信息技术服务外包信息安全管理

信息技术服务外包信息安全管理1范围本标准建立了政府部门信息技术服务外包信息安全管理模型，提出了政府部门信息技术服务外包信息安全管理生命周期各阶段活动的管理要求。本标准适用于政府部门采购和使用信息技术服务。政府部门开展涉密信息技术服务外包工作，应参照国家保密局相关保密规定和标准执行，不在本标准范围内。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069—2010 信息安全技术术语GB/T29245—2012 信息安全技术政府部门信息安全管理基本要求3术语和定义GB/T25069-2010 界定的以及下列术语和定义适用于本文件。3.1信息技术服务 informationtechnologyservice供方为需方提供开发、应用信息技术的服务，以及供方以信息技术为手段提供支持需方业务活动的服务。[GB/T29264-2012]注 1：常见服务形态有信息技术咨询服务、设计与开发服务、信息系统集成实施服务、运行维护服务、数据处理和存储服务、运营服务、数字内容服务、呼叫中心服务及其他信息技术服务。3.2服务外包 serviceoutsourcing政府部门以签订合同的方式，委托其他机构承担信息技术服务的商业行为。3.3外包服务机构 organizationprovidingoutsourcedservice服务外包中承担信息技术服务的机构。3.4服务分包 servicesubcontraction外包服务机构将自身承担的部分政府部门信息技术服务再次委托给其他机构完成的商业行为和管理模式。4综述4.1服务外包信息安全管理基本原则政府部门应在实施服务外包信息安全管理时，始终遵循以下信息安全基本原则：a)责任延展原则。指信息技术服务活动本身的外包，不是信息安全管理责任外包。b)领导决策原则。指应获得服务外包主管领导的支持、批准和授权。c)风险控制原则。指始终关注信息技术服务活动可能带来的信息安全风险，并能够及时应用风险控制措施。d)监督检查原则。指在对信息技术服务活动监管基础上，应接受信息安全行政主管部门的监督检查。4.2服务外包信息安全管理角色和职责4.2.1管理角色按照 GB/T29245-2012 的要求，政府部门应根据服务外包活动范围确定管理角色和责任：a)当服务外包活动涉及多个政府部门内设机构时，应由政府部门信息安全主管领导担任服务外包活动的主管领导，多个内设机构分工承担负责机构职责。b)当服务外包活动仅涉及单一政府部门内设机构时，应由该内设机构...