GB/T 32926-2016信息安全技術(shù)政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T32926—2016

信息安全技術(shù)政府部門信息技術(shù)服務(wù)

外包信息安全管理規(guī)范

Informationsecuritytechnology—Informationsecuritymanagementspecification

forgovernmentinformationtechnologyserviceoutsourcing

2016-08-29發(fā)布2017-03-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T32926—2016

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

綜述

4………………………2

服務(wù)外包信息安全管理基本原則

4.1…………………2

服務(wù)外包信息安全管理角色和職責(zé)

4.2………………2

服務(wù)外包信息安全管理模型

4.3………………………3

規(guī)劃準(zhǔn)備

5…………………3

服務(wù)外包信息安全風(fēng)險評估

5.1………………………3

服務(wù)外包信息安全管理策略和制度

5.2………………4

機構(gòu)和人員選擇

6…………………………4

外包服務(wù)機構(gòu)和人員風(fēng)險評估

6.1……………………4

服務(wù)外包合同

6.2………………………5

服務(wù)外包信息安全管理計劃

6.3………………………6

信息安全保密協(xié)議

6.4…………………6

外包服務(wù)機構(gòu)備案

6.5…………………6

運行監(jiān)督

7…………………7

服務(wù)過程評估審計

7.1…………………7

階段成果交付驗證

7.2…………………7

改進(jìn)和完成

8………………7

服務(wù)改進(jìn)

8.1……………7

服務(wù)退出

8.2……………7

附錄規(guī)范性附錄服務(wù)外包基本信息安全控制

A()……………………9

參考文獻(xiàn)

……………………12

Ⅰ

GB/T32926—2016

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位北京信息安全測評中心工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所信息產(chǎn)業(yè)信

:、、

息安全測評中心中國信息安全研究院有限公司

、。

本標(biāo)準(zhǔn)主要起草人劉海峰錢秀檳梁博趙章界劉迎霍珊珊張曉梅王春佳李晨旸張恒

:、、、、、、、、、、

張益耿貴寧

、。

Ⅲ

GB/T32926—2016

引言

隨著經(jīng)濟社會的快速發(fā)展政府部門在打造和建設(shè)服務(wù)型政府不斷提高為人民服務(wù)能力和水平的

,、

過程中越來越多地采用和依賴信息化手段并為此開展了與信息化相關(guān)的信息技術(shù)咨詢信息系統(tǒng)集

,,、

成運行維護(hù)安全測評等服務(wù)外包工作大量政務(wù)信息化工作的外包既解決了政府行政資源有限和

、、。,

公共服務(wù)效能要求日益提高之間的矛盾也提高了政府部門信息化工程的質(zhì)量但政府部門在享受信

,。

息技術(shù)服務(wù)外包帶來便捷的同時也面臨外包服務(wù)機構(gòu)背景復(fù)雜服務(wù)人員流動性大內(nèi)部管理不規(guī)范

,、、

等問題帶來的信息安全風(fēng)險如果缺乏對服務(wù)外包活動信息安全的標(biāo)準(zhǔn)化管理將對政府部門行政辦

,,

公人民群眾生產(chǎn)生活乃至國家安全帶來巨大損失

、,。

本標(biāo)準(zhǔn)用于規(guī)范和指導(dǎo)政府部門采購和使用信息技術(shù)服務(wù)本標(biāo)準(zhǔn)通過對政府部門服務(wù)外包過程

。

進(jìn)行梳理建立了政府部門信息技術(shù)服務(wù)外包信息安全管理模型在明確了服務(wù)外包信息安全管理角色

,,

和責(zé)任的同時將管理活動劃分為規(guī)劃準(zhǔn)備機構(gòu)和人員選擇運行監(jiān)督改進(jìn)完成四個階段分別提出

,、、、,

信息安全管理規(guī)范為政府部門信息技術(shù)服務(wù)外包的安全管理提供參考

,。

政府部門在信息技術(shù)服務(wù)外包的信息安全管理過程中還要基于本標(biāo)準(zhǔn)提出的規(guī)范要求和基本控

,

制措施結(jié)合自身服務(wù)外包項目實際提出與組織機構(gòu)人員管理數(shù)據(jù)管理信息技術(shù)服務(wù)類型等相適

,,、、、

應(yīng)的控制措施分階段有側(cè)重地對服務(wù)外包活動實施管理以便信息安全管理規(guī)范的要求能夠切實指

,、,

導(dǎo)不同層級政府部門實際的服務(wù)外包信息安全管理工作提升其服務(wù)外包信息安全水平

,。

Ⅳ

GB/T32926—2016

信息安全技術(shù)政府部門信息技術(shù)服務(wù)

外包信息安全管理規(guī)范

1范圍

本標(biāo)準(zhǔn)建立了政府部門信息技術(shù)服務(wù)外包信息安全管理模型提出了政府部門信息技術(shù)服務(wù)外包

,

信息安全管理生命周期各階段活動的管理要求

。

本標(biāo)準(zhǔn)適用于政府部門采購和使用信息技術(shù)服務(wù)

。

政府部門開展涉密信息技術(shù)服務(wù)外包工作參照國家保密局相關(guān)保密規(guī)定和標(biāo)準(zhǔn)執(zhí)行不在本標(biāo)準(zhǔn)

,,

范圍內(nèi)

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

信息安全技術(shù)政府部門信息安全管理基本要求

GB/T29245—2012

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2010。

31

.

信息技術(shù)服務(wù)informationtechnologyservice

供方為需方提供開發(fā)應(yīng)用信息技術(shù)的服務(wù)