信息技術外包服務安全管理制度

信息技術外包服務安全管理制度信息技術外包服務安全管理制度一、前言隨著信息技術的進展，越來越多的公司選擇將信息技術外包給專業(yè)的服務商，以便降低成本并獲得更好的技術支持和服務。但同時，信息技術外包也給用戶的信息安全帶來了不小的威逼。因此，信息技術外包服務的安全管理變得至關緊要。過去，在外部服務供給商的管理和監(jiān)督方面缺乏統(tǒng)一的引導和規(guī)范，導致用戶常常無法把握信息技術外包服務的安全情況，這樣不利于保護用戶的數(shù)據(jù)安全。為此本文旨在建立一套完整的信息技術外包服務安全管理制度，從供應商與客戶簽署合同開始對服務進行全周候安全監(jiān)管，確保供給安全牢靠的信息技術外包服務。二、安全管理制度的引導思想1、風險管理模式。建立完整的服務管理和風險掌控體系，實施定期的安全復查、漏洞探測和應急預案等，保護信息安全和業(yè)務連續(xù)性。2、持續(xù)改進。通過不斷的管理績效評估和基于風險的管理方法，來保證安全風險低于風險容忍度，并隨著需求的變更和新風險的顯現(xiàn)持續(xù)完善服務。3、整體管理模式。建立從供應鏈環(huán)節(jié)、系統(tǒng)、數(shù)據(jù)、物理環(huán)境、人員、流程等各種資源全生命周期的管理模式，實現(xiàn)系統(tǒng)全生命周期的安全管理。4、強化服務供應商的責任意識。建立服務供給商與用戶之間的信任關系，確保供應商承當其責任及義務，提高用戶對供應商的信任度，從而使服務合同實現(xiàn)角色清楚、權限明確。三、建立信息技術外包服務的安全管理流程1、信息技術外包服務的安全管理流程包括：需求分析和規(guī)劃、服務供給商的審查和選擇、安全要求的定義、性能和安全測試、安全服務實施、管理和監(jiān)督。2、需求分析和規(guī)劃。在進行信息技術外包服務前，用戶需要對本身的需求進行分析和規(guī)劃，確定選用外包服務的目的、范圍和要求等，以便為后續(xù)服務供給商的篩選和選擇做好準備。3、服務供給商的審查和選擇。在確定了服務需求后，用戶應依據(jù)需要進行供應商的調(diào)查和篩選，供給商必需為響應用戶需求的本領、管理規(guī)范、傳統(tǒng)聲譽以及安全管理方面的本領等因素進行審查和評估。4、安全要求的定義。在確定了服務供給商之后，用戶應明確本身和服務供給商在安全管理方面的需求和責任，以確保實現(xiàn)安全服務和合規(guī)性要求。5、性能和安全測試。服務供給商應在為用戶供給服務前，定期開展安全評估活動和漏洞探測等工作，以確保系統(tǒng)的功能和安全，并將測試結果與用戶共享，供其參考。6、安全服務實施。在確定了安全要求和性能測試之后，服務供給商應開始進行安全服務的實施工作，包括安全管理和技術層面的掌控實施，實施計劃必需針對全部服務層次進行安全服務保障。7、管理和監(jiān)督。在服務供給商完成全部服務工作后，用戶需要對服務進行全面的管理和監(jiān)督，包括對安全管理制度的執(zhí)行、日常的安全掌控和風險管理等方面的監(jiān)管和檢查。四、信息技術外包服務的安全管理要求和措施1、服務供給商必需與客戶簽署書面安全協(xié)議。在雙方簽署正式的SerivceProvideAgreement（服務供給商協(xié)議）之前，必需明確安全管理制度的相關要求、監(jiān)察和監(jiān)管等方面內(nèi)容并記錄其實在細節(jié)，以確保公平合理的服務合作條款。2、服務供給商必需與客戶進行安全計劃和安全審查。為確保服務供給商供給的安全服務符合合同的要求，服務供給商應依據(jù)客戶需求訂立安全計劃，并依據(jù)安全計劃訂立相應的安全策略和程序。3、服務供給商必需執(zhí)行相應的安全方針和系統(tǒng)掌控。服務供給商應依照對應安全方針和掌控標準訂立相關系統(tǒng)掌控和流程，確保服務供給商和供給商服務都受到充足的安全保障。4、服務供給商要實施安全管理掌控、保障和監(jiān)督。為確保服務質量和安全性，服務供給商應定期進行相應的安全評估、漏洞發(fā)覺等檢查工作，發(fā)覺問題適時處理，并對發(fā)覺的問題進行記錄、跟蹤和進行整改措施。五、總結信息技術外包服務安全管理制度在保障用戶信息及數(shù)據(jù)安全、提高業(yè)務可持續(xù)性、充足信息保密和合規(guī)性等方面具有極其緊要的意義。在建立安全管理制度的基礎上，必需實施強制性的安全檢查和監(jiān)督，以確保服務供給商供給的服務符合安全