收藏
下载资源

信息安全策略-第三方访问策略

上传人:飞*** 文档编号:41755823 上传时间:2018-05-30 格式:DOC 页数:5 大小:87.50KB
返回 下载 相关 举报
信息安全策略-第三方访问策略_第1页
第1页 / 共5页
信息安全策略-第三方访问策略_第2页
第2页 / 共5页
信息安全策略-第三方访问策略_第3页
第3页 / 共5页
信息安全策略-第三方访问策略_第4页
第4页 / 共5页
信息安全策略-第三方访问策略_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《信息安全策略-第三方访问策略》由会员分享,可在线阅读,更多相关《信息安全策略-第三方访问策略(5页珍藏版)》请在金锄头文库上搜索。

1、密级等级:敏感密级等级:敏感 受控状态:受控状态:受控受控 文件编号:文件编号: XX_A_04_07_2009.12XX_A_04_07_2009.12第第 三三 方方 访访 问问 策策 略略VerVer 1.01.020092009 年年 1212 月月 3030 日日本公司对本文件资料享受著作权及其它专属权利,未经书面许可,不得将该等文件资料(其全部或任何部分)披露予任何第三方,或进行修改后使用。XXXXXXXX 有限公司有限公司XXXX 有限公司 XX_A_04_07_2009.12第三方访问策略第 2 页 共 4 页历史版本编制、审核、批准、发布实施、分发信息记录表历史版本编制、审核

2、、批准、发布实施、分发信息记录表版本号编制人/创建日期审核人/审核日期批准人/批准日期发布日期/实施日期分发编号V1.02009/12/302010/1/4原稿/XXXX 有限公司 XX_A_04_07_2009.12第三方访问策略第 2 页 共 4 页文件更改记录文件更改记录序号更改单号页次更改人日期更 改 摘 要12345678910本标准 XX_A_04_07_2009.12本标准依据 ISO/IEC 27001:2005 信息安全管理体系-要求编写。本标准由 XXXX 有限公司提出起草本标准主要起草人:本标准于 2009 年 12 月 30 日首次发布XXXX 有限公司 XX_A_04

3、_07_2009.12第三方访问策略第 2 页 共 4 页第三方访问策略第三方访问策略发布部门发布部门总经理室生效时间生效时间2009 年 12 月 30 日批准人批准人XXX文件编号文件编号XX_A_04_07_2009.12介绍介绍第三方在支持硬件和软件管理以及客户运作方面有重要作用。第三方可以远程对 数据和审核日志进行评审、备份和修改,他们可以纠正软件和操作系统中的问题,可以监控并调整系统性能,可以监控硬件性能和错误,可以修改周遭系统,并重新设置警告极限。由第三方设置的限制和控制可以消除或降低收入、信誉损失或遭破坏的风险。目目 的的该策略的目的是为第三方访问信息资源以及支持服务 (A/C

4、, UPS, PDU, 火灾控制等 ) 、第三方职责以及信息保护建立准则。适用范围适用范围该策略适用于负责新的信息资源安装以及现有信息资源操作和保持的所有人员,以及可以批准第三方因保养、监控以及故障处理目的而访问信息资源的人员。术语定义术语定义略第三第三方访方访问策问策略略第三方必须遵守相应的策略、操作标准以及协议,包括但不仅限于: 安全策略;保密策略;审核策略;软件注册策略;信息资源使用策略。第三方协议和合同必须规定:第三方应该访问的信息;第三方怎样保护信息;合同结束时第三方所拥有的信息返回、毁灭或处置方法;第三方只能使用用于商业协议目的的信息和信息资源;在合同期间第三方所获得的任何信息都不

5、能用于第三方自己的目的或泄漏给他人。 应该向总经理室提供与第三方的合同要点。合同要点能确保第三方符合策略的要求 ;每一个第三方必须提供在为合同工作的所有员工清单。员工发生变更时必须在 24 小时之内更新并提供;每一个在组织场所内工作的第三方员工都必须佩带身份识别卡。当合同结束时,此卡应该归还;可以访问敏感信息资源的每一个第三方员工都不能处理这些信息;第三方员工应该直接向恰当的人员直接报告所有安全事故;如果第三方参与安全事故管理,那么必须在合同中明确规定其职责;第三方必须遵守所有适用的更改控制过程和程序;XXXX 有限公司 XX_A_04_07_2009.12第三方访问策略第 2 页 共 4 页

6、定期进行的工作任务和时间必须在合同中规定。规定条件之外的工作必须由相应的管理者书面批准;必须对第三方访问进行唯一标识,并且对其进行的口令管理必须符合口令实施规范和特殊访问实施规范。第三方主要的工作活动必须形成日志并且在管理者需要的时候可以访问。日志的内容包括但不仅限于:人员变化、口令变化、项目进度重要事件、启动和结束时;当第三方员工离职时,第三方必须确保所有敏感信息在 24 小时内被收回或销毁;在合同或邀请结束时,第三方应该将所有信息返回或销毁,并在 24 小时内提交一份返回或销毁的书面证明;在合同或邀请结束时,第三方必须立即交出所有身份识别卡、 访问卡以及设备和供应品。由第三方保留的设备和 / 或供应品必须被管理者书面授权;要求第三方必须遵守所有规定和审核要求,包括对第三方工作的审核;在提供服务时,第三方使用的所有软件必须进行相应的清点并许可。惩罚惩罚违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用标准引用标准略

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 研究报告 > 综合/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号