F4-C-商務(wù)采購(gòu)部-001-V1.0-第三方服務(wù)管理工作指南

【第三方服務(wù)管理工作指南】F4-C-商務(wù)采購(gòu)部-001-V1.0第頁(yè)第三方服務(wù)管理工作指南目錄1范圍 32規(guī)范性引用文件 33職責(zé) 34管理內(nèi)容和要求 34.1第三方服務(wù)的確定 34.2對(duì)第三方服務(wù)的監(jiān)督和評(píng)審 44.3第三方服務(wù)的變更管理 44.4第三方人員及外包商安全管理 44.5供應(yīng)商協(xié)議中的安全 54.6信息和通信技術(shù)供應(yīng)鏈 5

第三方服務(wù)管理工作指南范圍適用于公司信息安全第三方服務(wù)管理活動(dòng),包括第三方確定過(guò)程、第三方的服務(wù)安全控制措施、第三方的服務(wù)監(jiān)督和評(píng)審方法、第三方的變更管理。為加強(qiáng)對(duì)第三方服務(wù)提供商（合作商）的控制，減少安全風(fēng)險(xiǎn)，防范公司信息資產(chǎn)損失，特制定本程序。規(guī)范性引用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)?！缎畔⒓夹g(shù)安全技術(shù)信息安全管理體系要求》（GB/T22080-2016/ISO/IEC27001:2013）職責(zé)3.1商務(wù)采購(gòu)部負(fù)責(zé)統(tǒng)一管理第三方服務(wù)的控制活動(dòng)，負(fù)責(zé)確定合格的第三方服務(wù)商。3.2各相關(guān)部門(mén)a)與第三方服務(wù)商簽訂服務(wù)合同和保密協(xié)議；b)負(fù)責(zé)對(duì)第三方服務(wù)商的服務(wù)進(jìn)行安全控制；c)負(fù)責(zé)定期對(duì)第三方服務(wù)商進(jìn)行監(jiān)督和評(píng)審。管理內(nèi)容和要求4.1第三方服務(wù)的確定4.1.1公司所需的第三方服務(wù)包括：a)采購(gòu)的物資需要委托第三方進(jìn)行監(jiān)造；b)技術(shù)開(kāi)發(fā)項(xiàng)目需要分包；c)信息處理設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件需要第三方進(jìn)行開(kāi)發(fā)和維護(hù)；d)信息安全等需要委托第三方提供服務(wù)；e)其他服務(wù)提供方。4.1.2在與第三方簽署服務(wù)合同前，相關(guān)的主管部門(mén)應(yīng)明確第三方服務(wù)的內(nèi)容和要求，評(píng)估由于第三方服務(wù)帶來(lái)的信息安全風(fēng)險(xiǎn)，并對(duì)第三方提供服務(wù)的能力進(jìn)行評(píng)定，應(yīng)確保第三方有充分的提供服務(wù)的能力，并且具備有效的工作計(jì)劃，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)的連貫性，必要時(shí)可以通過(guò)招投標(biāo)，確定合格的第三方服務(wù)提供商。4.1.3對(duì)重要的第三方服務(wù)提供商，應(yīng)確定其信息安全管理要求和提供服務(wù)的能力要求，必要時(shí)進(jìn)行現(xiàn)場(chǎng)評(píng)定。4.1.4確定合格的第三方服務(wù)提供商后，相關(guān)主管部門(mén)應(yīng)與第三方簽署第三方服務(wù)合同(SLA)，并在服務(wù)合同中體現(xiàn)信息安全風(fēng)險(xiǎn)金。如果服務(wù)中涉及需要第三方保密的信息，必須明確第三方的責(zé)任，并簽訂《第三方服務(wù)保密協(xié)議》。4.2對(duì)第三方服務(wù)的監(jiān)督和評(píng)審4.2.1相關(guān)主管部門(mén)應(yīng)對(duì)第三方服務(wù)進(jìn)行監(jiān)督檢查，對(duì)服務(wù)內(nèi)容和質(zhì)量進(jìn)行記錄和評(píng)審。4.2.2在第三方服務(wù)合同規(guī)定的保密期限內(nèi)，相關(guān)主管部門(mén)應(yīng)保存第三方服務(wù)期間的所有資料，尤其是第三方訪(fǎng)問(wèn)、處理和管理敏感信息、關(guān)鍵信息、信息處理設(shè)施的監(jiān)控和技術(shù)分析等方面的資料。4.3第三方服務(wù)的變更管理4.3.1當(dāng)?shù)谌桨l(fā)生變更時(shí)，相關(guān)主管部門(mén)應(yīng)對(duì)第三方的服務(wù)和服務(wù)的現(xiàn)有狀態(tài)進(jìn)行評(píng)估。對(duì)于變更過(guò)的第三方仍需要按照本程序的4.1至4.3條款進(jìn)行控制和管理。4.3.2當(dāng)服務(wù)內(nèi)容發(fā)生變更時(shí)，相關(guān)主管部門(mén)應(yīng)對(duì)第三方的服務(wù)和服務(wù)的現(xiàn)有狀態(tài)進(jìn)行評(píng)估，還要對(duì)服務(wù)內(nèi)容變更后對(duì)現(xiàn)有信息系統(tǒng)影響進(jìn)行評(píng)估，確保信息系統(tǒng)的安全性，。對(duì)于變更過(guò)的第三方服務(wù)內(nèi)容仍需要按照本程序的4.1至4.3條款進(jìn)行控制和管理。4.4第三方人員及外包商安全管理4.4.1第三方人員訪(fǎng)問(wèn)控制（1）必須對(duì)第三方人員訪(fǎng)問(wèn)實(shí)行訪(fǎng)問(wèn)授權(quán)管理，訪(fǎng)問(wèn)控制措施應(yīng)滿(mǎn)足權(quán)限最小化原則。未經(jīng)授權(quán)的第三方人員不得進(jìn)行任何方式的訪(fǎng)問(wèn)，訪(fǎng)問(wèn)結(jié)束應(yīng)取消相應(yīng)的授權(quán)；（2）第三方需要提供服務(wù)人員的姓名、技術(shù)能力評(píng)定、聯(lián)系方式等信息，服務(wù)人員需持有效身份證明進(jìn)入工作場(chǎng)所。（3）第三方服務(wù)人員在現(xiàn)場(chǎng)提供服務(wù)的，應(yīng)遵守現(xiàn)場(chǎng)有關(guān)規(guī)定。（4）第三方服務(wù)人員在遠(yuǎn)程提供服務(wù)時(shí)，必須明確時(shí)間、地點(diǎn)、聯(lián)系人、工作安排、預(yù)期結(jié)果、觀察期等。（5）第三方人員必須經(jīng)過(guò)授權(quán)并佩戴易于識(shí)別的標(biāo)志，由專(zhuān)人陪同才能進(jìn)入相應(yīng)的安全區(qū)進(jìn)行訪(fǎng)問(wèn)，陪同人員應(yīng)事先告知第三方人員有關(guān)的安全注意事項(xiàng)；（6）應(yīng)對(duì)第三方人員的邏輯訪(fǎng)問(wèn)需要采取控制措施，避免系統(tǒng)內(nèi)部信息的泄露；（7）必須對(duì)第三方人員訪(fǎng)問(wèn)的操作內(nèi)容進(jìn)行詳細(xì)記錄，并對(duì)記錄及時(shí)進(jìn)行審計(jì)；（8）信息安全主管每年組織信息系統(tǒng)人員進(jìn)行安全、保密教育培訓(xùn)。4.4.2第三方人員對(duì)敏感的信息資產(chǎn)進(jìn)行訪(fǎng)問(wèn)的安全控制信息安全主管組織專(zhuān)人對(duì)第三方人員做以下管控：（1）第三方人員需要對(duì)敏感的信息資產(chǎn)進(jìn)行訪(fǎng)問(wèn)時(shí)，必須簽訂保密協(xié)議或正式的合同；（2）合同中有關(guān)的安全要求必須符合公司信息系統(tǒng)安全的總體策略；（3）外包活動(dòng)應(yīng)簽訂正式的合同，合同中應(yīng)明確外包方的安全責(zé)任和必須遵守的安全要求。4.5供應(yīng)商協(xié)議中的安全在供應(yīng)商提供服務(wù)前，必須簽署合同作雙方項(xiàng)目約束文件，合同簽訂前必須確認(rèn)外包軟件開(kāi)發(fā)商、外包運(yùn)維服務(wù)商提供的資質(zhì)證明合同中應(yīng)包含保密條款和與安全相關(guān)內(nèi)容，以確保和供應(yīng)商雙方在履行相關(guān)信息安全要求的義務(wù)上不存在誤解。保密、安全條款應(yīng)包含以下內(nèi)容：（1）軟件開(kāi)發(fā)外包、運(yùn)維外包中的一切活動(dòng)必須符合第三方訪(fǎng)問(wèn)的安全要求；（2）與軟件開(kāi)發(fā)單位簽訂協(xié)議，明確知識(shí)產(chǎn)權(quán)的歸屬和安全方面的要求以及軟件開(kāi)發(fā)單位的保密責(zé)任和保密義務(wù)。（3）必須對(duì)外包軟件完成的質(zhì)量和功能的滿(mǎn)足性進(jìn)行審計(jì)檢查；（4）由于系統(tǒng)、軟件的局限性，預(yù)定的控制措施無(wú)法實(shí)現(xiàn)時(shí)，合同中要明確采用可接受的取代方案，并對(duì)外包軟件開(kāi)發(fā)商的訪(fǎng)問(wèn)過(guò)程進(jìn)行審計(jì)；（5）在軟件安裝之前檢測(cè)軟件質(zhì)量、檢測(cè)軟件包中可能存在的惡意代碼。要求開(kāi)發(fā)單位提供技術(shù)培訓(xùn)和服務(wù)承諾；提供軟件設(shè)計(jì)的相關(guān)文檔和使用手冊(cè)。（6）合同的糾紛處理過(guò)程：合同履行過(guò)程中發(fā)生爭(zhēng)議時(shí)，雙方應(yīng)本著誠(chéng)實(shí)信用原則，通過(guò)友好協(xié)商解決。若爭(zhēng)議經(jīng)協(xié)商仍無(wú)法解決的，按以下方式處理：i.仲裁：提交中國(guó)國(guó)際經(jīng)濟(jì)貿(mào)易仲裁委員會(huì)按照申請(qǐng)仲裁時(shí)該仲裁機(jī)構(gòu)有效的仲裁規(guī)則進(jìn)行仲裁。仲裁地為甲方所在地，但仲裁裁決對(duì)雙方均有約束力。ii. 訴訟：向甲方所在地人民法院提起訴訟。4.6信息和通信技術(shù)供應(yīng)鏈對(duì)于信息與通信技術(shù)服務(wù)以及產(chǎn)品供應(yīng)鏈相關(guān)要求包括以下三個(gè)方面：涉及核心系統(tǒng)的權(quán)限管理服務(wù)不得外包給任何第三方；在通信運(yùn)營(yíng)商的選擇過(guò)程中，需選擇有優(yōu)質(zhì)的當(dāng)?shù)刭Y源充沛和服務(wù)保障運(yùn)營(yíng)商；在通信產(chǎn)品的選擇上，需選擇與運(yùn)營(yíng)商鏈路匹配和兼容的設(shè)備。本制度相關(guān)修改及解釋權(quán)屬于商務(wù)采購(gòu)部文檔編號(hào)（由總經(jīng)辦填寫(xiě)）F4-C-商務(wù)采購(gòu)部-001-V1.0密級(jí)內(nèi)部公開(kāi)文檔發(fā)布級(jí)別部門(mén)級(jí)文檔發(fā)布及實(shí)行范圍制度試行日期（可選）制度執(zhí)行日期