信息安全策略-第三方訪問策略.doc

XXXX有限公司 XX_A_04_07_2009.12 第三方訪問策略密級等級：敏感受控狀態(tài)：受控文件編號： XX_A_04_07_2009.12第 三 方 訪 問 策 略Ver 1.02009年12月30日XXXX有限公司本公司對本文件資料享受著作權及其它專屬權利，未經書面許可，不得將該等文件資料（其全部或任何部分）披露予任何第三方，或進行修改后使用。第 2 頁 共 4 頁歷史版本編制、審核、批準、發(fā)布實施、分發(fā)信息記錄表版本號編制人/創(chuàng)建日期審核人/審核日期批準人/批準日期發(fā)布日期/實施日期分發(fā)編號V1.02009/12/302010/1/4原稿/文件更改記錄序號更改單號頁次更改人日期更 改 摘 要12345678910本標準XX_A_04_07_2009.12本標準依據ISO/IEC 27001：2005信息安全管理體系-要求編寫。本標準由XXXX有限公司提出起草本標準主要起草人：本標準于2009年12月30日首次發(fā)布第三方訪問策略發(fā)布部門總經理室生效時間2009年12月30日批準人XXX文件編號XX_A_04_07_2009.12介紹第三方在支持硬件和軟件管理以及客戶運作方面有重要作用。第三方可以遠程對 數據和審核日志進行評審、備份和修改，他們可以糾正軟件和操作系統(tǒng)中的問題，可以監(jiān)控并調整系統(tǒng)性能，可以監(jiān)控硬件性能和錯誤，可以修改周遭系統(tǒng)，并重新設置警告極限。由第三方設置的限制和控制可以消除或降低收入、信譽損失或遭破壞的風險。目 的該策略的目的是為第三方訪問信息資源以及支持性服務 (A/C, UPS, PDU, 火災控制等 ) 、第三方職責以及信息保護建立準則。適用范圍該策略適用于負責新的信息資源安裝以及現(xiàn)有信息資源操作和保持的所有人員，以及可以批準第三方因保養(yǎng)、監(jiān)控以及故障處理目的而訪問信息資源的人員。術語定義略第三方訪問策略n 第三方必須遵守相應的策略、操作標準以及協(xié)議，包括但不僅限于： 安全策略； 保密策略； 審核策略； 軟件注冊策略； 信息資源使用策略。n 第三方協(xié)議和合同必須規(guī)定： 第三方應該訪問的信息； 第三方怎樣保護信息； 合同結束時第三方所擁有的信息返回、毀滅或處置方法； 第三方只能使用用于商業(yè)協(xié)議目的的信息和信息資源； 在合同期間第三方所獲得的任何信息都不能用于第三方自己的目的或泄漏給他人。 n 應該向總經理室提供與第三方的合同要點。合同要點能確保第三方符合策略的要求 ；n 每一個第三方必須提供在為合同工作的所有員工清單。員工發(fā)生變更時必須在 24 小時之內更新并提供；n 每一個在組織場所內工作的第三方員工都必須佩帶身份識別卡。當合同結束時，此卡應該歸還；n 可以訪問敏感信息資源的每一個第三方員工都不能處理這些信息；n 第三方員工應該直接向恰當的人員直接報告所有安全事故；n 如果第三方參與安全事故管理，那么必須在合同中明確規(guī)定其職責；n 第三方必須遵守所有適用的更改控制過程和程序；n 定期進行的工作任務和時間必須在合同中規(guī)定。規(guī)定條件之外的工作必須由相應的管理者書面批準；n 必須對第三方訪問進行唯一標識，并且對其進行的口令管理必須符合口令實施規(guī)范和特殊訪問實施規(guī)范。第三方主要的工作活動必須形成日志并且在管理者需要的時候可以訪問。日志的內容包括但不僅限于：人員變化、口令變化、項目進度重要事件、啟動和結束時；n 當第三方員工離職時，第三方必須確保所有敏感信息在24小時內被收回或銷毀；n 在合同或邀請結束時，第三方應該將所有信息返回或銷毀，并在 24 小時內提交一份返回或銷毀的書面證明；n 在合同或邀請結束時，第三方必須立即交出所有身份識別卡、 訪問卡以及設備和供應品。由第三方保留的設備和 / 或供應品必須被管理者書面授權；n 要求第三方必須遵守所有規(guī)定和審核要求，包括對第三方工作的審核；n 在提供服務時，第三方使用的所有軟件必須進行相應的清點并許可。懲罰違背該策略可能導致：員工以及臨時