QEP 程序文件相关方信息安全控制程序DOC NO 文件编号QEP-033 REV 版本APAGE 页码1 of 3 1. 范围本标准规定了公司对相关方服务的管理。2. 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改或修订均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。信息安全管理手册安全区域控制程序用户访问控制程序3. 术语和定义本程序的相关方包括上级单位、第三方服务公司、供应商、客户等。4. 职责和权限4.1 品质部是公司相关方服务的归口管理部门。负责对企业所有与外部相关方的服务进行监控、评审及管理。4.2 集团 IT 部是企业信息系统相关方服务的归口管理部门。负责对企业网系统平台相关方服务、其进行定期监控和评审。4.3 其他部门其他部门负责对本部门相关的服务进行监督、评审和管理。5.活动描述5.1 总则5.1.1 本公司需要将设备、网络、系统、软件和信息安全等事项进行外包时,应与相关服务提供方签署服务合同。5.1.2 相关服务提供方需提供服务人员的姓名、技术能力评定、联系方式等信息,服务人员需持有效身份证QEP 程序文件相关方信息安全控制程序DOC NO 文件编号QEP-033 REV 版本APAGE 页码2 of 3 明进入现场。临时服务人员由专业人员全程陪同,长时间服务人员需办理外来人员临时出入证。5.1.3 相关服务人员在现场或远程服务时,必须明确相关内容,包括时间、地点、联系人、工作安排、预期结果、观察期等。5.1.4外来人员的物理访问按《安全区域控制程序》进行。5.1.5外来人员的逻辑访问按《用户访问控制程序》进行。5.1.6公司应保持与权威机构、特殊专业团体的联系,以获得信息安全的最佳实践和最新状态的知识。5.1.7 集团 IT 部应就计算机信息及通信网络安全问题与服务提供部门(IT 服务提供机构、认证机构、咨询机构、信息安全机构)保持联系,以确保和在出现安全事故时尽快采取适当的行动和取得建议。5.2 相关方能力的评定5.2.1 将设备、网络、系统、软件和信息安全等事项外包时,应明确外包服务的内容和服务级别要求,对相关方提供服务的能力进行评定,必要时通过招投标,确定合格的服务方。5.2.2 应确保相关方保持充分的提供服务的能力,并且具备有效的工作计划,即便发生重大的服务故障或灾难也能保持服务的连贯性。5.2.3 相关方名称及联络信息登记在“相关方一览表...
