標(biāo)準(zhǔn)解讀

《GB/T 32926-2016 信息安全技術(shù) 政府部門(mén)信息技術(shù)服務(wù)外包信息安全管理規(guī)范》是一項(xiàng)國(guó)家標(biāo)準(zhǔn),旨在為政府部門(mén)在進(jìn)行信息技術(shù)服務(wù)外包時(shí)提供一套系統(tǒng)化的信息安全管理指導(dǎo)。該標(biāo)準(zhǔn)適用于各級(jí)政府機(jī)構(gòu)及其下屬單位,在選擇、評(píng)估、管理信息技術(shù)服務(wù)提供商過(guò)程中實(shí)施的信息安全措施。

根據(jù)此標(biāo)準(zhǔn),首先明確了政府部門(mén)作為發(fā)包方與信息技術(shù)服務(wù)提供商之間的關(guān)系定位及各自應(yīng)承擔(dān)的安全責(zé)任。強(qiáng)調(diào)了通過(guò)合同條款明確雙方權(quán)利義務(wù)的重要性,并提出了對(duì)服務(wù)商資質(zhì)審查的具體要求,包括但不限于技術(shù)能力、過(guò)往業(yè)績(jī)、管理體系等方面。

對(duì)于風(fēng)險(xiǎn)管理方面,《GB/T 32926-2016》提出了一套涵蓋風(fēng)險(xiǎn)識(shí)別、分析、評(píng)價(jià)和控制的方法論框架。建議采用定性和定量相結(jié)合的方式進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估,并基于評(píng)估結(jié)果制定相應(yīng)的應(yīng)對(duì)策略。此外還特別指出需要關(guān)注數(shù)據(jù)保護(hù)問(wèn)題,確保敏感信息在整個(gè)外包過(guò)程中的機(jī)密性、完整性和可用性不受損害。

關(guān)于持續(xù)監(jiān)控與改進(jìn)機(jī)制,《GB/T 32926-2016》要求建立有效的績(jī)效考核體系來(lái)監(jiān)督服務(wù)商的表現(xiàn),并定期組織內(nèi)外部審計(jì)活動(dòng)以驗(yàn)證其是否符合既定的安全標(biāo)準(zhǔn)。同時(shí)鼓勵(lì)雙方保持開(kāi)放溝通渠道,及時(shí)分享最新威脅情報(bào)和技術(shù)發(fā)展動(dòng)態(tài),共同促進(jìn)信息安全水平的提升。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2016-08-29 頒布
  • 2017-03-01 實(shí)施
?正版授權(quán)
GB/T 32926-2016信息安全技術(shù)政府部門(mén)信息技術(shù)服務(wù)外包信息安全管理規(guī)范_第1頁(yè)
GB/T 32926-2016信息安全技術(shù)政府部門(mén)信息技術(shù)服務(wù)外包信息安全管理規(guī)范_第2頁(yè)
GB/T 32926-2016信息安全技術(shù)政府部門(mén)信息技術(shù)服務(wù)外包信息安全管理規(guī)范_第3頁(yè)
GB/T 32926-2016信息安全技術(shù)政府部門(mén)信息技術(shù)服務(wù)外包信息安全管理規(guī)范_第4頁(yè)
GB/T 32926-2016信息安全技術(shù)政府部門(mén)信息技術(shù)服務(wù)外包信息安全管理規(guī)范_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余15頁(yè)可下載查看

下載本文檔

GB/T 32926-2016信息安全技術(shù)政府部門(mén)信息技術(shù)服務(wù)外包信息安全管理規(guī)范-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T32926—2016

信息安全技術(shù)政府部門(mén)信息技術(shù)服務(wù)

外包信息安全管理規(guī)范

Informationsecuritytechnology—Informationsecuritymanagementspecification

forgovernmentinformationtechnologyserviceoutsourcing

2016-08-29發(fā)布2017-03-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T32926—2016

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

綜述

4………………………2

服務(wù)外包信息安全管理基本原則

4.1…………………2

服務(wù)外包信息安全管理角色和職責(zé)

4.2………………2

服務(wù)外包信息安全管理模型

4.3………………………3

規(guī)劃準(zhǔn)備

5…………………3

服務(wù)外包信息安全風(fēng)險(xiǎn)評(píng)估

5.1………………………3

服務(wù)外包信息安全管理策略和制度

5.2………………4

機(jī)構(gòu)和人員選擇

6…………………………4

外包服務(wù)機(jī)構(gòu)和人員風(fēng)險(xiǎn)評(píng)估

6.1……………………4

服務(wù)外包合同

6.2………………………5

服務(wù)外包信息安全管理計(jì)劃

6.3………………………6

信息安全保密協(xié)議

6.4…………………6

外包服務(wù)機(jī)構(gòu)備案

6.5…………………6

運(yùn)行監(jiān)督

7…………………7

服務(wù)過(guò)程評(píng)估審計(jì)

7.1…………………7

階段成果交付驗(yàn)證

7.2…………………7

改進(jìn)和完成

8………………7

服務(wù)改進(jìn)

8.1……………7

服務(wù)退出

8.2……………7

附錄規(guī)范性附錄服務(wù)外包基本信息安全控制

A()……………………9

參考文獻(xiàn)

……………………12

GB/T32926—2016

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位北京信息安全測(cè)評(píng)中心工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所信息產(chǎn)業(yè)信

:、、

息安全測(cè)評(píng)中心中國(guó)信息安全研究院有限公司

、。

本標(biāo)準(zhǔn)主要起草人劉海峰錢(qián)秀檳梁博趙章界劉迎霍珊珊張曉梅王春佳李晨旸張恒

:、、、、、、、、、、

張益耿貴寧

、。

GB/T32926—2016

引言

隨著經(jīng)濟(jì)社會(huì)的快速發(fā)展政府部門(mén)在打造和建設(shè)服務(wù)型政府不斷提高為人民服務(wù)能力和水平的

,、

過(guò)程中越來(lái)越多地采用和依賴信息化手段并為此開(kāi)展了與信息化相關(guān)的信息技術(shù)咨詢信息系統(tǒng)集

,,、

成運(yùn)行維護(hù)安全測(cè)評(píng)等服務(wù)外包工作大量政務(wù)信息化工作的外包既解決了政府行政資源有限和

、、。,

公共服務(wù)效能要求日益提高之間的矛盾也提高了政府部門(mén)信息化工程的質(zhì)量但政府部門(mén)在享受信

,。

息技術(shù)服務(wù)外包帶來(lái)便捷的同時(shí)也面臨外包服務(wù)機(jī)構(gòu)背景復(fù)雜服務(wù)人員流動(dòng)性大內(nèi)部管理不規(guī)范

,、、

等問(wèn)題帶來(lái)的信息安全風(fēng)險(xiǎn)如果缺乏對(duì)服務(wù)外包活動(dòng)信息安全的標(biāo)準(zhǔn)化管理將對(duì)政府部門(mén)行政辦

,,

公人民群眾生產(chǎn)生活乃至國(guó)家安全帶來(lái)巨大損失

、,。

本標(biāo)準(zhǔn)用于規(guī)范和指導(dǎo)政府部門(mén)采購(gòu)和使用信息技術(shù)服務(wù)本標(biāo)準(zhǔn)通過(guò)對(duì)政府部門(mén)服務(wù)外包過(guò)程

。

進(jìn)行梳理建立了政府部門(mén)信息技術(shù)服務(wù)外包信息安全管理模型在明確了服務(wù)外包信息安全管理角色

,,

和責(zé)任的同時(shí)將管理活動(dòng)劃分為規(guī)劃準(zhǔn)備機(jī)構(gòu)和人員選擇運(yùn)行監(jiān)督改進(jìn)完成四個(gè)階段分別提出

,、、、,

信息安全管理規(guī)范為政府部門(mén)信息技術(shù)服務(wù)外包的安全管理提供參考

,。

政府部門(mén)在信息技術(shù)服務(wù)外包的信息安全管理過(guò)程中還要基于本標(biāo)準(zhǔn)提出的規(guī)范要求和基本控

,

制措施結(jié)合自身服務(wù)外包項(xiàng)目實(shí)際提出與組織機(jī)構(gòu)人員管理數(shù)據(jù)管理信息技術(shù)服務(wù)類型等相適

,,、、、

應(yīng)的控制措施分階段有側(cè)重地對(duì)服務(wù)外包活動(dòng)實(shí)施管理以便信息安全管理規(guī)范的要求能夠切實(shí)指

,、,

導(dǎo)不同層級(jí)政府部門(mén)實(shí)際的服務(wù)外包信息安全管理工作提升其服務(wù)外包信息安全水平

,。

GB/T32926—2016

信息安全技術(shù)政府部門(mén)信息技術(shù)服務(wù)

外包信息安全管理規(guī)范

1范圍

本標(biāo)準(zhǔn)建立了政府部門(mén)信息技術(shù)服務(wù)外包信息安全管理模型提出了政府部門(mén)信息技術(shù)服務(wù)外包

,

信息安全管理生命周期各階段活動(dòng)的管理要求

本標(biāo)準(zhǔn)適用于政府部門(mén)采購(gòu)和使用信息技術(shù)服務(wù)

。

政府部門(mén)開(kāi)展涉密信息技術(shù)服務(wù)外包工作參照國(guó)家保密局相關(guān)保密規(guī)定和標(biāo)準(zhǔn)執(zhí)行不在本標(biāo)準(zhǔn)

,,

范圍內(nèi)

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

信息安全技術(shù)政府部門(mén)信息安全管理基本要求

GB/T29245—2012

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069—2010。

31

.

信息技術(shù)服務(wù)informationtechnologyservice

供方為需方提供開(kāi)發(fā)應(yīng)用信息技術(shù)的服務(wù)

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

最新文檔

評(píng)論

0/150

提交評(píng)論