文档介绍
第三方安全管理规范文档信息制度编号:生效日期:分发范围:解释部门:版次:Ver1.1页数:11制定人:审核人:批准人:传阅阅后执行并存档保密保密等级外部公开版本记录版本号版本日期修改者说明文件名第三方安全管理规范第三方安全管理规范XX单位第三方安全管理规范1总则1.1目的为了加强对第三方合作伙伴、人员、系统的安全管理,防止引入第三方给XX单位带来的安全风险,特制定本管理办法。1.2范围本规范适用于XX单位在信息安全管理过程中对外来人员和第三方人员的行为规范管理。1.3职责XX单位第三方信息安全管理由信息中心负责,并应按照本办法严格落实。2管理细则2.1解释(1)本办法所指第三方包括第三方公司、第三方系统、第三方人员:(2)第三方公司是指向XX单位提供设备、产品、服务的外部公司。第三方安全管理规范(3)第三方系统是指为XX单位服务或与XX单位合作运营的系统。这些系统可能不在XX单位机房内,但能通过接口与XX单位的系统发生数据交互。(4)第三方人员是指为XX单位提供开发、测试、运维等服务或参与合作运营系统管理的非XX单位人员。(5)对第三方公司的信息安全管理应遵循如下原则:“谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。2.2总体要求(1)对于与卫计委开展合作运营的第三方公司,信息中心要求其按照XX单位网络与信息安全的管理规定,严格落实信息安全责任,建立日常安全运维、检查制度,确保不发生信息泄密、重大安全漏洞。(2)信息中心需要求在卫计委开展现场长期服务的第三方公司,在派驻现场设立专职人员,其主要职责包括:负责按照国家及XX单位的信息安全管理要求,开展派驻现场的安全管理,指导和监督派驻现场人员的信息安全,确保不发生违规行为;接受卫计委的监督和考核等。(3)第三方公司信息安全管理人员发生变更时,应在变更前1周将有关变更信息报送XX单位信息中心。(4)信息中心要督