DB14/T 1251-2016 信息技术服务外包安全要求.pdf

ICS 25.040
N 10 DB14

山西省地方标准

DB14/T1251-2016
信息技术服务外包安全要求
2016-10-10  发布
2016-12-10  实施
山西省质量技术监督局  发布

前言
本标准按照GB/T1.1-2009给出的规则起草。
本标准由山西省经济和信总化委员会提出并归口。
本标准起草单位：山西省信总技术产业协会、山西省经贸决策咨询中心、中国信总安全研究院有限公司、山西省信总化和信总安全评测中心、山西省工业控制系统与安全产业联盟。
本标准主要起草人：周亚超、左晓栋、李凯军、王乐、薛云琴、张明胜、陆希、苑化军、张卓娅、郭陈勋、刘闲桁。

内容摘抄：

信息技术服务外包安全要求
1范围
本标准规定了信总技术服务外包时的信总安全要求。本标准适用于山西省辖区内各级机关、事业单位、重要领域的信总技术服务外包。外包服务商提供外包服务时可参照执行。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GBT25069一2010信总安全技术术语
3术语和定义
GBT25069一2010确立的以及下列术语和定义适用于本文件。
3.1信息技术服务
供方为需方提供开发，应用信总技术的活动，以及供方以信总技术为手段提供支特需方业务的活动。
3.2信息技术服务外包
以签订合同的方式，需方委托其他机构承担信总技术服务的行为。注：附录给出了信总技术服务外包的分类，包括信总技术咨询服务、系统集成服务、系统设计与升发服务、运行维护服务、数据处理服务、数据存储服务、灾难恢复服务、事件处理服务、安全测计认证服务、系统托管服务等
3.3外包服务商
服务外包中承担信总技术服务的机构。
3.4服务分包
外包服务商将自身承担的部分信总技术服务再次委托给其他机构完成的行为。
3.5信息技术供应链

通过多个资源和过程联系在一起的一系列组织，始于米加工的原材料，终于使用产品和服务的最终用户，是一个由多个上游与下游供应商形成的网链结构，可将信总通信技术的产品和服务提供给最终用户。
3.6委托方
信总技术服务外包活动中的需求方，将信总技术服务委托给外包服务商，并对外包服务商提出信总安全要求。
3.7网络安全审查
回家网信部门组织实施的重要网络安全管理制度，对关系国家安全和公共安全利益的系统使用的重要信总技术产品和服务进行安全审查，审查重点为该产品安全性和可控性，旨在防止产品机供者利用提供产品的方便，非法控制、干扰、中断用户系统，非法收集、存储、处理和利用用户有关信总。
3.8
服务级别协议
委托方与外包服务商之间就外包服务的品质、水准、性能等方面所达成的双方共同认可的协议或契约。
4对委托方的基本要求
4.1委托方信息技术服务外包安全管理基本原则委托方在信总技术服务外包活动中，应遵循以下信总安全管理基本原则：
a)责任延展原则。信总安全管理责任不应随服务外包而转移，无论委托方数据和业务是位于自身信总系统还是外包服务商的信总系统上，委托方都是信总安全的最终责任人。
b)领导决策原则。信总技术服务外包应获得委托方服务外包主管领导的支特、批准和授权。
c)风，险控制原则。委托方应始终关注信总技术服务外包可能带来的信总安全风险，并能够及时应用风险控制措施。
d)监督检查原则。委托方应对信总技术服务活动进行监管，并按受信总安全主管部门的监督检查。
e)数据归属关系不变。委托方提供给外包服务商的数据、设备等资源，以及外包服务过程中收集、产生、存储的数据和文档等资源属委托方所有。外包服务商应保饰委托方对这些资源的访问、利用、支配，米经委托方投权，外包服务商和任何第三方不得访问、修改、被瑶、利用、钱让、销毁委托方的数据。
f)安全管理标准不变。外包服务商的信总系统中，凡承载委托方业务和数据的信总系统均应遵循与委托方自身系统完全一致的信总安全技术要求和管理规定，与委托方自身系统一祥样按受国家有关部门和委托方的信总安全监督管理。
g)敏感信总不出境。为委托方提供服务的重要信总基础设施，例如云计算服务平台、数据中心、升级服务器等要设在境内。敏感信总未经批准不得在境外传输、处理、存储。
4.2信息技术服务外包安全管理职责
4.2.1管理角色

委托方应根据股务外包活动范围确定管理角色和责任：
a)应由委托方信总安全主管领导担任服务外包管理小组的刷职（含）以上领导。
b)根据外包类型的不同，委托方的多个内设机构分工承担负责外包管理职责，但外包活动信总安全管理的总职责应由委托方的信总安全部门承担，信总安全部门对外包活动中的信总安全相关事项具有一票否决权。
4.2.2主管领导
委托方应在服务外包活动中设置信总安全主管领导的职责，包括但不限于：
a)在委托方信总安全管理的总体框架下，批准本机构的服务外包信总安全管理策路。
b)授权并支持相应的负责机构具体管理外包活动的信总安全。
c)支持对服务外包信总安全各环书的管理：
1)定期评审并发布服务外包信总安全管理制度，保持与委托方服务外包信总安全管理策略要求相一致。
2)提供并保饰服务外包信总安全管理所需要的资源。
3)组织检查信总技术服务外包中信总安全措施的执行情况。
4)协调处置服务外包信总安全管理应急事件。
d)承担服务外包信总安全管理的监管责任。
4.2.3负责机枸
委托方应在外包活动中指定信总安全管理部门，其主要职责包括但不恨于：
a)对信总安全主管领导负责，将服务外包信总安全管理情况、信总技术服务外包信总安全执行情况及时报告主管领导。
b)落实服务外包信总安全管理策略要求，组织制定并执行服务外包信总安全管理制度、服务外包合同、股务外包信总安全管理计划等，具体职责应括以下方面：
1)按照服务外包信总安全风险评估有关要求，开展服务外包信总安全风险评估。
2)评估和推荐潜在的外包服务商和服务人员。
3)落实并监督服务外包基本信总安全控荆制措施。
4)落实服务外包信总安全管理应急处置措施。
5)提出服务外包信总安全管理的改进建议。
c)承担服务外包信总安全管理的直接责任。
4.2.4信息技术服务外包安全管理模型
委托方应建立信总技术服务外包安全管理模型，如图1所示。该模型将信总技术服务外包信总安全管理活动划分为服务外包信总安全规划准备、机构和人员选择、运行监督和改进完成4个管理阶段，针对性地机出了规范性要求。

投稿会员：巧克力布丁