信息安全技术政府部门信息技术服务外包信息安全管理规范.docVIP

ICS35.040

L80

中华人民共和国国家标准

GB/TXXXXX—XXXX

信息安全技术政府部门信息技术服务外包

信息安全管理规范

Informationsecuritytechnology-Informationsecuritymanagementspecificationforgovernmentinformationtechnologyserviceoutsourcing

点击此处添加与国际标准一致性程度的标识

。(征求意见稿)

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上

-XX-XX发布

XXXX-XX-XX实施

中华人民共和国国家质量监督检验检疫总局

中国国家标准化管理委员会发布

GB/TXXXXX—XXXX

I

前言

本标准按照GB/1.1-2009给出的规则起草。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准起草单位：北京信息安全测评中心、工业和信息化部电子科学技术情报研究所、信息产业信息安全测评中心、中国信息安全研究院有限公司等。

本标准主要起草人：刘海峰、钱秀槟、梁博、赵章界、刘迎、霍珊珊、张晓梅、王春佳、李晨旸、张恒、张益、耿贵宁等。

GB/TXXXXX—XXXX

Ⅱ

引言

随着经济社会的快速发展，政府部门在打造和建设服务型政府、不断提高为人民服务能力和水平的过程中，越来越多地采用和依赖信息化手段，并为此开展了与信息化相关的信息技术咨询、信息系统集成、运行维护、安全测评等服务外包工作。大量政务信息化工作的外包，既解决了政府行政资源有限和公共服务效能要求日益提高之间的矛盾，也提高了政府部门信息化工程的质量。但政府部门在享受信息技术服务外包带来便捷的同时，也面临外包服务机构背景复杂、服务人员流动性大、内部管理不规范等问题带来的信息安全风险，如果缺乏对服务外包活动信息安全的标准化管理，将对政府部门行政办公、人民群众生产生活，乃至国家安全带来巨大损失。

本标准用于规范和指导政府部门采购和使用信息技术服务。本标准通过对政府部门服务外包过程进行梳理，建立了政府部门信息技术服务外包信息安全管理模型，在明确了服务外包信息安全管理角色和责任的同时，将管理活动划分为规划准备、机构和人员选择、运行监督、改进完成四个阶段，分别提出信息安全管理规范，为政府部门信息技术服务外包的安全管理提供参考。

政府部门在信息技术服务外包的信息安全管理过程中，还应基于本标准提出的规范要求和基本控制措施，结合自身服务外包项目实际，提出与组织机构、人员管理、数据管理、信息技术服务类型等相适应的控制措施，分阶段、有侧重地对服务外包活动实施管理，以便信息安全管理规范的要求能够切实指导不同层级政府部门实际的服务外包信息安全管理工作，提升其服务外包信息安全水平。

GB/TXXXXX—XXXX

1

信息安全技术政府部门信息技术服务外包信息安全管理规范

1范围

本标准建立了政府部门信息技术服务外包信息安全管理模型，提出了政府部门信息技术服务外包信息安全管理生命周期各阶段活动的管理要求。

本标准适用于政府部门采购和使用信息技术服务。政府部门开展涉密信息技术服务外包工作，应参照国家保密局相关保密规定和标准执行，不在本标准范围内。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T25069—2010信息安全技术术语

GB/T29245—2012信息安全技术政府部门信息安全管理基本要求

3术语和定义

下列术语和定义适用于本文件。

3.1

信息技术服务informationtechnologyservice

供方为需方提供开发、应用信息技术的服务，以及供方以信息技术为手段提供支持需方业务活动的服务。

[GB/T29264-2012]

注1:常见服务形态有信息技术咨询服务、设计与开发服务、信息系统集成实施服务、运行维护服务、数据处理和存储服务、运营服务、数字内容服务、呼叫中心服务及其他信息技术服务。

3.2

服务外包serviceoutsourcing

政府部门以签订合同的方式，委托其他机构承担信息技术服务的商业行为。

3.3

外包服务机构o