第三方服务管理工作指南
　目 录
1 范围 3
2 规范性引用文件 3
3 职责 3
4 管理内容和要求 3
4.1 第三方服务的确定 3
4.2 对第三方服务的监督和评审 4
4.3 第三方服务的变更管理 4
4.4第三方人员及外包商安全管理 4
4.5供应商协议中的安全 5
4.6 信息和通信技术供应链 5
第三方服务管理工作指南
范围
适用于公司信息安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。为加强对第三方服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，特制定本程序。
规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。
《信息技术 安全技术 信息安全管理体系 要求》（GB/T 22080-2016/ISO/IEC 27001:2013）
职责
3.1 商务采购部
负责统一管理第三方服务的控制活动，负责确定合格的第三方服务商。
3.2 各相关部门
a) 与第三方服务商签订服务合同和保密协议；
b) 负责对第三方服务商的服务进行安全控制；
c) 负责定期对第三方服务商进行监督和评审。
管理内容和要求
4.1 第三方服务的确定
4.1.1 公司所需的第三方服务包括：
a) 采购的物资需要委托第三方进行监造；
b) 技术开发项目需要分包；
c) 信息处理设备、网络、系统、软件需要第三方进行开发和维护；
d) 信息安全等需要委托第三方提供服务；
e) 其他服务提供方。
4.1.2 在与第三方签署服务合同前，相关的主管部门应明确第三方服务的内容和要求，评估由于第三方服务带来的信息安全风险，并对第三方提供服务的能力进行评定，应确保第三方有充分的提供服务的能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性，必要时可以通过招投标，确定合格的第三方服务提供商。
4.1.3 对重要的第三方服务提供商，应确定其信息安全管理要求和提供服务的能力要求，必要时进