信息安全策略-第三方訪問策略.doc

XXXX有限公司 XX_A_04_07_2009.12 第三方訪問策略密級等級：敏感受控狀態(tài)：受控文件編號： XX_A_04_07_2009.12第 三 方 訪 問 策 略Ver 1.02009年12月30日XXXX有限公司本公司對本文件資料享受著作權(quán)及其它專屬權(quán)利，未經(jīng)書面許可，不得將該等文件資料（其全部或任何部分）披露予任何第三方，或進(jìn)行修改后使用。第 2 頁 共 4 頁歷史版本編制、審核、批準(zhǔn)、發(fā)布實(shí)施、分發(fā)信息記錄表版本號編制人/創(chuàng)建日期審核人/審核日期批準(zhǔn)人/批準(zhǔn)日期發(fā)布日期/實(shí)施日期分發(fā)編號V1.02009/12/302010/1/4原稿/文件更改記錄序號更改單號頁次更改人日期更 改 摘 要12345678910本標(biāo)準(zhǔn)XX_A_04_07_2009.12本標(biāo)準(zhǔn)依據(jù)ISO/IEC 27001：2005信息安全管理體系-要求編寫。本標(biāo)準(zhǔn)由XXXX有限公司提出起草本標(biāo)準(zhǔn)主要起草人：本標(biāo)準(zhǔn)于2009年12月30日首次發(fā)布第三方訪問策略發(fā)布部門總經(jīng)理室生效時(shí)間2009年12月30日批準(zhǔn)人XXX文件編號XX_A_04_07_2009.12介紹第三方在支持硬件和軟件管理以及客戶運(yùn)作方面有重要作用。第三方可以遠(yuǎn)程對 數(shù)據(jù)和審核日志進(jìn)行評審、備份和修改，他們可以糾正軟件和操作系統(tǒng)中的問題，可以監(jiān)控并調(diào)整系統(tǒng)性能，可以監(jiān)控硬件性能和錯(cuò)誤，可以修改周遭系統(tǒng)，并重新設(shè)置警告極限。由第三方設(shè)置的限制和控制可以消除或降低收入、信譽(yù)損失或遭破壞的風(fēng)險(xiǎn)。目 的該策略的目的是為第三方訪問信息資源以及支持性服務(wù) (A/C, UPS, PDU, 火災(zāi)控制等 ) 、第三方職責(zé)以及信息保護(hù)建立準(zhǔn)則。適用范圍該策略適用于負(fù)責(zé)新的信息資源安裝以及現(xiàn)有信息資源操作和保持的所有人員，以及可以批準(zhǔn)第三方因保養(yǎng)、監(jiān)控以及故障處理目的而訪問信息資源的人員。術(shù)語定義略第三方訪問策略n 第三方必須遵守相應(yīng)的策略、操作標(biāo)準(zhǔn)以及協(xié)議，包括但不僅限于： 安全策略； 保密策略； 審核策略； 軟件注冊策略； 信息資源使用策略。n 第三方協(xié)議和合同必須規(guī)定： 第三方應(yīng)該訪問的信息； 第三方怎樣保護(hù)信息； 合同結(jié)束時(shí)第三方所擁有的信息返回、毀滅或處置方法； 第三方只能使用用于商業(yè)協(xié)議目的的信息和信息資源； 在合同期間第三方所獲得的任何信息都不能用于第三方自己的目的或泄漏給他人。 n 應(yīng)該向總經(jīng)理室提供與第三方的合同要點(diǎn)。合同要點(diǎn)能確保第三方符合策略的要求 ；n 每一個(gè)第三方必須提供在為合同工作的所有員工清單。員工發(fā)生變更時(shí)必須在 24 小時(shí)之內(nèi)更新并提供；n 每一個(gè)在組織場所內(nèi)工作的第三方員工都必須佩帶身份識別卡。當(dāng)合同結(jié)束時(shí)，此卡應(yīng)該歸還；n 可以訪問敏感信息資源的每一個(gè)第三方員工都不能處理這些信息；n 第三方員工應(yīng)該直接向恰當(dāng)?shù)娜藛T直接報(bào)告所有安全事故；n 如果第三方參與安全事故管理，那么必須在合同中明確規(guī)定其職責(zé)；n 第三方必須遵守所有適用的更改控制過程和程序；n 定期進(jìn)行的工作任務(wù)和時(shí)間必須在合同中規(guī)定。規(guī)定條件之外的工作必須由相應(yīng)的管理者書面批準(zhǔn)；n 必須對第三方訪問進(jìn)行唯一標(biāo)識，并且對其進(jìn)行的口令管理必須符合口令實(shí)施規(guī)范和特殊訪問實(shí)施規(guī)范。第三方主要的工作活動(dòng)必須形成日志并且在管理者需要的時(shí)候可以訪問。日志的內(nèi)容包括但不僅限于：人員變化、口令變化、項(xiàng)目進(jìn)度重要事件、啟動(dòng)和結(jié)束時(shí)；n 當(dāng)?shù)谌絾T工離職時(shí)，第三方必須確保所有敏感信息在24小時(shí)內(nèi)被收回或銷毀；n 在合同或邀請結(jié)束時(shí)，第三方應(yīng)該將所有信息返回或銷毀，并在 24 小時(shí)內(nèi)提交一份返回或銷毀的書面證明；n 在合同或邀請結(jié)束時(shí)，第三方必須立即交出所有身份識別卡、 訪問卡以及設(shè)備和供應(yīng)品。由第三方保留的設(shè)備和 / 或供應(yīng)品必須被管理者書面授權(quán)；n 要求第三方必須遵守所有規(guī)定和審核要求，包括對第三方工作的審核；n 在提供服務(wù)時(shí)，第三方使用的所有軟件必須進(jìn)行相應(yīng)的清點(diǎn)并許可。懲罰違背該策略可能導(dǎo)致：員工以及臨時(shí)