信息安全技術(shù) 政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范-編制說明

1任務(wù)來源2012年，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）主任辦公會討論通過，由北京信息安全測評中心研究制定《信息安全技術(shù)政府部門信息技術(shù)外包服務(wù)信息安全管理規(guī)范》國家標(biāo)準(zhǔn)，國標(biāo)計劃編制號：20130343-T-469。標(biāo)準(zhǔn)編制過程中，根據(jù)標(biāo)準(zhǔn)提出單位及專家評審會相關(guān)意見，將標(biāo)準(zhǔn)名稱調(diào)整為《信息安全技術(shù)政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范》。該項目由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口，由北京信息安全測評中心、工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所、信息產(chǎn)業(yè)信息安全測評中心、中國信息安全研究院有限公司等單位負(fù)責(zé)研制。本標(biāo)準(zhǔn)主要起草人：劉海峰、錢秀檳、梁博、趙章界、劉迎、霍珊珊、張曉梅、王春佳、李晨旸、張恒、張益、耿貴寧等。2研究目標(biāo)隨著經(jīng)濟(jì)社會的快速發(fā)展，政府部門在打造和建設(shè)服務(wù)型政府、不斷提高為人民服務(wù)能力和水平的過程中，越來越多地采用和依賴信息化手段，并為此開展了與信息化相關(guān)的信息技術(shù)咨詢、信息系統(tǒng)集成、運行維護(hù)、安全測評等服務(wù)外包工作。大量政務(wù)信息化工作的外包，既解決了政府行政資源有限和公共服務(wù)效能要求日益提高之間的矛盾，也提高了政府部門信息化工程的質(zhì)量。但政府部門在享受信息技術(shù)服務(wù)外包帶來便捷的同時，也面臨外包服務(wù)機(jī)構(gòu)背景復(fù)雜、服務(wù)人員流動性大、內(nèi)部管理不規(guī)范等問題帶來的信息安全風(fēng)險，如果缺乏對服務(wù)外包活動信息安全的標(biāo)準(zhǔn)化管理，將對政府部門行政辦公、人民群眾生產(chǎn)生活，乃至國家安全帶來巨大損失。本標(biāo)準(zhǔn)通過對政府部門服務(wù)外包過程進(jìn)行梳理，建立了政府部門信息技術(shù)服務(wù)外包信息安全管理模型，在明確了服務(wù)外包信息安全管理角色和責(zé)任的同時，將管理活動劃分為規(guī)劃準(zhǔn)備、機(jī)構(gòu)和人員選擇、運行監(jiān)督、改進(jìn)完成四個階段，分別提出信息安全管理規(guī)范，為政府部門信息技術(shù)服務(wù)外包的安全管理提供參考。政府部門在信息技術(shù)服務(wù)外包的信息安全管理過程中，還應(yīng)基于本標(biāo)準(zhǔn)提出的規(guī)范要求和基本控制措施，結(jié)合自身服務(wù)外包項目實際，提出與組織機(jī)構(gòu)、人員管理、數(shù)據(jù)管理、信息技術(shù)服務(wù)類型等相適應(yīng)的控制措施，分階段、有側(cè)重地對服務(wù)外包活動實施管理，以便信息安全管理規(guī)范的要求能夠切實指導(dǎo)不同層級政府部門實際的服務(wù)外包信息安全管理工作，提升其服務(wù)外包信息安全水平。3編制原則承接關(guān)系明確：本標(biāo)準(zhǔn)作為上位標(biāo)準(zhǔn)《信息安全技術(shù)政府部門信息安全管理基本要求》（GB/T29245-2012）在信息技術(shù)服務(wù)外包領(lǐng)域的具體細(xì)化而提出，是對政府部門信息安全管理類標(biāo)準(zhǔn)體系的有力補(bǔ)充，定位服務(wù)外包操作層面的管理活動?？茖W(xué)建模：本標(biāo)準(zhǔn)建立了政府部門信息技術(shù)服務(wù)外包的信息安全管理模型，明確了政府部門在服務(wù)外包信息安全管理中的角色和責(zé)任，明示了服務(wù)外包只是信息技術(shù)服務(wù)活動的外包，不是信息安全管理責(zé)任的外包。同時，標(biāo)準(zhǔn)模型還依據(jù)服務(wù)外包信息安全管理生命周期的特點進(jìn)行劃分，分階段地提出信息安全管理要求。指導(dǎo)性強(qiáng)：本標(biāo)準(zhǔn)提出的服務(wù)外包基本信息安全控制措施提供了政府部門在服務(wù)外包具體過程中的風(fēng)險控制方法，各單位也可根據(jù)自身組織機(jī)構(gòu)、人員管理、數(shù)據(jù)管理、信息技術(shù)服務(wù)類型等特點，制定更具指導(dǎo)性的信息安全控制措施。適度前瞻：對于服務(wù)備案等信息安全條款要求，各地區(qū)電子政務(wù)信息安全主管部門有要求的，應(yīng)按照標(biāo)準(zhǔn)進(jìn)行備案管理。對于部分地區(qū)電子政務(wù)信息安全主管部門無此類要求的，執(zhí)行此條款的政府部門可主動申請向信息安全主管部門進(jìn)行備案。4主要工作過程《信息安全技術(shù)政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范》（以下簡稱“規(guī)范”）的制定工作過程大體分以下階段：1.調(diào)查研究階段（2013.1~2013.3）：在2011年完成《政府部門信息技術(shù)服務(wù)外包信息安全管理要求》課題研究成果的基礎(chǔ)上，進(jìn)一步收集研究國際、國內(nèi)有關(guān)政府部門信息技術(shù)服務(wù)外包的成功管理方法、管理案例，總結(jié)分析適合我國政府部門現(xiàn)狀的信息安全管理控制措施，并提出基于全流程安全管理的編制思路。2.大綱編制階段（2013.4~2013.5）：在前期調(diào)研基礎(chǔ)上，課題組研究并提出了基于服務(wù)外包項目實施生命流程的標(biāo)準(zhǔn)大綱編制思路，將服務(wù)外包過程具體劃分為規(guī)劃、獲取、實施、保障四個階段。2013年5月23日，課題組召開專家征求意見會，對基于全生命流程的大綱編制思路進(jìn)行了研究討論。專家會認(rèn)為，信息安全管理規(guī)范應(yīng)從服務(wù)外包的安全控制層面入手，形成體系化的生命流程控制模型，具體可借鑒美國NISTSP800-53標(biāo)準(zhǔn)提出的控制點，輔以信息安全管理體系模型作為本標(biāo)準(zhǔn)的框架。3.草案編寫階段（2013.6~2014.1）：根據(jù)專家意見，課題組展開了草案編制的工作，具體包括以下方面：（1）課題組內(nèi)部分工，對服務(wù)外包信息安全管理不同環(huán)節(jié)的管理措施進(jìn)行研究，修改并完善標(biāo)準(zhǔn)規(guī)范。2013年6月14日，課題組在昌平區(qū)封閉，具體編制草案初稿。（2）第一輪小范圍征求專家意見。2013年6月24日，課題組赴北京大學(xué)王立福教授處，當(dāng)面征求對草案適用范圍、術(shù)語和定義等標(biāo)準(zhǔn)框架性問題的意見，并最終確立以服務(wù)外包項目生命周期為主線，輔以改進(jìn)的PDCA流程圖進(jìn)行安全管理控制的思路。王立福教授進(jìn)一步強(qiáng)調(diào)標(biāo)準(zhǔn)語言、標(biāo)準(zhǔn)控制措施、標(biāo)準(zhǔn)附錄等內(nèi)容的重要性和嚴(yán)謹(jǐn)性。2013年7月12日，課題組赴北京市經(jīng)濟(jì)和信息化委員會，當(dāng)面征求委信息安全協(xié)調(diào)處賈力處長意見建議，賈力專家認(rèn)為標(biāo)準(zhǔn)應(yīng)增強(qiáng)服務(wù)實施過程中的監(jiān)督控制要素，為政府部門加強(qiáng)信息技術(shù)服務(wù)外包安全管理提供規(guī)范性支持。2013年7月26日，課題組赴神州數(shù)碼系統(tǒng)集成服務(wù)有限公司，聽取其從自身服務(wù)實踐的角度，對服務(wù)外包標(biāo)準(zhǔn)條款的意見建議。（3）課題組組織專項討論。根據(jù)專家意見，課題組先后在北京信息安全測評中心、中國電子信息產(chǎn)業(yè)發(fā)展研究院信息安全研究院等地組織10余次專項討論，對標(biāo)準(zhǔn)的結(jié)構(gòu)、語言、邏輯層級等逐一進(jìn)行了梳理，并形成了新版的標(biāo)準(zhǔn)草案。（4）第二輪小范圍征求專家意見。2013年8月20日，課題組征求趙戰(zhàn)生專家對新版標(biāo)準(zhǔn)草案的意見建議。趙專家認(rèn)為，標(biāo)準(zhǔn)提出的PDCA模型適合對服務(wù)外包機(jī)構(gòu)的信息安全管理進(jìn)行約束，但需要引入服務(wù)外包的安全管理期望和服務(wù)效果產(chǎn)出等環(huán)節(jié)。另外，趙專家還提出，標(biāo)準(zhǔn)應(yīng)增加原則性、框架性的適用說明，幫助政府部門更好地應(yīng)用標(biāo)準(zhǔn)，指導(dǎo)工作。2013年8月27日，課題組赴工業(yè)和信息化部信息安全協(xié)調(diào)司征求李愛東處長意見，李專家認(rèn)為標(biāo)準(zhǔn)規(guī)范了服務(wù)外包的信息安全保密協(xié)議，有助于減少政府部門管理和使用服務(wù)外包的信息泄露風(fēng)險，但應(yīng)明確標(biāo)準(zhǔn)與通用的信息安全管理體系的聯(lián)系與區(qū)別。2013年8月27日，課題組赴北京大學(xué)王立福教授處征求意見，王專家認(rèn)為目前的標(biāo)準(zhǔn)規(guī)范內(nèi)容部分混淆了管理和技術(shù)控制兩條線，需要進(jìn)一步梳理，同時政府部門的工作更多側(cè)重于規(guī)劃階段的安全設(shè)計，故服務(wù)實現(xiàn)過程中不應(yīng)體現(xiàn)外包服務(wù)機(jī)構(gòu)的工作內(nèi)容，對外包服務(wù)機(jī)構(gòu)的工作要求應(yīng)納入管理規(guī)范的規(guī)劃階段。王專家還提出，我們的標(biāo)準(zhǔn)應(yīng)進(jìn)一步明確適用的邊界條件，以便指導(dǎo)政府部門針對性地使用。（5）安標(biāo)委第一次專家評審會。2013年9月11日，課題組在安標(biāo)委秘書處組織下，向王立福、吳源俊、趙戰(zhàn)生、李愛東、崔書昆、曲成義和閔京華等七位專家對標(biāo)準(zhǔn)的編制工作及標(biāo)準(zhǔn)內(nèi)容進(jìn)行了匯報。各位專家對標(biāo)準(zhǔn)從總體思路、語言文字、適用范圍等方面提出了大量寶貴意見（詳見專家意見處理表）。（6）課題組再次組織進(jìn)行專項討論。根據(jù)專家意見，課題組明確了標(biāo)準(zhǔn)定位，并先后在北京信息安全測評中心集中封閉3次，修改并吸收專家意見。（7）第三輪小范圍征求專家意見。2013年10月9日，課題組就修改后的標(biāo)準(zhǔn)征求部分企業(yè)和政府使用部門意見，其中，來自企業(yè)的專家更多對標(biāo)準(zhǔn)中規(guī)范企業(yè)的要求提出建議，來自政府部門的專家側(cè)重標(biāo)準(zhǔn)的可行性和復(fù)雜性提出建議。2013年10月16日，課題組邀請閔京華專家對標(biāo)準(zhǔn)提意見，閔專家提出可按照服務(wù)外包項目生命周期的不同階段，分別考慮相應(yīng)的管理要求，課題組采納并將獲取和實施管理分別提出安全管理要求。2013年11月1日，課題組邀請王立福教授對標(biāo)準(zhǔn)最新框架進(jìn)行確認(rèn)，王老師提出標(biāo)準(zhǔn)按照規(guī)劃、實現(xiàn)、檢查和改進(jìn)的過程寫，思路明確，但應(yīng)進(jìn)一步明確不同過程的具體內(nèi)容，課題組認(rèn)為具體的管理計劃部分，應(yīng)該納入實現(xiàn)過程，是管理要求在實現(xiàn)過程的具體體現(xiàn)，重新組織了文稿架構(gòu)。（8）安標(biāo)委第二次專家評審會。2013年11月5日，邀請王立福、閔京華、吳源俊、趙戰(zhàn)生等專家，對標(biāo)準(zhǔn)內(nèi)容進(jìn)行評審。專家肯定了標(biāo)準(zhǔn)遵循信息安全管理規(guī)劃、運行、檢查、改進(jìn)的編制思路，重點提出應(yīng)將服務(wù)外包的安全控制納入標(biāo)準(zhǔn)，以便更好的指導(dǎo)標(biāo)準(zhǔn)應(yīng)用。專家會還對標(biāo)準(zhǔn)用于管理政府部門的信息安全管理行為還是政府部門外包服務(wù)機(jī)構(gòu)的信息安全服務(wù)行為進(jìn)行了講解。（9）課題組針對專家會提出的意見建議，結(jié)合新版的ISO27001國際標(biāo)準(zhǔn)、NIST800-53標(biāo)準(zhǔn)以及ISO27036有關(guān)服務(wù)外包的信息安全管理要求，進(jìn)一步細(xì)化了標(biāo)準(zhǔn)的結(jié)構(gòu)框架，增加了管理外包服務(wù)信息安全風(fēng)險的控制措施，特別是在信息安全準(zhǔn)備、信息安全規(guī)劃和實現(xiàn)、信息安全監(jiān)督、信息安全改進(jìn)和完成等生命周期管理階段，強(qiáng)調(diào)服務(wù)外包合同以及相應(yīng)的服務(wù)外包信息安全管理計劃對安全管理工作的作用和意義。（10）第四輪小范圍征求專家意見。2014年1月14日，根據(jù)新修訂的標(biāo)準(zhǔn)草案征求王立福等專家意見，增加信息安全規(guī)劃準(zhǔn)備作為對政府部門自身服務(wù)外包需求分析的管理活動，并形成草案最新版。2014年1月20日，編制組前往工業(yè)和信息化部、北京市經(jīng)濟(jì)和信息化委等政府部門，聽取政府部門用戶對標(biāo)準(zhǔn)文本的意見建議，在提交安標(biāo)委評審前，對部分政府部門角色和責(zé)任進(jìn)行了修訂完善。（11）安標(biāo)委第三次專家評審會。2014年1月22日，安標(biāo)委WG72014年1月22日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會WG7工作組在北京組織召開了國家標(biāo)準(zhǔn)《信息安全技術(shù)政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范》（草案）專家審查會。專家組聽取了編制組關(guān)于標(biāo)準(zhǔn)草案編制過程的匯報，審閱了標(biāo)準(zhǔn)草案文本，進(jìn)行了質(zhì)詢，經(jīng)討論認(rèn)為：該標(biāo)準(zhǔn)草案建立了政府部門信息技術(shù)服務(wù)外包信息安全管理模型，提出了政府部門信息技術(shù)服務(wù)外包信息安全管理生命周期各階段活動的管理要求。該標(biāo)準(zhǔn)草案適用于政府部門采購和使用信息技術(shù)服務(wù)，對各級政府部門信息技術(shù)服務(wù)外包活動的信息安全管理具有指導(dǎo)意義。該標(biāo)準(zhǔn)草案編寫格式基本符合GB/T1.1-2009的要求。（12）安標(biāo)委WG7工作組全體成員單位組織征求意見。2014年3月18日，在北京應(yīng)物中心會議室，WG7工作組會議討論并通過了標(biāo)準(zhǔn)草案文本。會后，編制組進(jìn)一步根據(jù)會上各成員單位意見對標(biāo)準(zhǔn)草案文本進(jìn)行了修改完善，形成標(biāo)準(zhǔn)征求意見稿文本。5標(biāo)準(zhǔn)主要內(nèi)容范圍本標(biāo)準(zhǔn)建立了政府部門信息技術(shù)服務(wù)外包信息安全管理模型，提出了政府部門信息技術(shù)服務(wù)外包信息安全管理生命周期各階段活動的管理要求。本標(biāo)準(zhǔn)適用于政府部門采購和使用信息技術(shù)服務(wù)。政府部門開展涉密信息技術(shù)服務(wù)外包工作，應(yīng)參照國家保密局相關(guān)保密規(guī)定和標(biāo)準(zhǔn)執(zhí)行，不在本標(biāo)準(zhǔn)范圍內(nèi)。服務(wù)外包信息安全管理模型本標(biāo)準(zhǔn)提出的政府部門信息技術(shù)服務(wù)外包信息安全管理模型，是政府部門在對自身“服務(wù)外包”行為風(fēng)險評估的基礎(chǔ)上，對外包服務(wù)機(jī)構(gòu)具體“服務(wù)”行為進(jìn)行信息安全管理的模型。該模型明確了政府部門在信息技術(shù)服務(wù)外包管理活動中的信息安全角色和責(zé)任，通過劃分服務(wù)外包信息安全規(guī)劃準(zhǔn)備、機(jī)構(gòu)和人員選擇、運行監(jiān)督和改進(jìn)完成等管理階段，針對性地提出規(guī)范性要求。具體的政府部門信息技術(shù)服務(wù)外包信息安全管理模型見下圖：服務(wù)外包信息安全管理角色和職責(zé)主管領(lǐng)導(dǎo)服務(wù)外包信息安全管理角色和職責(zé)主管領(lǐng)導(dǎo)負(fù)責(zé)機(jī)構(gòu)服務(wù)外包信息安全風(fēng)險評估服務(wù)外包信息安全管理策略和制度服務(wù)過程評估審計階段成果交付驗證服務(wù)改進(jìn)服務(wù)退出外包服務(wù)機(jī)構(gòu)和人員風(fēng)險評估服務(wù)外包合同服務(wù)外包信息安全管理計劃信息安全保密協(xié)議外包服務(wù)機(jī)構(gòu)備案規(guī)劃準(zhǔn)備機(jī)構(gòu)和人員選擇運行監(jiān)督改進(jìn)和完成標(biāo)準(zhǔn)內(nèi)容目錄前言 引言 1范圍 2規(guī)范性引用文件 3術(shù)語和定義 4綜述 4.1服務(wù)外包信息安全管理基本原則 4.2服務(wù)外包信息安全管理角色和職責(zé) 4.2.1管理角色4.2.2主管領(lǐng)導(dǎo) 4.2.3負(fù)責(zé)機(jī)構(gòu) 4.3服務(wù)外包信息安全管理模型 5規(guī)劃準(zhǔn)備 5.1服務(wù)外包信息安全風(fēng)險評估 5.1.1風(fēng)險評估實施 5.1.2風(fēng)險評估結(jié)果分析 5.2服務(wù)外包信息安全管理策略和制度 5.2.1服務(wù)外包信息安全管理策略5.2.2服務(wù)外包信息安全管理制度 6機(jī)構(gòu)和人員選擇 6.1外包服務(wù)機(jī)構(gòu)和人員風(fēng)險評估 6.2服務(wù)外包合同 6.2.1信息安全條款 6.2.2退出策略條款 6.3服務(wù)外包信息安全管理計劃 6.4信息安全保密協(xié)議 6.5外包服務(wù)機(jī)構(gòu)備案 7運行監(jiān)督 7.1執(zhí)行過程評估審計 7.2階段成果交付驗證 8改進(jìn)和完成 8.1服務(wù)改進(jìn) 8.2服務(wù)退出 附錄A（規(guī)范性附錄）服務(wù)外包基本信息安全控制 6實施本標(biāo)準(zhǔn)的措施建議本標(biāo)準(zhǔn)為首次制定，在實施過程中，各政府部門應(yīng)基于標(biāo)準(zhǔn)提出的基本信息安全控制措施，增加符合自身組織管理、人員架構(gòu)特點的服務(wù)外包信息安全管理控制，以適應(yīng)不斷變化的服務(wù)外包信息安全管理工作需求。標(biāo)準(zhǔn)在具體應(yīng)用過程中，應(yīng)作為《信息安全技術(shù)政府部門信息安全管理基本要求》（GB/T29245-2