佛山ISO认证ISO27001认证信息安全管理体系顾问办理

介绍

供应商在支持硬件和软件管理以及客户运作方面有重要作用。供应商可以远程对 数据和审核日志进行评审、备份和修改，他们可以纠正软件和操作系统中的问题，可以监控并调整系统性能，可以监控硬件性能和错误，可以修改周遭系统，并重新设置警告极限。由供应商设置的限制和控制可以消除或降低收入、信誉损失或遭PO坏的风险。

目 的

该策略的目的是为供应商访问信息资源以及支持xing服务 (A/C, UPS, PDU, 火灾控制等 ) 、供应商职责以及信息保护建立准则。

适用范围

该策略适用于负责新的信息资源安装以及现有信息资源操作和保持的所有人员，以及可以批准供应商因bao养、监控以及故障处理目的而访问信息资源的人员。

术语定义

略

第三

方访

问策

略

n  供应商必须遵守相应的策略、操作标准以及协议，包括但不仅限于：

²  安全策略；

²  保密策略；

²  审核策略；

²  软件注册策略；

²  信息资源使用策略。

n  供应商协议和合同必须规定：

²  供应商应该访问的信息；

²  供应商怎样保护信息；

²  合同结束时供应商所拥有的信息返回、毁灭或处置方法；

²  供应商只能使用用于商业协议目的的信息和信息资源；

²  在合同期间供应商所获得的任何信息都不能用于供应商自己的目的或泄漏给他人。

n  应该向人力资源部提供与供应商的合同要点。合同要点能确保供应商符合策略的要求 ；

n  每一个供应商必须提供在为合同工作的所有员工清单。员工发生变更时必须在 24 小时之内更新并提供；

n  可以访问秘密信息资源的每一个供应商员工都不能处理这些信息；

n  供应商员工应该直接向恰当的人员直接报告所有安全事故；

n  如果供应商参与安全事故管理，那么必须在合同中明确规定其职责；

n  供应商必须遵守所有适用的更改控制过程和程序；

n  定期进行的工作任务和时间必须在合同中规定。规定条件之外的工作必须由相应的管理者书面批准；

n  必须对供应商访问进行唯yi标识，并且对其进行的口令管理必须符合口令实施规范和特殊访问实施规范。供应商主要的工作活动必须形成日志并且在管理者需要的时候可以访问。日志的内容包括但不仅限于：人员变化、口令变化、项目进度重要事件、启动和结束时；

n  当供应商员工离职时，供应商必须确保所有秘密信息在24小时内被收回或销毁；

n  在合同或邀请结束时，供应商应该将所有信息返回或销毁，并在 24 小时内提交一份返回或销毁的书面证明；

n  在合同或邀请结束时，供应商必须立即交出所有身份识别卡、 访问卡以及设备和供应品。由供应商保留的设备和 / 或供应品必须被管理者书面授quan；

n  要求供应商必须遵守所有规定和审核要求，包括对供应商工作的审核；

n  在提供服务时，供应商使用的所有软件必须进行相应的清点并许可。