供监视和报告选项。

5.6.IT服务商对管理活动进行日志记录，确保日志数据的完整性，IT服务管理员应持续监视服

务日志，IT部门至少每年一次进行日志审查；

5.7.必须通过端到端加密连接访问数据。

编制日期：

IT版本/页次：

页码：

5.8.IT服务提供商必须保证数据在公司所在国家地区的可用性。

5.9.在使用IT服务之前，由公司的独立组织单位或其他第三方对IT服务的关键管理功能进行风

险评估。

风险评估须包含以下方面：

i、安装、修改或删除虚拟资源（如虚拟服务器、虚拟网络和虚拟存储）

ii、服务终止（终止）

iii、授权其他用户

iv、配置文件的可能性和可用性以及角色/权利概念

v、审批和发布功能

vi、备份和恢复功能

如果在风险评估中，所谓的风险值被评估为“高”或“非常高”，则必须采取进一步的风险处

理措施。这可以包括：

i、在必要的范围内尽可能限制管理功能

ii、将管理功能限制在尽可能小的人群内

iii、取消不必要或不再必要的管理功能

iv、建立关键功能