HYK-MS-219 相关方信息安全和隐私信息管理程序.docVIP

第PAGE\*Arabic4页共6页

深圳市企启信息科技有限公司

相关方信息安全及隐私信息管理程序

文档编号：HYK-MS-219

版本信息：V1.0

创建人：信息安全与隐私安全小组

审核者：周静

批准人：黄伟

编制日期：2022年5月10日

批准日期：2022年5月10日

文件变更记录

版本

变更描述

日期

修订人

批准日期

批准人

V1.0

初始版本，文档建立

2022年5月10日

周静

2022年5月10日

黄伟

目录

TOC\o1-2\h\u156111.目的 4

199212.适用范围 4

260493.职责 4

284293.1行政部 4

37163.2业务部门 4

127944.相关文件 4

261675.程序 5

166605.1管理对象 5

39495.2相关方信息安全及隐私信息管理 5

303415.3对外来人员的管理 5

158775.4对供应商和外包方的管理 6

224315.5对相关方的监督 6

182246.记录 6

1.目的

为加强对组织相关方的控制，识别其信息和隐私安全风险，采取相应措施，防范组织的信息资产损失，特制定本程序。

2.适用范围

本程序适用于组织信息安全及隐私信息管理范围内外部相关方管理活动，包括对供应商、外来人员、运输承包方、政府主管监管部门及客户的信息和隐私安全方面的管理和监督。

3.职责

3.1行政部

3.1.1政府、办公用品供应商

3.1.2组织各部门识别外部相关方对信息资产和信息处理设施造成的风险；

3.1.3负责对客户提供的信息采取必威体育官网网址措施。

3.1.4负责与相关方人员签订必威体育官网网址协议。

3.2业务部门

3.2.1IT设备（运维系统的使用）的供应商；

4.相关文件

《HYK-MS-207采购和供应商管理程序》

《HYK-MS-211信息和隐私安全风险管理程序》

《HYK-MS-216安全区域管理程序》

《HYK-MS-217用户访问管理程序》

《HYK-MS-220信息分类管理程序》

5.程序

5.1管理对象

承包我公司技改项目建设的单位（以下简称承包商）；

服务提供商：互联网服务提供商、电话提供商、信息系统维护和支持服务提供商、软件产品；

客户；

供应商（外包方）；

政府监管部门或其他第三方机构。

5.2相关方信息安全及隐私信息管理

5.2.1总经理组织各部门识别外部相关方对信息资产和信息处理设施造成的风险，并在批准外部相关方访问信息资产和信息处理设施前，对所识别的风险实施适当的控制。

5.2.2涉及对组织的信息资产物理访问、逻辑访问时，管理层应与相关方签署相关方必威体育官网网址协议。

5.2.3相关方必威体育官网网址协议中应反映所有与相关方合作而引起的内部管理需求或信息和隐私安全需求，还要提请相关方对其员工进行必要的信息和隐私安全意识、技能培训和教育，使其满足工作要求。在对信息和隐私安全的要求未实施适当的控制之前不应向外部相关方提供权限进行信息的访问。管理层应确保外部相关方认识到其义务，并接受与访问、处理、交流或管理组织信息和信息处理设施相关的责任和义务。

5.3对外来人员的管理

执行《HYK-MS-207供应商管理程序》、《HYK-MS-216安全区域管理程序》、《HYK-MS-217用户访问管理程序》的要求。

5.4对供应商和外包方的管理

5.4.1应识别物资采购活动中的信息和隐私安全的风险，明确采购过程中的信息和隐私安全要求，在采购合同中明确规定对信息和隐私安全方面的要求，并在批准其访问组织信息资产和信息处理设施前实施适当的控制。

5.4.2供应商和外包方访问组织的安全区域和网络按对外来人员的管理进行控制。

5.5对相关方的监督

行政部应建立《HYK-MS-219-R01相关方一览表》，保存相关方必威体育官网网址协议和访问授权记录行政部负责定期组织对相关方控制的实施进行检查与跟踪：

对相关方控制管理不严格、存在信息和隐私安全隐患的部门，提出整改意见，对问题较多或整改不力的，限令整改，提出信息和隐私安全考核意见和要求；

对不符合信息安全及隐私信息管理要求的相关方，整改后仍不符合要求或拒绝整改可能造成信息和隐私安全事件的相关方，做出限期整改、减少订货、经济扣罚、终止合同等决定意见。

6.记录

《HYK-MS-219-R01相关方一览表》