信息技术外包服务安全管理制度三篇.docx

《信息技术外包服务安全管理制度三篇.docx》由会员分享，可在线阅读，更多相关《信息技术外包服务安全管理制度三篇.docx（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息技术外包效劳安全治理制度三篇篇一：信息技术外包效劳安全治理制度第一节 总则1、为加强医院信息技术外包效劳的安全治理，保证医院信息系统运行环境的稳定，特制定本制度。2、本制度所称信息技术外包效劳，是指医院以签订合同的方式，托付担当信息技术效劳且非本医院所属的专业机构供给的信息技术效劳，主要包括信息技术询问效劳、运行维护效劳、技术培训及其它相关信息化建设效劳等。3、安全治理是以安全为目的，进展有关安全工作的方针、决策、打算、组织、指挥、协调、掌握等职能，合理有效地使用人力、财力、物力、时间和信息，为到达预定的安全防范而进展的各种活动的总和，称为安全治理。4、外包效劳安全治理遵循关于安全的全部商

2、业准则及适当的外部法律、法规。其次节 外包效劳范围5、外包效劳包括信息技术询问效劳、运行维护效劳、技术培训等。6、询问效劳：6.1 依据医院的信息化建设总体部署，帮助医院制定切实可行的技术实施方案。6.2 对医院现有的信息技术根底架构、设备运行状态和应用状况进展诊断和评估，提出合理化的解决方案。6.3 依据医院的实际状况提出备份方案和应急方案。6.4 其它信息技术询问效劳。第 10 页 共 13 页7、运行维护效劳：7.1 软硬件设备安装、升级效劳。7.2 硬件设备的修理和保养。7.3 依据医院业务变化，供给应用系统功能性的需求解决方案及执行效劳。7.4 系统定期巡检和整体性能评估。7.5 日

3、常业务数据问题的处理效劳。7.6 其它运行维护效劳。8、技术培训：依据医院的实际状况，供给相关的技术培训。第三节 外包效劳安全治理9、外包效劳安全治理应依据“安全第一、预防为主”的原则，实行科学有效的安全治理措施，应用确保信息安全的技术手段，建立权责明确、掩盖信息化全过程的岗位责任制，对信息化全过程实行严格监视和治理，确保信息安全。10、 成立由分管领导同志信息化外包治理组织，明确信息化治理的部门、人员及其职责。11、建立信息建设安全保密制度，与外包效劳方签订安全保密协议或合同，明确符合安全治理及其它相关制度的要求。并对效劳人员进展安全。12、制定信息化加工过程治理、信息化成果验收与交接、存储

4、介质治理等操作规程或规章制度。13、外包效劳方的人员素养、技术与治理水平能够满足拟担当工程的要求，进展相应的安全资质治理。14、信息中心配备专人负责安全保密工作，负责日常信息安全监视、检查、指导工作。对效劳方供给的效劳进展安全性监视与评估，实行安全措施对访问实施掌握，消灭问题应遵照合同规定准时处理和报告，确保其供给的效劳符合医院的内部掌握要求。 15、对外包效劳的业务应用系统运行的安全状况应定期进展评估，当消灭重大安全问题或隐患时应进展重评估，提出改进意见，直至停顿外包效劳。16、使用外包效劳方设备的，对其进展必要的安全检查。17、在重要安全区域，对外部效劳方的每次访问进展风险掌握；必要时应外

5、部效劳方的访问进展限制。第四节 附则18、本制度由信息中心负责解释。19、本制度自公布之日起生效执行。篇二：信息技术外包效劳安全治理制度为加强单位信息技术外包效劳的安全治理，保证单位信息系统运行环境的稳定，特制定本制度。1、外包效劳安全治理遵循关于安全的全部商业准则及适当的外部法律、法规。2、外包效劳范围：外包效劳包括信息技术询问效劳、运行维护效劳、技术培训等。3、询问效劳：依据单位的信息化网络安全建设总体部署，帮助单位制定切实可行的技术实施方案。对单位现有的信息技术网络安全根底架构、设备运行状态和应用状况进展诊断和评估，提出合理化的解决方案。4、依据单位的实际状况提出备份方案和应急方案。5、

6、其它信息技术询问效劳。6、运行维护效劳：7、软硬件设备安装、升级效劳。8、硬件设备的修理和保养。9、依据单位业务变化，供给应用系统功能性的需求解决方案及执行效劳。10、系统定期巡检和整体性能评估；日常业务数据问题的处理效劳。11、其它运行维护效劳。12、技术培训：依据单位的实际状况，供给相关的技术培训。13、外包效劳安全治理应依据安全第一、预防为主的原则，实行科学有效的安全治理措施，应用确保信息网络安全的技术手段，建立权责明确、掩盖信息化全过程的岗位责任制，对信息化网络安全全过程实行严格监视和治理，确保信息安全。14、成立由分管领导同志信息化网络安全外包治理组织，明确信息化治理的部门、人员及其

7、职责。15、建立信息网络安全建设保密制度，与外包效劳方签订安全保密协议或合同，明确符合安全治理及其它相关制度的要求。并对效劳人员进展安全。16、制定信息化网络安全建设过程治理、信息化网络安全建设成果验收与交接、存储介质治理等操作规程或规制度。17、外包效劳方的人员素养、技术与治理水平能够满足拟担当工程的要求，进展相应的安全资质治理。18、使用外包效劳方设备的，对其进展必要的安全检查。篇三：信息技术效劳外包人员安全治理细则1 总则1.1 目的为标准本公司对外包效劳人员的信息安全治理工作，明确相关部门和人员职责，使信息技术外包效劳纳入制度化、标准化治理，特制定本治理细则。1.2 适用范围本标准适用

8、于名称治理效劳中心对外包效劳商及外包效劳人员的治理。2 术语和定义3 外包安全治理根本原则在信息技术效劳外包活动中，应遵循以下信息安全治理根本原则：(一)责任延展原则。信息安全治理责任不随效劳外包而转移，无论名称数据和业务是位于自身信息系统还是外包效劳商的信息系统上，XXX 都是信息安全的最终责任人。(二)领导决策原则。信息技术外包应获得名称效劳外包主管领导的支持、批准和授权。(三)风险掌握原则。责任人员应始终关注信息技术效劳外包可能带来的信息安全风险， 并能够准时应用风险掌握措施。(四)监视检查原则。运维部应对信息技术效劳活动进展监管，并承受信息安全主管部门的监视检查。(五)数据归属关系不变

9、。XX 公司供给应外包效劳效劳商的数据、设备等资源，以及外包效劳过程中收集、产生、存储的数据和文档等资源属XX 公司全部。外包效劳商应保障 XX 公司对这些资源的访问、利用、支配，未经 XX 公司授权，外包效劳商和任何第三方不得访问、修改、披露、利用、转让、销毁。4 角色与职责4.1 主管领导XX 公司领导小组担当信息技术外包效劳信息安全治理的最高治理机构，担当外包活动的信息安全治理总职责，对外包活动中的信息安全相关事项具有一票拒绝权。主管领导具有以下职责：(一)依据 XX 公司的信息安全治理总体框架，批准效劳外包信息安全治理策略。(二)授权并支持相应的效劳外包接口人具体治理外包活动的信息安全

10、。(三)供给并保障效劳外包信息安全治理所需要的资源。(四)组织检查外包效劳商的信息安全掌握措施的执行状况。(五)担当效劳外包信息安全治理的监管职责。(六)定期评审并公布本规定。4.2 外包效劳责任人主管领导可依据外包类型和工程的不同，设置多个外包效劳责任人，负责具体的外包工程治理活动，主要职责如下：(一)对信息安全主管领导负责，将效劳外包信息安全治理状况、信息技术效劳外包信息安全执行状况准时报告主管领导。(二)负责按本规定要求来治理外包效劳人员，落实并监视外包效劳根本信息安全掌握措施的执行状况，准时制止外包效劳人员的非安全行为。(三)负责与本单位业务部门的协调，负责与外包效劳商的协调。(四)负

11、责外包效劳人员的治理，包括保密协议的签订、外包效劳人员信息数据网接入治理、外包效劳人员权限创立与移除、外包效劳人员的变更治理等；(五)担当外包效劳信息安全治理的直接责任。4.3 外包效劳人员外包效劳人员应严格遵守本规定中的相关要求。5 治理规定5.1 合同签订外包效劳商应与 XX 公司签署效劳外包合同，合同内容应包括但不限于以下内容： (一)所担当的外包效劳的信息安全目标和保障措施。(二)效劳过程中不泄露我方重要敏感信息的信息安全承诺。(三)未经 XX 公司授权不将效劳进展分保的承诺。(四)承受 XX 公司信息安全治理部门监视检查的义务。(五)外包效劳合同终止后对效劳内容和信息的保密承诺。5.

12、2 外包效劳人员治理5.2.1 效劳前外包效劳责任人在效劳开头前应通过以下措施对外包效劳人员进展安全治理：(一)对于能接触到 XX 公司敏感信息的外包效劳人员，应与其签订外包效劳人员保密协议附件一，协议签订前方可接触 XX 公司的敏感信息。(二)应对外包效劳人员进展适当的岗位描述、任用要求和其应履行的信息安全职责要求，以降低资源被盗窃、滥用和误用的风险。(三)应要求外包效劳商供给本单位外包效劳人员的背景调查信息，要求外包效劳商为背景调查的结果负责。(四)应要求外包效劳人员承诺不使用含有恶意代码的产品、有缺陷的产品或假冒产品进展相关效劳工作。5.2.2 效劳中外包效劳责任人在效劳过程中应通过以下

13、措施对外包效劳人员进展安全治理：(一)应对外保效劳人员进展信息安全意识和相关治理制度的培训，告知外包效劳人员相关的安全责任和要求，并对培训结果进展考核。(二)应为外包效劳人员办理上岗证，要求外包效劳人员持证上岗。(三)应要求外包效劳人员对工作中接触到的XXX 敏感资源，不得供给应其他任何人员， 更不得上传到网络中供他人下载、使用或查看。(四)当消灭外包效劳人员职责变更或离职时，外包效劳商应提前一个月向外包责任人提出申请，同时外包效劳商应安排接替人员进展一个月的交接与生疏，接替人员在这一个月中其专业技能、工作力量、职业素养获得外包效劳责任人认可后，方能核准外包效劳人员职责变更或离职申请，并要求外

14、包效劳商收回其把握的信息资产，制止其向外传播。5.2.3 效劳变更或中止外包效劳变更或中止后，外包效劳责任人应要求外包效劳人员归还借用的相关设备， 办理资源归还手续，并通知各信息系统和 IT 根底设施负责人移除外包效劳人员的相关权限。5.3 外包效劳人员权限与设备接入治理外包效劳人员的对 XX 公司信息系统和资源的访问权限以及电脑等硬件设备接入 XX 公司的办公网络，应遵照以下要求执行：(一)因工作需要访问互联网、XX 公司办公网络及信息系统和数据资源的，应填写业务申请表，经主管领导审批同意并报运维部门备案后，由外包效劳责任人为其开通相关 权限，权限应依据“必需知道”和“最小授权”原则对外包效

15、劳人员进展授权。工作完毕后，外包效劳责任人须将申请的临时权限和资源准时注销登记。(二)因工作需要申请 XX 公司相关信息设备或需接入自带设备及使用附属设备的，应填写业务申请表，经主管领导审批同意并报运维部门备案后，由外包效劳责任人供给相关设备，对于外包效劳人员的自带设备需进展安全检查前方允许其使用。(三)原则上，制止外包效劳人员自带电脑接入XX 公司办公网络，但如工作需要确需接入办公网络时，应由外服效劳责任人进展防病毒检测及漏洞扫描前方可接入办公网络， 外包效劳人员不得使用任何黑客工具及与工作无关的软件，不得从事任何网络、主机的安全攻击、信息窃取。5.4 物理与环境安全治理5.4.1 物理与环

16、境规划外包效劳责任人应对本局的物理和环境做出规划，将关键和重要敏感信息及信息处置设备掌握在安全区域内，且该区域具有清楚的安全边界标识，防止外包效劳人员非授权接触重要敏感信息。外包效劳人员应在指定的办公场所及公共区域内活动，未经许可不得随便进出其他办公区域。5.4.2 物理环境访问掌握运维主管领导应建立物理环境访问掌握机制，对外包效劳人员的物理访问进展授权， 主要包括：(一)对全部机房、重要办公空间实施物理访问授权，具体包括：在准许进入机房前验证其访问授权、使用门禁等掌握设施。(二)制定和维护外包效劳人员的物理访问审计日志。(三)确保钥匙、访问凭证以及其他物理访问设备的安全。5.5 外包运维安全

17、治理外包效劳责任人应对外包效劳人员在名称系统中的运维活动实行以下安全掌握措施：(一)应依据自身的业务需求，对信息系统组件的维护进展规划、实施、记录，并对维护记录进展审查，维护记录中，至少应包括维护日志和实践、维护人员姓名、伴随人姓名、对维护活动的描述、被转移或替换的设备列表等信息。(二)全部外包效劳人员对信息系统与 IT 根底设施进展维护时，均需要使用运维审计系统来对信息系统与 IT 根底设施进展运维，以便进展强制留痕。(三)应建立对维护人员的授权流程，对已获得授权的人员建立列表，确保只有列表中的维护人员才可在没有人员伴随时进展系统维护；不在列表中的人员，必需在外包效劳责任人授权且技术可胜任的人员伴随与监视下，才可开展运维工作。5.6 外包开发安全治理外包效劳人员在进展系统设计、开发等效劳时，应满足以下要求：(一)供给交付物时的缺省配置为安全配置，且已删除全部测试接口，不含有后门或其他不必要的功能；(二)确保系统开发人员承受了软件开发安全培训；