ISO27001-2022程序文件之组织环境及相关方信息安全管理程序.docVIP

11、组织环境及相关方信息安全管理程序###-ISMS-0105-2023

1目的

为保证公司信息安全管理体系的策划能实现预期的结果，识别、监视并评审与公司的宗旨、战略方向、信息安全管理相关的内外部环境要素；为加强对相关方的控制，减少安全风险，防范公司信息资产损失，特制定本程序。

2范围

适用于公司对内外部环境要素、相关方需求及信息安全的管理活动。

3职责

3.1综合部

负责统一管理内外部环境要素、相关方需求及信息安全的管理活动。

3.2相关部门

a.负责识别本部门的内外部环境要素、相关方，并与相关方签订保密协议；

b.负责对相关方的服务进行信息安全控制；

c.负责定期对相关方进行监督和评审；

d.负责做好相关方的变更管理。

4程序

4.1组织所处环境管理

4.1.1在建立与持续改进信息安全管理体系时，公司将充分识别理解并考虑那些与公司的宗旨、战略方向相关，并影响公司实现信息安全管理体系预期结果能力的内部和外部环境。

4.1.2管理层可以通过SWOT分析(优势、劣势、机会、威胁）对公司的战略及内外部环境进行全局分析。

4.1.3内外部环境要素识别与评估：在每年的管理评审前，由各部门负责人进行识别并评估其适用性,汇总上报给公司的管理层，具体识别项目可以包括如下：外部环境要素识别包括政治环境、法律环境、经济环境、社会文化环境、技术环境、自然环境、竞争力；内部环境要素识别包括企业文化、公司价值观、知识积累、绩效、财务因素、资源因素、人力因素、运营因素。各部门负责人识别内外部要素的现状，并进行SWOT分析。

4.1.4各部门进行组织内外部环境要素识别需要涉及信息安全管理体系。

4.1.5总经理汇总各部门识别及评估内外部环境要素，形成《组织信息安全内外部环境要素识别与评估表》。

4.1.6内外部环境要素监测与更新：

总经理每年在管理评审前组织一次全面的内外部环境要素识别与评审。另外各部门在获得内外部环境要素信息变化时，对《组织信息安全内外部环境要素识别与评估表》进行修订与更新。

4.2相关方的信息安全管理

4.2.1公司的相关方包括以下团体或个人：

a)服务提供商：互联网服务提供商、电话提供商、IT维护和支持服务提供商、软件产品和IT系统开发商和供应商；

b)设备供方；

c)外来人员：临时人员、实习学生以及其他短期工作人员；

d)管理服务提供商，管理咨询，业务咨询，外部审核；

e）公司客户。

4.2.2各部门应对公司的相关方进行识别，并进行风险评估和风险管理。

4.2.3相关部门应协调综合部识别外部相关方对信息资产和信息处理设施造成的风险，并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制。

4.2.4相关部门应与外部相关方签署涉及物理访问、逻辑访问和工作安排条款和条件的《相关方保密协议》，所有与外部相关方合作而引起的安全需求或内部控制都应在协议中反映，在未实施适当的控制之前不应该向外部相关方提供对信息的访问。

4.2.4相关部门应确保外部相关方意识到其义务，并接受与访问、处理、交流或管理组织信息和信息处理设施相关的责任和义务。

4.3外来人员管理

4.3.1外来人员主要有：临时工、实习人员、参观检查人员、外来技术人员、公司客户等。

4.3.2外来人员由使用部门提请综合部审核同意后，签署《相关方保密协议》，并明确工作范围、工作内容、职责、权利、义务、物理（逻辑）访问控制等要求，方可在公司信息系统从事相关工作。

4.3.3外来人员的物理访问按《安全区域管理程序》进行。

4.3.4外来人员的逻辑访问按《用户访问管理程序》进行。

4.4供应商服务的管理

4.4.1供应商服务能力的评定

4.4.1.1相关网络归口部门需要将设备、网络、系统、软件和信息安全等事项外包时，应明确外包服务的内容和要求，对供应商服务提供服务的能力进行评定，确定合格供应商服务。

4.4.1.2应确保供应商服务保持充分的提供服务的能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性。

4.4.2供应商提供服务人员的姓名、技术能力评定、联系方式等信息，服务人员需持有效身份证明进入现场。临时服务人员由专业人员全程陪同。

4.4.3供应商服务人员在现场或远程服务时，必须明确相关内容，包括时间、地点、联系人、工作安排、预期结果、观察期等。

4.4.4对服务提供方技术人员在现场处理需要设备入网时，应填写入网申请单，经综合部领导同意后方可入网，对系统的巡检和维护需有本公司专业人员陪同，按《安全区域管理程序》和《用户访问管理程序》进行，并填写《供应商服务工作记录单》或在运行记录中填写供应商服务情况。

4.4.5当服务提供方发生变更时，综合部应进行服务提供方变更登记，并进行服务、现有