供应关系管理程序-ISO27001体系.doc

密级等级：机密 受控状态：受控 文件编号：HW -IP-021-V1.0 供应关系管理程序 V1.0 2019年01月10日 广东***技术股份有限公司 内部资料 版权所有 未经允许 不得抄印 变 更 履 历 版本 变更内容 编制人/ 创建日期 审核人/ 审核日期 批准人/ 批准日期 备注 V1.0 初始版本，文档建立 罗** 2019.01.07 沈** 2019.01.09 黄** 2019.01.10 1 目的 为加强对供应商服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，特制定本程序。 2 范围 适用于组织信息安全供应商服务管理活动,包括供应商确定过程、供应商的服务安全控制措施、供应商的服务监督和评审方法、供应商的变更管理。 3 职责 3.1经营管理中心 负责统一管理供应商服务的控制活动。 负责信息处理设备、网络、系统、软件的采购和维护供应商服务的管理。 负责确定合格的供应商服务商，并与供应商服务商签订服务合同和保密协议； 负责对供应商服务商的服务进行安全控制； 负责定期对供应商服务商进行监督和评审； 负责做好供应商服务商的变更管理。 3.2 其他相关部门 负责对工作过程中所接受供应商的服务的表现进行评价。 4 相关文件 《信息安全管理手册》 《相关方信息安全管理程序》 《安全区域管理程序》 《信息系统访问与使用监控管理程序》 5 程序 5.1 供应商服务的确定 本组织所需的供应商服务包括： 采购的物资需要委托供应商进行监造； 技术开发项目需要分包； 信息处理设备、网络、系统、软件需要供应商进行开发和维护； 信息安全等需要委托供应商提供服务； 管理服务提供商，管理咨询，业务咨询，外部审核方； 清洁、物业、会计以及其他外包的支持性服务提供商； 其他服务提供方。 在与供应商签署服务合同前，相关的主管部门应明确供应商服务的内容和要求，评估由于供应商服务带来的信息安全风险，并对供应商提供服务的能力进行评定，应确保供应商有充分的提供服务的能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性，必要时可以通过招投标，确定合格的供应商服务提供商。 对重要的供应商服务提供商，应确定其信息安全管理要求和提供服务的能力要求，制定《供应商信息安全核查计划》和《供应商信息安全核查表》并进行现场评定。 确定合格的供应商服务提供商后，相关主管部门应与供应商签署供应商服务合同(SLA)，并在服务合同中体现信息安全风险金。如果服务中涉及需要供应商保密的信息，必须明确供应商的责任，并签订《供应商服务保密协议》。 如果供应商服务涉及组织的知识产权，应明确供应商的知识产权保护责任，与供应商签署《知识产权声明书》。 5.2 对供应商服务的安全控制 供应商需要提供服务人员的姓名、联系方式等信息，服务人员需持有效身份证明进入工作场所。 供应商服务人员在现场提供服务的，应遵守现场有关规定。 供应商服务人员在远程提供服务时，必须明确时间、地点、联系人、工作安排、预期结果、观察期等。 对供应商技术人员在服务中需要设备入网时，供应商技术人员应填写《供应商逻辑访问申请授权表》，经相关主管部门审核、公司主管领导批准后，方可入网。 供应商技术人员对系统进行检查和维护时，需要有组织的专业人员陪同，应按照《安全区域管理程序》和《信息系统访问与使用监控管理程序》进行控制，并需要填写《供应商工作记录单》，或在检查和维护记录、外来人员工