国家标准 GB/T32926一2016 信息安全技术政府部门信息技术服务外包信息安全管理规范 nformationseeuritytechnology一Informationseeuritymanagememtspeeifieatiom forgovernmentinformationtechnologserviceoutsoureing 2016-08-29发布 2017-03-01实施国家质量监督检验检疫总局发布国家标准化管理委员会国家标准
GB/T32926一2016 前言本标准按照GB/T1.1一2009给出的规则起草本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位;北京信息安全测评中心、工业和信息化部电子科学技术情报研究所、信息产业信息安全测评中心、信息安全研究院有限公司本标准主要起草人:刘海峰、钱秀槟、梁博,赵章界、刘迎、霍珊珊、张晓梅、王春佳、李晨肠、张恒、张益、耿贵宁 m
GB/T32926一2016 引言随着经济社会的快速发展,政府部门在打造和建设服务型政府,不断提高为人民服务能力和水平的过程中,越来越多地采用和依赖信息化手段,并为此开展了与信息化相关的信息技术咨询、信息系统集成,运行维护,安全测评等服务外包工作大量政务信息化工作的外包,既解决了政府行政资源有限和公共服务效能要求日益提高之间的矛盾,也提高了政府部门信息化工程的质量但政府部门在享受信息技术服务外包带来便捷的同时,也面临外包服务机构背景复杂,服务人员流动性大、内部管理不规范等问题带来的信息安全风险,如果缺乏对服务外包活动信息安全的标准化管理,将对政府部门行政办公、人民群众生产生活,乃至国家安全带来巨大损失本标准用于规范和指导政府部门采购和使用信息技术服务本标准通过对政府部门服务外包过程进行梳理,建立了敢府部门信息技术服务外包信息安全管理模型,在明确了服务外包信息安全管理角色和责任的同时,将管理活动划分为规划准备,机构和人员选择,运行监督,改进完成四个阶段,分别提出信息安全管理规范,为政府部门信息技术服务外包的安全管理提供参考政府部门在信息技术服务外包的信息安全管理过程中,还要基于本标准提出的规范要求和基本控制措施,结合自身服务外包项目实际,提出与组织机构、人员管理、数据管理、信息技术服务类型等相适应的控制措施,分阶段、有侧重地对服务外包活动实施管理,以便信息安全管理规范的要求能够切实指导不同层级政府部门实际的服务外包信息安全管理工作,提升其服务外包信息安全水平
GB/T32926一2016 信息安全技术政府部门信息技术服务外包信息安全管理规范范围本标准建立了政府部门信息技术服务外包信息安全管理模型,提出了政府部门信息技术服务外包信息安全管理生命周期各阶段活动的管理要求本标准适用于政府部门采购和使用信息技术服务政府部门开展涉密信息技术服务外包工作,参照国家保密局相关保密规定和标准执行,不在本标准范围内规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T25069一2010信息安全技术术语 GB/T29245一2012信息安全技术政府部门信息安全管理基本要求术语和定义 GB/T250692010界定的以及下列术语和定义适用于本文件 3.1 信息技术服务inmatimtehnavgyserie 供方为需方提供开发、应用信息技术的服务,以及供方以信息技术为手段提供支持需方业务活动的服务 [GB/T292642012] 注，常见服务形态有信息技术咨询服务,设计与开发服务、信息系统集成实施服务,运行维护服务、数据处理和存储服务、运营服务,数字内容服务,呼叫中心服务及其他信息技术服务 3.2 服务外包serviceoutsoureing 政府部门以签订合同的方式,委托其他机构承担信息技术服务的商业行为 3.3 外包服务机构organizatonprowidngoutsoureedserviee 服务外包中承担信息技术服务的机构服务分包serieesubeontraetiom 外包服务机构将自身承担的部分政府部门信息技术服务再次委托给其他机构完成的商业行为和管理模式
GB/T32926一2016 综述 4.1服务外包信息安全管理基本原则政府部门应在实施服务外包信息安全管理时,始终遵循以下信息安全基本原则 a)责任延展原则指信息技术服务活动本身的外包,不是信息安全管理责任外包领导决策原则指应获得服务外包主管领导的支持、批准和授权 b 风险控制原则指始终关注信息技术服务活动可能带来的信息安全风险,并能够及时应用风险控制措施 D 监督检查原则指在对信息技术服务活动监管基础上,应接受信息安全行政主管部门的监督检查 4.2服务外包信息安全管理角色和职责 4.2.1管理角色按照GB/T29245一2012的要求,政府部门应根据服务外包活动范围确定管理角色和责任: 当服务外包活动涉及多个政府部门内设机构时,应由政府部门信息安全主管领导担任服务外 a 包活动的主管领导,多个内设机构分工承担负责机构职责 b 当服务外包活动仅涉及单一政府部门内设机构时,应由该内设机构信息安全主管领导担任服务外包活动的主管领导,该内设机构承担服务外包负责机构职责 4.2.2主管领导在服务外包信息安全管理活动中,主管领导职责应包括在政府部门信息安全管理的总体框架下,批准本部门服务外包信息安全管理策略(见5.2.1); a b)授权并支持相应的负责机构具体管理服务外包支持对服务外包信息安全各环节的管理 1 定期评审并发布服务外包信息安全管理制度,保持与政府部门服务外包信息安全管理策略要求一致 2)提供并保障服务外包信息安全管理所需要的资源; 3)组织检查信息安全受控的信息技术服务执行情况 4)协调处置服务外包信息安全管理应急事件; 5)持续监督并促进服务外包信息安全管理改进完善承担服务外包信息安全管理的监管责任 4.2.3负责机构负责机构指具体承担服务外包活动的管理工作的内设机构,主要职责应包括对主管领导负责,将服务外包信息安全管理情况、信息技术服务信息安全执行情况及时报告主管领导; b)落实服务外包信息安全管理策略要求,组织制定并执行服务外包信息安全管理制度、服务外包合同服务外包信息安全管理计划等,具体职责应包括以下方面 1按照服务外包信息安全风险评估(见5.1)有关要求,开展服务外包信息安全风险评估 2)评估和推荐潜在的外包服务机构和服务人员; 3)落实服务外包基本信息安全控制措施(见附录A);
GB/T32926一2016 监督信息技术服务信息安全执行情况; 4) 5 落实服务外包信息安全管理应急处置措施 6提出服务外包信息安全管理的改进建议; 承担服务外包信息安全管理的直接责任 4.3服务外包信息安全管理模型本标准提出了政府部门信息技术服务外包信息安全管理模型(见图1) 该模型明确了政府部门在信息技术服务外包管理活动中的信息安全角色和责任,通过划分服务外包信息安全规划准备、机构和人员选择、运行监督和改进完成等管理阶段,针对性地提出规范性要求服务外但信息安全管理角色和职责主管领导负责机构外包服务机构规划准" 运行监督改进和完成和人员选择服务外包信息外包服务机构服务过程评估服务改进安全风险评估和人员风险评审计估服务外包信息阶段成果交付服务退出服务外包合同安全管理策略验证服务外包信息和制度安全管理计划信息安全保俯协议外包服务机构备案图1政府部门信息技术服务外包信息安全管理模型规划准备 5.1服务外包信息安全风险评估 5.1.1风险评估实施负责机构应采取以下措施,分析和管理服务外包活动可能引人的信息安全风险,确保政府部门重要敏感信息的保密性、完整性和可用性等,不受服务外包活动引人的信息安全威胁影响识别信息技术服务活动的信息安全威胁、发生可能性,以及它们对服务外包安全管理的影响 a 识别政府部门不同的负责机构,对服务外包话动管理可能产生的负面影响 b 评估已经存在的或计划的信息安全控制措施有效性; c d评估残余风险发生的可能性
GB/T32926一2016 5.1.2风险评估结果分析负责机构应 a)分析风险评估的结果,支持主管领导决策可接受的信息安全风险程度; b开展服务外包信息安全风险控制成本效益分析,决定是否且如何开展服务外包 1 当基本信息安全风险控制措施充分有效时,积极支持服务外包活动开展 2) 当信息安全风险控制成本较高时,服务外包活动应当重新被考虑; 3当信息安全风险不能得到有效的处置或当信息安全风险评估未完成时,服务外包活动不能够被执行 5.2服务外包信息安全管理策略和制度 5.2.1服务外包信息安全管理策略主管领导应 a 正式批准服务外包信息安全管理策略,以提供支持政府部门服务外包信息安全管理活动的依据,具体内容应包含以下方面: 服务外包信息安全管理的角色和责任服务外包信息安全管理的风险评估目标和控制要求; 2) 3)服务外包信息安全管理的运行监督作用和意义 4)服务外包信息安全管理的持续改进目标 5)与运行中的信息安全管理体系关系说明定期审查服务外包信息安全管理策略及其运行效果 5.2.2服务外包信息安全管理制度负责机构应依据服务外包信息安全管理策略,建立服务外包信息安全管理制度,具体应包含以下内容服务外包信息安全管理程序; 2) 服务外包信息安全角色操作规范; 服务外包信息安全风险控制措施和检查评估规范 37 4)服务外包信息安全文档记录规范 b)定期评审服务外包的信息安全管理制度,报主管领导批准后发布定期向主管领导上报服务外包信息安全管理实施情况机构和人员选择 6.1外包服务机构和人员风险评估负责机构应开展外包服务机构和人员风险评估,识别服务外包潜在的外包服务机构和服务人员; a b)选择外包服务机构评估考虑以下条件 1境内注册(港澳台地区除外); 由公民投资、法人投资或者国家投资的企事业单位(港澳台地区除外). 2 3)法人及主要业务、技术人员无犯罪记录; 4 固定的办公场所;
GB/T32926一2016 信息安全管理体系运行良好 5 6) 具备保障信息技术服务实施的技术,财务等能力; 对国家安全、社会秩序、公共利益不构成威胁; 7 8) 服务机构背景经过安全审查 9)服务机构资质 10)法律、行政法规规定的其他条件选择外包服务机构服务人员评估考虑以下条件，服务人员为公民 2)服务人员岗位角色,职责明确服务人员资格; 3 4)服务人员具备较强的信息安全意识; 5)服务人员背景和技术能力经过安全审查 6)服务人员需与外包服务机构签署长期劳动合同.并且签订信息安全保密协议法律、行政法规规定的其他条件 6.2服务外包合同 6.2.1信息安全条款负责机构应: 依据服务外包信息安全管理制度,制定信息安全条款,具体内容包含服务外包信息安全目标和衡量标准 1) 2) 服务外包信息安全保障范围和费用不得占有服务过程中产生的任何资产 3 4 不得以服务为由强制要求购买、使用指定产品不泄露政府部门重要敏感信息的信息安全承诺 5 服务外包过程中的知识产权归属; 明示外包服务机构在使用和处理数据过程中的所有权,边界控制等要求,确保数据使用和处理不出境; 明示外包服务机构接受信息主管部门监督检查的责任义务 8 9)服务外包意外终止或变更的罚则 b)在信息安全影响因素发生变更后,及时修订信息安全条款确保信息安全条款被外包服务机构及其服务人员所周知 c 6.2.2退出策略条款负责机构应 a)明确定义服务退出条件,具体包括以下内容当服务合同到期后的正常退出条件， 1 当服务发生错误且不能在一个有效时间内处理完成的退出条件 2 3与外包服务机构协商达成一致的合同撒销退出条件服务合同内容的修改或调整退出条件 4 b建立服务退出策略中有关信息安全的管理要求依据不同的服务退出条件,定义服务退出过程中及退出后的管理角色和职责; 2)保证信息技术服务信息安全质量在退出阶段能够维持服务合同中的信息安全管理要求
GB/T32926一2016 3在服务退出过程中,退还所有服务涉及的文档; 4) 保证在服务合同终止之后对服务内容和信息的保密性要求将政府部门的数据有效地消除或移除,确保数据不被其他组织或个人公开; 5 6)当服务失败或企业破产等突发情况发生时,保留继续雇佣服务人员开展服务工作的权利建立服务退出策略中有关信息安全的技术要求提供查看信息技术服务退出进展情况的技术手段和技术资源 2) 定义执行最终的信息交换或信息技术资源交换的技术程序将角色和责任 3)提供并行的信息技术服务,确保在最终的交接之前,能够解决退出过程中可能出现的技术问题; 要求外包服务机构备案信息技术服务手段和资源; 4 及时删除信息技术服务生成的子账户或子功能 5 备案信息技术服务产生的附加记录,包括培训和信息技术资源配置等 6 6.3服务外包信息安全管理计划负责机构应在签订服务外包合同后,制定并细化形成服务外包信息安全管理计划,具体可包括以下方面 a 信息安全阶段目标和里程碑计划 2) 信息安全执行阶段人员角色和责任分工计划 3)基本信息安全风险控制措施(见附录A)部署计划 4信息安全事件应急处置计划 5) 资源储备和调用计划 6)跟踪和记录信息技术服务安全执行的计划等提交服务外包信息安全管理计划,并经主管领导批准并执行 6.4信息安全保密协议负责机构应 a)与外包服务机构及其服务人员分别签订信息安全保密协议,明确信息安全保密责任; b在签订的信息安全保密协议中包含以下内容 1) 不得自行服务分包; 2 不得泄露、扩散、转让服务过程中获知的安全保密信息; 为防止潜在的泄密进一步扩大,所采取的控制措施; 37 4) 损失或泄露政府部门安全保密信息的罚则 5其他保密规定和标准的要求 6.5外包服务机构备案负责机构应在与外包服务机构签订服务合同和保密协议后,及时向电子政务信息安全主管部门申请备案， a 备案信息应包含以下内容 1 政府部门名称,负责机构管理人员及其联系方式:; 信息技术服务类型; 2) 3)外包服务机构名称,规模,服务能力资质、项目负责人和联系方式等; 4)服务外包信息安全管理计划中关于信息安全风险控制措施的说明等; 5)信息安全主管部门要求提交的其他信息安全备案信息
GB/I32926一2016 b在外包服务机构或信息技术服务内容发生变化时,及时调整备案信息运行监督服务过程评估审计负责机构应在信息技术服务过程中,定期评估服务外包活动信息安全执行情况,以确保信息技术服务的信息安全质量和连续性评估政府部门所面临的风险和威胁变化情况,必要时调整对外包服务机构提出的安全要求,具体评估内容包括 1 政府部门组织机构、人员管理、数据管理等随着信息技术服务执行而面临的新脆弱性 2)服务机构和人员安全性和可靠性; 3信息技术服务类型,服务方式、服务产品等要素的调整而造成的新威胁可能被威胁利用的脆弱性带来的新的信息安全影响信息安全事件的处置措施准备情况 5 定期对服务外包管理行为进行审计,以确保所采取信息安全控制措施的有效性 c 根据评估和审计结果,提出新的信息安全风险预防措施和改进措施,并报主管领导批准 7.2阶段成果交付验证负责机构应 a)验证信息技术服务阶段性交付成果,判断其是否满足服务外包信息安全管理计划有关阶段信息安全目标要求,具体应验证以下内容 1) 服务外包合同有关信息安全条款落实情况 2)服务人员授权和权限回收情况 3)信息技术服务内容、服务时间、服务方式等记录 4信息技术服务培训情况和记录及时分析信息技术服务交付验证过程中发现问题的原因,并报主管领导决策改进 b 改进和完成 8.1服务改进负责机构应 a)落实评估审计中提出的信息安全风险预防揩施和改进措施; b)处置信息技术服务交付验证中发现的问题,并要求外包服务机构整改在必要时,调整信息安全控制措施,并修订信息安全管理策略和管理制度 c) d)形成服务改进比对计划,以便确认服务改进效果; 分析信息安全事件发生的原因.以及提出避免类似事件重复发生的措施 e 8.2服务退出负责机构应及时终止评估审计中发现问题的信息技术服务; a b)按照服务合同中有关服务退出策略条款(见6.2.2)要求执行;
GB/T32926一2016 验证服务外包涉及的所有政府重要敏感信息、文档和资源被安全销毁,或安全地交接到政府部门手中; 将服务退出执行过程、结果及时报告主管领导
GB/T32926一2016 附录A 规范性附录服务外包基本信息安全控制 A.1信息安全组织负责机构应 a)建立能够评估外包服务机构服务安全实现和资源安全使用的组织,支持对服务外包各阶段潜在信息安全风险的识别和控制: b 授权该组织相应的审计权限,审计范围可延伸至服务分包机构; 在不具备足够的资源和人员时,选择一个声誉良好、独立性强、安全可控的外部组织,执行服务过程风险识别和控制 A.2通信和操作管理 A.2.1服务交付管理负责机构应当识别服务外包活动中的阶段交付目标,特别是对该目标作为服务合同中信息安全条款的描述 A.2.2备份策略负责机构应当储备服务外包备份,以应对自然灾害、战争等不可抗力带来的服务意外终止,具体包括以下方面 a 建立信息技术服务操作备份,存储相关的信息技术服务信息使用可靠的介质存储备份; b 定期进行备份数据备份服务的恢复测试,以确保备份恢复的有效性和完整性 c A.2.3 网络安全负责机构应: a)查看信息技术服务引人的网络配置评估控制外部远程接人政府部门网络的安全措施有效性; b e)评估是否需要增加额外的控制措施,以确保内部的网络不被攻击 d)严格限制未授权的网络接人 A.2.4介质管理负责机构应 a)控制服务外包相关的介质存储在安全的物理地点,以防止未授权的复制使用、移动和破坏; b确保正常的介质操作不被干扰,具体包括以下两个方面 1建立适当的操作规程,防止对数据、文档,电子介质等的未授权复制、使用、移动和破坏 2)监控介质操作过程,确保外包服务机构的介质使用和操作保持最小权限
GB/T32926一2016 A.2.5审计负责机构应 a)激活审计机制,并定期审计服务人员活动; b)确保审计记录包含以下参数: 事件发生的日期和时间; 2) 事件的类型; 活动的用户账户; 3 4)事件的成功和失败限定授予特权账户的服务人员范围,审计记录应该包含其操作过程定期复查审计记录,判断未授权的数据访同和服务尝试 d A.3人力资源安全负责机构应: a要求外包服务机构安排合同中承诺的、具备相应技能和经验的人员参与信息技术服务工作识别外包服务机构分配的人员技能和经验; b 定期培训服务人员,确保服务人员正确认识政府部门服务外包信息安全管理策略和管理制度; 在合同执行开始阶段,向服务人员重申信息安全保密要求; D 要求服务人员预先申报由于特殊原因无法继续执行信息技术服务的行为; 要求外包服务机构对服务人员进行信息安全教育; 识别服务人员未授权操作、恶意操作等可能威胁政府部门信息安全的活动; g h)验证外包服务机构制定的信息安全培训计划,确保服务人员具备相应的能力 A.4访问控制负责机构应 a)通过有效的信息系统授权或服务访问授权桃制,防止未授权的服务人员接人政府信息系统; b) 按照最小化原则.正式授权服务人员访问信息技术资源权限,并在不使用后立即注销 e)不允许私自远程接人信息技术资源; d)确保足够的信息安全控制措施被设计并应用于防止远程接人; 监控授权的访问过程并定期审查访问日志 e 监控未经授权的服务访问或数据修改行为,并记录日志 A.5物理和环境安全负责机构应建立物理和环境安全策略,及防护操作流程 a b将关健和重要敏感信息及信息处理设备控制在安全的区域里,且该区域具有清晰的安全边界标识; 将服务外包引人的开发、测试等操作设备,与政府部门原有的设备安全隔离 c d确保服务人员在执行安全控制区域内的信息技术服务活动时,始终处于有效地监管状态 10o
GB/T32926一2016 A.6服务获取、管理和保持信息技术服务活动和信息处理设备等带来的影响应当被安全的控制,负责机构应 a)设计,建立并维护服务过程管理策略; b及时保存服务过程管理文档、培训材料等; 恰当地管理信息技术服务变更 C d)及时发现由于信息技术服务涉及系统开发、测试和操作等引起的信息安全问题,并报告主管领导; 授权外包服务机构代表政府部门开展以下活动确保服务得到了正确的、必要的变更,例如打补丁,系统升级 2)及时通知政府部门信息技术服务变更的内容和方式 A.7信息安全事件管理负责机构应: 准备正式的信息安全事件管理流程预案,以便外包服务机构和服务人员遵循; a b)提供必要的信息安全事件处置培训文档， e)限定信息安全事件报告和处置时间 d)采取措施,及时弥补引起信息安全事件的脆弱性 A.8业务连续性管理负责机构应 a)调查并确定信息技术服务人员和数据的冗余级别,保证政府部门业务的持续性; b要求外包服务机构在服务过程中应用冗余的技术,特别是信息技术服务涉及的技术资源; e)建立并确保政务业务连续性保障计划,并进行恰当测试和验证 11
GB/T32926一2016 参考文献 [1 GB/T29264一2012信息技术服务分类与代码 12

政府部门信息技术服务外包信息安全管理规范GB/T32926-2016解读

前言

随着信息化时代的发展，越来越多的政府部门开始将信息技术服务外包给专业公司，以实现更高效、更优质的服务。然而，在服务外包的同时，信息安全问题也成为了一个不可忽视的风险。

什么是GB/T32926-2016？

GB/T32926-2016是由中国国家标准化管理委员会发布的《政府部门信息技术服务外包信息安全管理规范》。这个规范旨在明确政府部门信息技术服务外包过程中信息安全管理的要求与措施，以保障政府部门信息系统和数据的安全。

GB/T32926-2016的主要内容

GB/T32926-2016主要包括以下几个方面：

服务外包信息安全管理的基本原则和要求
服务外包信息安全管理体系的建立与实施
服务外包信息安全风险评估和控制
服务外包供应商的选择和管理
服务外包合同中关于信息安全的约定
服务外包过程中的信息安全事件处理

服务外包信息安全管理的基本原则和要求

GB/T32926-2016明确了服务外包信息安全管理的基本原则和要求，主要包括以下内容：

服务外包信息安全管理应当符合国家法律、法规和政策的要求。
服务外包信息安全管理应当以风险为导向，根据安全需求和风险等级制定相应的安全控制措施。
服务外包信息安全管理应当实现信息资产的保密性、完整性和可用性，防止未经授权的访问、使用、修改、泄露等行为。
服务外包信息安全管理应当建立健全的管理体系，确保信息安全工作的有效实施。

服务外包信息安全管理体系的建立与实施

为确保服务外包信息安全管理工作的有效实施，GB/T32926-2016要求政府部门应该建立健全的服务外包信息安全管理体系，并按照规范中的要求进行实施和持续改进。

服务外包信息安全风险评估和控制

服务外包信息安全风险评估和控制是服务外包信息安全管理的重要组成部分。政府部门应当对服务外包过程中涉及的信息安全风险进行评估，并采取相应的控制措施来降低风险。

服务外包供应商的选择和管理

政府部门在选择服务外包供应商时，应当充分考虑供应商的信息安全管理能力，并在选择过程中对其进行评估。同时，在合同中明确服务外包供应商的信息安全责任和义务，并进行有效的监督和管理。

服务外包合同中关于信息安全的约定

服务外包合同中应当明确服务外包双方在信息安全方面的责任和义务，包括服务外包供应商的信息安全保障措施和政府部门的信息安全监督要求等。

服务外包过程中的信息安全事件处理

服务外包过程中可能发生各种信息安全事件，政府部门应当建立健全的信息安全事件处理机制，及时、有效地处理各类信息安全事件，并采取措施防止类似事件再次发生。

总结

GB/T32926-2016为政府部门在信息技术服务外包过程中提供了一系列具体操作的信息安全管理规范。政府部门应当按照规范要求，建立健全的信息安全管理体系，确保服务外包过程中信息安全得到有效保障。