ISMS信息服務(wù)供應(yīng)商管理程序

（ISO27001-2013）

1、目的

保證公司信息安全和業(yè)務(wù)持續(xù)性，確保供應(yīng)商交付的服務(wù)符合協(xié)議要求。

2、適用范圍

適用于為公司提供信息安全服務(wù)的供應(yīng)商。

3、職責(zé)與權(quán)限

采購部：

（1）與公司基礎(chǔ)設(shè)施和場(chǎng)所相關(guān)系統(tǒng)，由采購部與相關(guān)廠商簽訂服務(wù)協(xié)議，并監(jiān)督審核其提供的服務(wù)是否滿足要求。

人事部：

（1）與實(shí)習(xí)學(xué)生以及其他臨時(shí)雇用的外部人員簽訂服務(wù)協(xié)議，并監(jiān)督審核其提供的服務(wù)是否滿足要求。

（2）對(duì)合作方、第三方以及實(shí)習(xí)生的篩選、審核等應(yīng)遵循相關(guān)法律的規(guī)定以及行業(yè)規(guī)范。

銷售部：

（1）在營銷過程中發(fā)生的與其他機(jī)構(gòu)的合作，負(fù)責(zé)簽訂協(xié)議，并監(jiān)督審核提供的服務(wù)是否滿足要求。

4、程序和工作流程

4.1與第三方的協(xié)議要求

◆規(guī)定雙方的相關(guān)義務(wù)；

◆合作中如涉及公司信息安全有關(guān)的業(yè)務(wù)、信息等，需簽訂《保密承諾書》等協(xié)議，以防止公司信息的泄露；

◆要提供產(chǎn)品或者服務(wù)的使用說明和描述；

◆規(guī)定協(xié)議的重新協(xié)商/終止條件；

◆說明因?yàn)榈谌降漠a(chǎn)品或者服務(wù)帶來信息安全事故或者違背協(xié)議所要承擔(dān)的責(zé)任；

◆確保在協(xié)議截止時(shí)對(duì)所掌握的信息和資產(chǎn)進(jìn)行歸檔和銷毀；

◆在與第三方合作的過程中，第三方因合作需要，需要訪問信息處理設(shè)施的附加部件或服務(wù)的，亦適用本程序中規(guī)定的所有信息安全流程及要求。

4.2服務(wù)交付

采購部檢查第三方交付的服務(wù)或者產(chǎn)品是否滿足協(xié)議規(guī)定。

4.3服務(wù)監(jiān)控和評(píng)審

◆監(jiān)控產(chǎn)品或者服務(wù)的執(zhí)行效率；

◆向第三方提供由于其所提供的產(chǎn)品或者服務(wù)所產(chǎn)生的信息安全事故；

◆評(píng)審第三方審核跟蹤和關(guān)于交付服務(wù)的安全事件、操作問題、故障、失誤追蹤和破壞記錄。維護(hù)過程中涉及機(jī)密信息的，應(yīng)將第三方服務(wù)工程師的操作進(jìn)行記錄并由其簽字確認(rèn)。填寫《第三方服務(wù)維護(hù)登記表》。

◆解決和管理所有識(shí)別的問題。

4.4服務(wù)變更

4.4.1公司需要的實(shí)施的服務(wù)變更：

?如果公司需要對(duì)提供的現(xiàn)有服務(wù)進(jìn)行加強(qiáng)。

?新的應(yīng)用和系統(tǒng)的開發(fā)。

?解決信息安全事故和改進(jìn)安全的新的控制措施。

4.4.2第三方實(shí)施的變更：

?新技術(shù)的使用。

?新產(chǎn)品或者新版本的采用

?服務(wù)設(shè)施物理位置的變更

?提供商的變更。

?采購部應(yīng)該考慮變更對(duì)業(yè)務(wù)系統(tǒng)的影響，進(jìn)行風(fēng)險(xiǎn)再評(píng)估，及時(shí)更新相關(guān)協(xié)議和工作流程。

5、相關(guān)支持性文件

無

6、相關(guān)記錄:

《保密承諾書》