ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32926-2016 信息安全技术政府部门信息技术服务 外包信息安全管理规范 Information security technology-Information security management specification for government information technology service outsourcing 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T32926-2016 目 次 前言 Ⅲ 引言 N 1范围 1 2规范性引用文件 ..1 3术语和定义 4综述 2 4.1服务外包信息安全管理基本原则 2 4.2服务外包信息安全管理角色和职责 2 4.3服务外包信息安全管理模型 3 5规划准备 3 5.1服务外包信息安全风险评估 3 5.2服务外包信息安全管理策略和制度 .4 6机构和人员选择 4 6.1外包服务机构和人员风险评估4 6.2服务外包合同 5 6.3服务外包信息安全管理计划 6 6.4信息安全保密协议 .6 6.5外包服务机构备案 6 7运行监督 7 7.1服务过程评估审计 .7 7.2阶段成果交付验证 .7 8改进和完成 7 8.1服务改进 .7 8.2服务退出 .7 附录A(规范性附录)服务外包基本信息安全控制 9 参考文献 12 I GB/T32926-2016 引 言 随着经济社会的快速发展,政府部门在打造和建设服务型政府、不断提高为人民服务能力和水平的 过程中,越来越多地采用和依赖信息化手段,并为此开展了与信息化相关的信息技术咨询、信息系统集 成、运行维护、安全测评等服务外包工作.大量政务信息化工作的外包,既解决了政府行政资源有限和 公共服务效能要求日益提高之间的矛盾,也提高了政府部门信息化工程的质量.但政府部门在享受信 息技术服务外包带来便捷的同时,也面临外包服务机构背景复杂、服务人员流动性大、内部管理不规范 等问题带来的信息安全风险,如果缺乏对服务外包活动信息安全的标准化管理,将对政府部门行政办 公、人民群众生产生活,乃至国家安全带来巨大损失. 本标准用于规范和指导政府部门采购和使用信息技术服务.本标准通过对政府部门服务外包过程 进行梳理,建立了政府部门信息技术服务外包信息安全管理模型,在明确了服务外包信息安全管理角色 和责任的同时,将管理活动划分为规划准备、机构和人员选择、运行监督、改进完成四个阶段,分别提出 信息安全管理规范,为政府部门信息技术服务外包的安全管理提供参考. 政府部门在信息技术服务外包的信息安全管理过程中,还要基于本标准提出的规范要求和基本控 制措施,结合自身服务外包项目实际,提出与组织机构、人员管理、数据管理、信息技术服务类型等相适 应的控制措施,分阶段、有侧重地对服务外包活动实施管理,以便信息安全管理规范的要求能够切实指 导不同层级政府部门实际的服务外包信息安全管理工作,提升其服务外包信息安全水平. ...