企業(yè)安全服務(wù)外包管理規(guī)范

1、企業(yè)安全服務(wù)外包管理規(guī)范目 錄 TOC o 1-3 h z u HYPERLINK l _Toc64979810 1引言 PAGEREF _Toc64979810 h 3 HYPERLINK l _Toc64979811 2規(guī)范性引用文件 PAGEREF _Toc64979811 h 3 HYPERLINK l _Toc64979812 3細(xì)則 PAGEREF _Toc64979812 h 3 HYPERLINK l _Toc64979813 4附則 PAGEREF _Toc64979813 h 41引言1.1 為了推動信息通信分公司（以下簡稱“公司”）信息系統(tǒng)安全服務(wù)外包管理的規(guī)范化、程序化

2、、制度化，根據(jù)信息安全等級保護(hù)基本要求等相關(guān)國家規(guī)定，結(jié)合公司實(shí)際，制定本制度。1.2 本制度適用于公司的安全服務(wù)外包管理工作。2規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡注明日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)（不包括勘誤、通知單），然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)安全保障評估框架（GB/T20274.1-2006）信息安全技術(shù)信息系統(tǒng)安全管理要求（GB/T20269-2006）信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求（GBT 22239-20

3、08）本標(biāo)準(zhǔn)未涉及的管理內(nèi)容，參照國家、電力行業(yè)、南方電網(wǎng)公司的有關(guān)標(biāo)準(zhǔn)和規(guī)定執(zhí)行。3細(xì)則3.1 公司生技部是安全服務(wù)外包管理的主管責(zé)任部門。3.2 責(zé)任部門作為信息安全服務(wù)外包管理的實(shí)施機(jī)構(gòu)，其實(shí)施服務(wù)外包管理主要目的是：確保安全服務(wù)產(chǎn)品的質(zhì)量；確保外包服務(wù)風(fēng)險的可控性；確保外包服務(wù)的政策符合性；3.3 應(yīng)選擇具有相應(yīng)資質(zhì)的公司或機(jī)構(gòu)作為外包服務(wù)商，做到可信可控和可用。3.4 外包服務(wù)人員應(yīng)遵循已頒布的第三方人員管理規(guī)定，同時應(yīng)明確規(guī)定其資質(zhì)要求、操作規(guī)范、保密協(xié)議等。3.5 服務(wù)外包管理本質(zhì)上是解決服務(wù)的量化問題和服務(wù)的評價問題，這主要依賴于服務(wù)計劃管理和服務(wù)質(zhì)量管理。其中服務(wù)計劃管理要求：整個外包內(nèi)容細(xì)致化、量化；明確提出服務(wù)商該做些什么；以上內(nèi)容須寫進(jìn)合同。3.6服務(wù)質(zhì)量管理要求：將各類服務(wù)指標(biāo)明確化；指標(biāo)需