ISO27001第三方服务管理程序
1目的
保证公司信息安全和业务持续性，确保第三方交付的服务符合协议要求。
2适用范围
适用于为公司提供服务的第三方的部门。
3职责与权限
管理本部：
（1）与公司基础设施和场所相关系统，由管理本部与相关厂商签订服务协议，并监督审核其提供的服务是否满足要求。
（2）与实习学生以及其他临时雇用的外部人员签订服务协议，并监督审核其提供的服务是否满足要求。
（3）在营销过程中发生的与其他机构的合作，负责签订协议，并监督审核提供的服务是否满足要求。
（4）对合作方、第三方以及实习生的筛选、审核等应遵循相关法律的规定以及欧亿·体育（中国）有限公司规范。
4程序和工作流程
4.1与第三方的协议要求
◆规定双方的相关义务；
◆合作中如涉及公司信息安全有关的业务、信息等，需签订《保密承诺书》等协议，以防止公司信息的泄露；
◆要提供产品或者服务的使用说明和描述；
◆规定协议的重新协商/终止条件；
◆说明因为第三方的产品或者服务带来信息安全事故或者违背协议所要承担的责任；
◆确保在协议截止时对所掌握的信息和资产进行归档和销毁；
◆在与第三方合作的过程中，第三方因合作需要，需要访问信息处理设施的附加部件或服务的，亦适用本程序中规定的所有信息安全流程及要求。
4.2服务交付
管理本部检查第三方交付的服务或者产品是否满足协议规定。
4.3服务监控和评审
◆监控产品或者服务的执行效率；
◆向第三方提供由于其所提供的产品或者服务所产生的信息安全事故；
◆评审第三方审核跟踪和关于交付服务的安全事件、操作问题、故障、失误追踪和破坏记录。维护过程中涉及机密信息的，应将第三方服务工程师的操作进行记录并由其签字确认。填写《第三方服务维护登记表》。
◆解决和管理所有识别的问题
4.4服务变更
4.4.1公司需要的实施的服务变更：
如果公司需要对提供的现有服务进行加强
新的应用和系统的开发
解决信息安全事故和改进安全的新的控制措施
4.4.2第三方实施的变更：
新技术的使用
新产品或者新版本的采用
服务设施物理位置的变更
提供商的变更
管理本部应该考虑变更对业务系统的影响，进行风险再评估，及时更新相关协议和工作流程。
5相关支持性文件
无
6相关记录
《保密承诺书》
ISO27001信息安全管理标准理解及内审员培训
培训热线：0755-25936263、25936264 李小姐??客服QQ：1484093445、675978375

? ISO27001信息安全管理标准理解及内审员培训 ??
下载报名表??
内训调查表
【课程描述】
ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。
【课程帮助】
如果你想对本课程有更深入的了解，请参考 >>>