IT外包管理制度
声明
本制度是思度安全进行汇总和编写,仅供学习、交流、讨论使用,支持付费批量下载
单次赞助 10元 可下载单篇原文联系我们
修订说明
- 烟台王较瘦 第一次编写 2022/5/1
- 思安 修订 2023/6/1
总则
目的
为了加强北京思度文库股份有限公司(以下简称“公司”) IT采购与外包服务的信息安全管理,明确IT外包的范围,指导IT采购与外包服务合同签订和外包服务实施过程监督管理,防范和控制公司IT采购与外包服务中的信息安全风险,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》特制定本制度。
适用范围
本制度适用于公司IT采购与外包服务的安全管理。
术语定义
IT采购
指公司对外购买软硬件产品,用于公司的信息化建设。
IT外包
指公司将信息系统的规划、开发、建设、运行、维护和监控等相关服务,委托给合作伙伴或外部供应商。
供应商
指为公司提供软硬件产品,或承接公司IT外包服务工作的企业。
岗位职责
采购管理部门
负责管理符合公司要求的IT产品与服务供应商。
归口管理部门
负责IT采购与外包服务协议的内容制订和合同签订和在项目执行过程中对供应商人员和服务进行监督。
管理内容
不可外包工作
直接影响公司核心业务运行的IT服务工作不能外包,如核心生产系统的运维管理不可外包。
供应商的选择
采购管理部门根据公司供应商管理办法从资金情况、人员情况,评估和选择合适的供应商。采购管理部门在对供应商进行评估和选择时应考虑供应商的信息安全资质,审核供应商资质信息真实性:供应商提供的产品和服务是否符合国家法律法规和各级监管机构的监管要求;供应商是否有信息安全违规事件历史;
供应商清单
采购管理部门及时根据实际情况维护和更新供应商清单。
合同签订
归口管理部门与供应商签订合同时,应注意以下内容:
- 应要求供应商对外包服务人员进行背景调查,并对调查结果负责;
- 应有明确的保密条款,或包含《保密承诺函》作为合同附件。必要时还应要求外包人员签署保密承诺;
- 应要求供应商遵守XXXX公司各项相关的管理规定,包含《信息安全承诺函》作为合同附件;
- 应明确项目过程中的信息安全管理要求,尤其是出现信息安全相关问题时,对处理措施和流程的要求,如异常事件的处理流程、响应机制等;
- 应明确项目最终交付物要达到的安全标准,如信息系统的安全功能,服务的连续性等,并将此作为验收的内容之一;
- 应明确供应商所提供产品及相关服务的知识产权归属。
实施过程管理
实施过程中,归口管理部门应监督供应商在服务执行过程中对信息安全要求的遵从情况,对于违反信息安全要求的行为应及时进行纠正。情节严重者还应及时通知采购部门,作为采购部门考核供应商的参考依据。
风险管理
归口管理部门应定期对IT采购与外包服务存在的风险进行评估,并对高风险情况采取控制措施。可能的风险包括但不限于: 软件开发的安全漏洞;
- 知识产权的非法转移;
- 为公司提供服务的关键技术人员的变动;
- 未经许可将服务转包或分包。
驻场外包人员管理
归口管理部门应安排专人负责驻场外包人员的安全管理,对驻场外包人员的信息安全行为进行监督管理,包括但不限于:
- 要求外包人员遵从员工信息安全手册的信息安全管理要求;
- 明确外包人员的工作职责,采取相应措施限制其对非授权信息资源的访问权限;
- 限定驻场外包人员的工作区域,未经授权不得随意访问其他区域;
- 限定驻场外包人员的工作时间,如需在非工作时段驻场工作,需要提前进行申请,并经过相关管理部门批准后方可进行。
附则
本规定由公司人力资源部和信息安全部负责解释和修订。 本规定自发布之日起执行。
参考文档
GB-T 32926-2016 信息安全技术 政府部门信息技术服务外包信息安全管理规范
中华人民共和国网络安全法
中华人民共和国数据安全法
中华人民共和国个人信息保护法
关键信息基础设施安全保护条例