第三方管理安全责任书

随着互联网的快速发展和普及，企业需要向第三方公司外包各种业务，如网站应用程序开发、网络安全检测、数据中心托管等。但是，这种形式的业务外包也带来了一些安全风险，导致公司的信息系统被攻击或滥用的可能性不断增加。因此，对于企业管理自身信息系统安全并依赖第三方赋予重要任务的情况下，第三方管理安全责任书成为一种重要的风险管理和控制手段。

第三方管理安全责任书究竟是什么？

按照不同的定义，第三方管理安全责任书可能指：

- 安全服务协议，从客户委托第三方公司管理其信息系统的角度，规定了安全服务的范围及其服务要求、检测功能和标准;

- 第三方管理安全责任书(或安全规则书)，从管理公司管理信息系统安全的角度，规定了第三方(如托管公司或安全检测公司)管理安全的职责、义务、标准和技术要求;

- 内部控制手册，客户制定用于管理其信息系统的要求及内部控制规程的书面规定。

从另一个角度来说，第三方管理安全责任书是一种明确的契约关系:委托方的强制性和第三方的协议条款，明确了一定数量的管理措施和信息共享的责任。因此，第三方管理安全责任书的重点在于突出安全协议书所需的基本要素:明确规定、合法性、协议商定、实现、考核等。

为什么需要第三方管理安全责任书？

1.未明确责任：

在日常工作中，很多企业都在使用第三方的服务，但这些服务往往缺乏明确的法律责任约束，因此很容易遗漏一些基本的控制措施，导致信息安全事件。

2.管理失控：

这种风险还会导致数据无法合规地存储和管理。一些第三方管理公司的发展规模迅猛，管理和维护资源的能力面对巨大的挑战。

3.数据被滥用：

企业为保护自身信息并不断提高信息安全水平，需要与第三方签订管理安全责任书，因为很多时候，第三方管理者可以访问客户数据、甚至存储客户的数据，如果第三方管理不当或者滥用权力，将会导致数据安全和隐私泄露。

4.硬性规定的需求：

第三方管理安全责任书也被一些监管机构或业务方面视为硬性规定，例如“网络安全法”，已成为组成网络安全保障体系的重要法律之一。网络安全法等相关规定，要求企业必须按照法律规定建立和完善内部网络安全管理制度，同时要求企业之间的网络安全合作及与第三方的托管、代理关系必须签订第三方管理安全责任书等法律文件。

第三方管理安全责任书的做法和建议

第三方管理安全责任书的制定和实施不仅仅是将公司的基本安全策略沉淀到文档中，更重要的是要采用一系列行为实践来保证其必要性和有效性。

1.在选择第三方管理者时，要对其进行严格的评估和标准化的合同制定，重点考虑其对资产的保护和风险管理能力。此外，还要考虑是否应该止损和分散风险。

2.在联络管理过程中，必须对选定的第三方管理者进行定期监督，一般情况下，监督和检查至少要每年进行一次，每次检查要记录下来。

3.不能对第三方管理者的保密面付出更多的代价，以此来保证信息安全。相反，企业可以通过安全威胁情报共享平台等共享相关风险信息，互相了解数据共享方面的需求，应该促进安全管理实践的落地。