信息服務(wù)安全管理規(guī)范.docx

《信息服務(wù)安全管理規(guī)范》講解了保障組織信息系統(tǒng)在外部訪問中的安全性，確保公司在引入外界合作與服務(wù)過程中不會(huì)導(dǎo)致系統(tǒng)安全性能的下降。文件指出要及時(shí)有效地把控外來服務(wù)的質(zhì)量及其安全保障狀況，制定了一套關(guān)于管理外部服務(wù)的詳細(xì)操作流程和嚴(yán)格要求。它涵蓋了術(shù)語和定義、責(zé)任分工和權(quán)限劃分，強(qiáng)調(diào)信息安全領(lǐng)導(dǎo)辦公室統(tǒng)一管理所有外方，負(fù)責(zé)識(shí)別相關(guān)風(fēng)險(xiǎn)和涉及核心數(shù)據(jù)審批管理；各部門協(xié)助開展監(jiān)督工作。對(duì)于第三方提出的服務(wù)需求，《規(guī)范》強(qiáng)調(diào)由具體部門發(fā)起請(qǐng)求匯總至管理層審核，并且需要清楚標(biāo)注是否觸及公司的機(jī)密等級(jí)的信息。針對(duì)第三服務(wù)安全管理和日常監(jiān)控細(xì)節(jié)做出具體指示，明確必須與服務(wù)商簽署協(xié)議確定信息安全性內(nèi)容，限制外方接觸核心數(shù)據(jù)，特殊情況需高層授權(quán)才能實(shí)施。文檔特別規(guī)定了在外方參與公司網(wǎng)絡(luò)設(shè)施建設(shè)和檢修時(shí)的安全管理，如限定訪問期限和區(qū)域，以及全程監(jiān)視外方活動(dòng)，同時(shí)建立詳細(xì)的監(jiān)控記錄機(jī)制。此外還涉及到對(duì)長期駐扎公司的外部團(tuán)隊(duì)人員審核，以及定期評(píng)審與替換服務(wù)供應(yīng)商的條款。

《信息服務(wù)安全管理規(guī)范》適用于希望在保護(hù)公司內(nèi)部信息系統(tǒng)的安全不受外部威脅影響的企業(yè)或機(jī)構(gòu)。這既包括傳統(tǒng)行業(yè)里的大型制造業(yè)企業(yè)到現(xiàn)代互聯(lián)網(wǎng)服務(wù)型企業(yè)等任何可能需要依賴外包服務(wù)或者接受臨時(shí)來訪的技術(shù)顧問、業(yè)務(wù)伙伴和其他非正式員工參與信息處理作業(yè)的情況。無論是出于技術(shù)創(chuàng)新還是成本控制而采用的外包模式都可以借助此文件為藍(lán)本制定自身完善的對(duì)外部信息安全管理策略，以滿足當(dāng)今快速變化環(huán)境下的各種潛在挑戰(zhàn)并確保業(yè)務(wù)的順暢運(yùn)營。