ISO27001第三方服务管理程序.doc

ISO27001第三方服务管理程序1目的保证公司信息安全和业务持续性，确保第三方交付的服务符合协议要求。2适用范围适用于为公司提供服务的第三方的部门。3职责与权限管理本部：（1）与公司基础设施和场所相关系统，由管理本部与相关厂商签订服务协议，并监督审核其提供的服务是否满足要求。（2）与实习学生以及其他临时雇用的外部人员签订服务协议，并监督审核其提供的服务是否满足要求。（3）在营销过程中发生的与其他机构的合作，负责签订协议，并监督审核提供的服务是否满足要求。（4）对合作方、第三方以及实习生的筛选、审核等应遵循相关法律的规定以及行业规范。4程序和工作流程4.1与第三方的协议要求规定双方的相关义务；合作中如涉及公司信息安全有关的业务、信息等，需签订保密承诺书等协议，以防止公司信息的泄露；要提供产品或者服务的使用说明和描述；规定协议的重新协商/终止条件；说明因为第三方的产品或者服务带来信息安全事故或者违背协议所要承担的责任；确保在协议截止时对所掌握的信息和资产进行归档和销毁；在与第三方合作的过程中，第三方因合作需要，需要访问信息处理设施的附加部件或服务的，亦适用本程序中规定的所有信息安全流程及要求。4.2服务交付管理本部检查第三方交付的服务或者产品是否满足协议规定。4.3服务监控和评审监控产品或者服务的执行效率；向第三方提供由于其所提供的产品或者服务所产生的信息安全事故；评审第三方审核跟踪和关于交付服务的安全事件、操作问题、故障、失误追踪和破坏记录。维护过程中涉及机密信息的，应将第三方服务工程师的操作进行记录并由其签字确认。填写第三方服务维护登记表。解决和管理所有识别的问题4.4服务变更4.4.1公司需要的实施的服务变更：如果公司需要对提供的现有服务进行加强新的应用和系统的开发解决信息安全事故和改进安全的新的控制措施4.4.2第三方实施的变更：新技术的使用新产品或者新版本的采用服务设施物理位置的变更提供商的变更管理本部应该考虑变更对业务系统的影响，进行风险再评估，及时更新相关协议和工作流程。5相关支持性文件无6相关记录保密承诺书ISO27001信息安全管理标准理解及内审员培训 培训热线：0755-25936263、25936264 李小姐客服QQ：1484093445、675978375 ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表 【课程描述】ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册【课程对象】信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】第一部分：ISO27001：2005信息安全概述、标准条款讲解 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。 ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合） ISO27001与ISO9001、ISO14001的异同 ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件 如何将三体系整合降低公司的体系运行成本 ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析 ISO27001：2005标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”