企业安全服务外包管理规范.pdf

企业安全服务外包管理规范 目录 1 引言 3 2 规范性引用文件 3 3 细则 3 4 附则 4 1 引言 1.1 为了推动信息通信分公司（以下简称“公司”）信息系统安全服务外包管 理的规范化、程序化、制度化，根据《信息安全等级保护基本要求》等相关国家规 定，结合公司实际，制定本制度。 1.2 本制度适用于公司的安全服务外包管理工作。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用 文件，其随后所有的修改单或修订版均不适用于本标准（不包括勘误、通知单）， 然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未 注日期的引用文件，其最新版本适用于本标准 《信息安全技术 信息系统安全保障评估框架》（GB/T 20274.1-2006） 《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006 ） 《信息安全技术信息系统安全等级保护基本要求》（GBT 22239-2008） 本标准未涉及的管理内容，参照国家、电力行业、南方电网公司的有关标准和 规定执行。 3 细则 3.1 公司生技部是安全服务外包管理的主管责任部门。 3.2 责任部门作为信息安全服务外包管理的实施机构，其实施服务外包管理主 要目的是： 确保安全服务产品的质量； 确保外包服务风险的可控性； 确保外包服务的政策符合性； 3.3 应选择具有相应资质的公司或机构作为外包服务商，做到可信可控和可 用。 3.4 外包服务人员应遵循已颁布的第三方人员管理规定，同时应明确规定其资 质要求、操作规范、保密协议等。 3.5 服务外包管理本质上是解决服务的量化问题和服务的评价问题，这主要依 赖于服务计划管理和服务质量管理。其中服务计划管理要求： 整个外包内容细致化、量化； 明确提出服务商该做些什么； 以上内容须写进合同。 3.6 服务质量管理要求： 将各类服务指标明确化； 指标需进行量化考核； 以上内容须写进合同。 4 附则 本标准由公司信息通信分公司负责解释。 本标准自颁布之日起实行。