ICS35.040 L80 中华人民共和国国家标准 GB/T32926—2016 信息安全技术 政府部门信息技术服务 外包信息安全管理规范 Informationsecuritytechnology—Informationsecuritymanagementspecification forgovernmentinformationtechnologyserviceoutsourcing 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 综述 2 ……………………………………………………………………………………………………… 4.1 服务外包信息安全管理基本原则 2 ………………………………………………………………… 4.2 服务外包信息安全管理角色和职责 2 ……………………………………………………………… 4.3 服务外包信息安全管理模型 3 ……………………………………………………………………… 5 规划准备 3 ………………………………………………………………………………………………… 5.1 服务外包信息安全风险评估 3 ……………………………………………………………………… 5.2 服务外包信息安全管理策略和制度 4 ……………………………………………………………… 6 机构和人员选择 4 ………………………………………………………………………………………… 6.1 外包服务机构和人员风险评估 4 …………………………………………………………………… 6.2 服务外包合同 5 ……………………………………………………………………………………… 6.3 服务外包信息安全管理计划 6 ……………………………………………………………………… 6.4 信息安全保密协议 6 ………………………………………………………………………………… 6.5 外包服务机构备案 6 ………………………………………………………………………………… 7 运行监督 7 ………………………………………………………………………………………………… 7.1 服务过程评估审计 7 ………………………………………………………………………………… 7.2 阶段成果交付验证 7 ………………………………………………………………………………… 8 改进和完成 7 ……………………………………………………………………………………………… 8.1 服务改进 7 …………………………………………………………………………………………… 8.2 服务退出 7 …………………………………………………………………………………………… 附录A(规范性附录) 服务外包基本信息安全控制 9 …………………………………………………… 参考文献 12 …………………………………………………………………………………………………… ⅠGB/T32926—2016 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:北京信息安全测评中心、工业和信息化部电子科学技术情报研究所、信息产业信 息安全测评中心、中国信息安全研究院有限公司。 本标准主要起草人:刘海峰、钱秀槟、梁博、赵章界、刘迎、霍珊珊、张晓梅、王春佳、李晨旸、张恒、 张益、耿贵宁。 ⅢGB/T32926—2016 引 言 随着经济社会的快速发展,政府部门在打造和建设服务型政府、不断提高为人民服务能力和水平的 过程中,越来越多地采用和依赖信息化手段,并为此开展了与信息化相关的信息技术咨询、信息系统集 成、运行维护、安全测评等服务外包工作。大量政务信息化工作的外包,既解决了政府行政资源有限和 公共服务效能要求日益提高之间的矛盾,也提高了政府部门信息化工程的质量。但政府部门在享受信 息技术服务外包带来便捷的同时,也面临外包服务机构背景复杂、服务人员流动性大、内部管理不规范 等问题带来的信息安全风险,如果缺乏对服务外包活动信息安全的标准化管理,将对政府部门行政办 公、人民群众生产生活,乃至国家安全带来巨大损失。 本标准用于规范和指导政府部门采购和使用信息技术服务。本标准通过对政府部门服务外包过程 进行梳理,建立了政府部门信息技术服务外包信息安全管理模型,在明确了服务外包信息安全管理角色 和责任的同时,将管理活动划分为规划准备、机构和人员选择、运行监督、改进完成四个阶段,分别提出 信息安全管理规范,为政府部门信息技术服务外包的安全管理提供参考。 政府部门在信息技术服务外包的信息安全管理过程中,还要基于本标准提出的规范要求和基本控 制措施,结合自身服务外包项目实际,提出与组织机构、人员管理、数据管理、信息技术服务类型等相适 应的控制措施,分阶段、有侧重地对服务外包活动实施管理,以便信息安全管理规范的要求能够切实指 导不同层级政府部门实际的服务外包信息安全管理工作,提升其服务外包信息安全水平。 ⅣGB/T32926—2016 信息安全技术 政府部门信息技术服务 外包信息安全管理规范 1 范围 本标准建立了政府部门信息技术服务外包信息安全管理模型,提出了政府部门信息技术服务外包 信息安全管理生命周期各阶段活动的管理要求。 本标准适用于政府部门采购和使用信息技术服务。 政府部门开展涉密信息技术服务外包工作,参照国家保密局相关保密规定和标准执行,不在本标准 范围内。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25069—2010 信息安全技术 术语 GB/T29245—2012 信息安全技术 政府部门信息安全管理基本要求 3 术语和定义 GB/T25069—2010界定的以及下列术语和定义适用于本文件。 3.1 信息技术服务 informationtechnologyservice 供方为需方提供开发、应用信息技术的服务,以及供方以信息技术为手段提供支持需方业务活动的 服务。 [GB/T29264—2012] 注:常见服务形态有信息技术咨询服务、设计与开发服务、信息系统集成实施服务、运行维护服务、数据处理和存储 服务、运营服务、数字内容服务、呼叫中心服务及其他信息技术服务。 3.2 服务外包 serviceoutsourcing 政府部门以签订合同的方式,委托其他机构承担信息技术服务的商业行为。 3.3 外包服务机构 organizationprovidingoutsourcedservice 服务外包中承担信息技术服务的机构。 3.4 服务分包 servicesubcontraction 外包服务机构将自身承担的部分政府部门信息技术服务再次委托给其他机构完成的商业行为和管 理模式。 1GB/T32926—2016 4 综述 4.1 服务外包信息安全管理基本原则 政府部门应在实施服务外包信息安全管理时,始终遵循以下信息安全基本原则: a) 责任延展原则。指信息技术服务活动本身的外包,不是信息安全管理责任外包。 b) 领导决策原则。指应获得服务外包主管领导的支持、批准和授权。 c) 风险控制原则。指始终关注信息技术服务活动可能带来的信息安全风险,并能够及时应用风 险控制措施。 d) 监督检查原则。指在对信息技术服务活动监管基础上,应接受信息安全行政主管部门的监督 检查。 4.2 服务外包信息安全管理角色和职责 4.2.1 管理角色 按照GB/T29245—2012的要求,政府部门应根据服务外包活动范围确定管理角色和责任: a) 当服务外包活动涉及多个政府部门内设机构时,应由政府部门信息安全主管领导担任服务外 包活动的主管领导,多个内设机构分工承担负责机构职责; b) 当服务外包活动仅涉及单一政府部门内设机构时,应由该内设机构信息安全主管领导担任服 务外包活动的主管领导,该内设机构承担服务外包负责机构职责。 4.2.2 主管领导 在服务外包信息安全管理活动中,主管领导职责应包括: a) 在政府部门信息安全管理的总体框架下,批准本部门服务外包信息安全管理策略(见5.2.1); b) 授权并支持相应的负责机构具体管理服务外包; c) 支持对服务外包信息安全各环节的管理: 1) 定期评审并发布服务外包信息安全管理制度,保持与政府部门服务外包信息安全管理策 略要求一致; 2) 提供并保障服务外包信息安全管理所需要的资源; 3) 组织检查信息安全受控的信息技术服务执行情况; 4) 协调处置服务外包信息安全管理应急事件; 5) 持续监督并促进服务外包信息安全管理改进完善。 d) 承担服务外包信息安全管理的监管责任。 4.2.3 负责机构 负责机构指具体承担服务外包活动的管理工作的内设机构,主要职责应包括: a) 对主管领导负责,将服务外包信息安全管理情况、信息技术服务信息安全