HYK-MS-218 第三方服务管理程序.docVIP

第PAGE\*Arabic3页共6页

深圳市企启信息科技有限公司

第三方服务管理程序

文档编号：HYK-MS-218

版本信息：V1.0

创建人：信息安全与隐私安全小组

审核者：周静

批准人：黄伟

编制日期：2022年5月10日

批准日期：2022年5月10日

文件变更记录

版本

变更描述

日期

修订人

批准日期

批准人

V1.0

初始版本，文档建立

2022年5月10日

周静

2022年5月10日

黄伟

目录

TOC\o1-2\h\u31021目的 4

105572范围 4

247333职责 4

82503.1业务部门 4

149393.2行政部 4

6344相关文件 4

169655程序 5

264645.1第三方服务的确定 5

9685.2对第三方服务的安全控制 5

81465.3对第三方服务的监督和评审 6

313935.4第三方服务的变更管理 6

54686记录 6

1目的

为加强对第三方服务提供商的控制，减少安全风险，防范公司信息资产损失，特制定本程序。

2范围

适用于组织信息和隐私安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。

3职责

3.1业务部门

3.1.1负责统一管理第三方服务的控制活动。

3.1.2负责项目中的信息处理设备、网络、系统、软件的采购和维护第三方服务的管理。

3.2行政部

3.2.1负责办公使用的信息处理设备的采购和维护第三方服务的管理。

3.2.2负责确定合格的第三方服务商，并与第三方服务商签订服务合同和必威体育官网网址协议；

3.2.3负责对第三方服务商的服务进行安全控制；

3.2.4负责定期对第三方服务商进行监督和评审；

3.2.5负责做好第三方服务商的变更管理。

4相关文件

《HYK-MS-207采购和供应商管理程序》

《HYK-MS-211信息和隐私安全风险管理程序》

《HYK-MS-212知识产权管理程序》

《HYK-MS-216安全区域管理程序》

《HYK-MS-217用户访问管理程序》

《HYK-MS-219相关方信息安全及隐私信息管理程序》

5程序

5.1第三方服务的确定

5.1.1本组织所需的第三方服务包括：

采购的物资需要委托第三方进行监造；

信息处理设备、网络、系统、软件需要第三方进行开发和维护；

信息和隐私安全等需要委托第三方提供服务；

管理服务提供商，管理咨询，业务咨询，外部审核方；

清洁、物业、会计以及其他外包的支持性服务提供商；

其他服务提供方。

5.1.2在与第三方签署服务合同前，相关的主管部门应明确第三方服务的内容和要求，评估由于第三方服务带来的信息和隐私安全风险，并对第三方提供服务的能力进行评定，应确保第三方有充分的提供服务的能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性，必要时可以通过招投标，确定合格的第三方服务提供商。

5.1.3对重要的第三方服务提供商，应确定其信息安全及隐私信息管理要求和提供服务的能力要求并进行现场评定。

5.1.4确定合格的第三方服务提供商后，相关主管部门应与第三方签署第三方服务合同，并在服务合同中体现信息和隐私安全风险金。如果服务中涉及需要第三方必威体育官网网址的信息，必须明确第三方的责任，并签订第三方服务必威体育官网网址协议。

5.1.5如果第三方服务涉及组织的知识产权，应明确第三方的知识产权保护责任，执行《HYK-MS-212知识产权管理程序》。

5.2对第三方服务的安全控制

5.2.1第三方需要提供服务人员的姓名、技术能力评定、联系方式等信息，服务人员需持有效身份证明进入工作场所。

5.2.2第三方服务人员进入组织区域提供服务的，应按照《HYK-MS-219相关方信息安全及隐私信息管理程序》中有关临时人员的管理方法进行控制。

5.2.3第三方服务人员在现场提供服务的，应遵守现场有关规定。

5.2.4第三方服务人员在远程提供服务时，必须明确时间、地点、联系人、工作安排、预期结果、观察期等。

5.2.5对第三方技术人员在服务中需要设备入网时，执行《HYK-MS-217用户访问管理程序》。

5.2.6第三方技术人员对系统进行检查和维护时，需要有组织的专业人员陪同，应按照《HYK-MS-216安全区域管理程序》进行控制，并需要填写《HYK-MS-218-R02第三方工作记录单》，或在检查和维护记录、外来人员工作记录中填写第三方服务情况。

5.3对第三方服务的监督和评审

5.3.1相关主管部门应按照《HYK-MS-219相关方信息安全及隐私信息管理