信息技術(shù)外包服務(wù)安全管理制度

信息技術(shù)外包服務(wù)安全管理制度信息技術(shù)外包服務(wù)安全管理制度一、前言隨著信息技術(shù)的進(jìn)展，越來(lái)越多的公司選擇將信息技術(shù)外包給專業(yè)的服務(wù)商，以便降低成本并獲得更好的技術(shù)支持和服務(wù)。但同時(shí)，信息技術(shù)外包也給用戶的信息安全帶來(lái)了不小的威逼。因此，信息技術(shù)外包服務(wù)的安全管理變得至關(guān)緊要。過(guò)去，在外部服務(wù)供給商的管理和監(jiān)督方面缺乏統(tǒng)一的引導(dǎo)和規(guī)范，導(dǎo)致用戶常常無(wú)法把握信息技術(shù)外包服務(wù)的安全情況，這樣不利于保護(hù)用戶的數(shù)據(jù)安全。為此本文旨在建立一套完整的信息技術(shù)外包服務(wù)安全管理制度，從供應(yīng)商與客戶簽署合同開(kāi)始對(duì)服務(wù)進(jìn)行全周候安全監(jiān)管，確保供給安全牢靠的信息技術(shù)外包服務(wù)。二、安全管理制度的引導(dǎo)思想1、風(fēng)險(xiǎn)管理模式。建立完整的服務(wù)管理和風(fēng)險(xiǎn)掌控體系，實(shí)施定期的安全復(fù)查、漏洞探測(cè)和應(yīng)急預(yù)案等，保護(hù)信息安全和業(yè)務(wù)連續(xù)性。2、持續(xù)改進(jìn)。通過(guò)不斷的管理績(jī)效評(píng)估和基于風(fēng)險(xiǎn)的管理方法，來(lái)保證安全風(fēng)險(xiǎn)低于風(fēng)險(xiǎn)容忍度，并隨著需求的變更和新風(fēng)險(xiǎn)的顯現(xiàn)持續(xù)完善服務(wù)。3、整體管理模式。建立從供應(yīng)鏈環(huán)節(jié)、系統(tǒng)、數(shù)據(jù)、物理環(huán)境、人員、流程等各種資源全生命周期的管理模式，實(shí)現(xiàn)系統(tǒng)全生命周期的安全管理。4、強(qiáng)化服務(wù)供應(yīng)商的責(zé)任意識(shí)。建立服務(wù)供給商與用戶之間的信任關(guān)系，確保供應(yīng)商承當(dāng)其責(zé)任及義務(wù)，提高用戶對(duì)供應(yīng)商的信任度，從而使服務(wù)合同實(shí)現(xiàn)角色清楚、權(quán)限明確。三、建立信息技術(shù)外包服務(wù)的安全管理流程1、信息技術(shù)外包服務(wù)的安全管理流程包括：需求分析和規(guī)劃、服務(wù)供給商的審查和選擇、安全要求的定義、性能和安全測(cè)試、安全服務(wù)實(shí)施、管理和監(jiān)督。2、需求分析和規(guī)劃。在進(jìn)行信息技術(shù)外包服務(wù)前，用戶需要對(duì)本身的需求進(jìn)行分析和規(guī)劃，確定選用外包服務(wù)的目的、范圍和要求等，以便為后續(xù)服務(wù)供給商的篩選和選擇做好準(zhǔn)備。3、服務(wù)供給商的審查和選擇。在確定了服務(wù)需求后，用戶應(yīng)依據(jù)需要進(jìn)行供應(yīng)商的調(diào)查和篩選，供給商必需為響應(yīng)用戶需求的本領(lǐng)、管理規(guī)范、傳統(tǒng)聲譽(yù)以及安全管理方面的本領(lǐng)等因素進(jìn)行審查和評(píng)估。4、安全要求的定義。在確定了服務(wù)供給商之后，用戶應(yīng)明確本身和服務(wù)供給商在安全管理方面的需求和責(zé)任，以確保實(shí)現(xiàn)安全服務(wù)和合規(guī)性要求。5、性能和安全測(cè)試。服務(wù)供給商應(yīng)在為用戶供給服務(wù)前，定期開(kāi)展安全評(píng)估活動(dòng)和漏洞探測(cè)等工作，以確保系統(tǒng)的功能和安全，并將測(cè)試結(jié)果與用戶共享，供其參考。6、安全服務(wù)實(shí)施。在確定了安全要求和性能測(cè)試之后，服務(wù)供給商應(yīng)開(kāi)始進(jìn)行安全服務(wù)的實(shí)施工作，包括安全管理和技術(shù)層面的掌控實(shí)施，實(shí)施計(jì)劃必需針對(duì)全部服務(wù)層次進(jìn)行安全服務(wù)保障。7、管理和監(jiān)督。在服務(wù)供給商完成全部服務(wù)工作后，用戶需要對(duì)服務(wù)進(jìn)行全面的管理和監(jiān)督，包括對(duì)安全管理制度的執(zhí)行、日常的安全掌控和風(fēng)險(xiǎn)管理等方面的監(jiān)管和檢查。四、信息技術(shù)外包服務(wù)的安全管理要求和措施1、服務(wù)供給商必需與客戶簽署書(shū)面安全協(xié)議。在雙方簽署正式的SerivceProvideAgreement（服務(wù)供給商協(xié)議）之前，必需明確安全管理制度的相關(guān)要求、監(jiān)察和監(jiān)管等方面內(nèi)容并記錄其實(shí)在細(xì)節(jié)，以確保公平合理的服務(wù)合作條款。2、服務(wù)供給商必需與客戶進(jìn)行安全計(jì)劃和安全審查。為確保服務(wù)供給商供給的安全服務(wù)符合合同的要求，服務(wù)供給商應(yīng)依據(jù)客戶需求訂立安全計(jì)劃，并依據(jù)安全計(jì)劃訂立相應(yīng)的安全策略和程序。3、服務(wù)供給商必需執(zhí)行相應(yīng)的安全方針和系統(tǒng)掌控。服務(wù)供給商應(yīng)依照對(duì)應(yīng)安全方針和掌控標(biāo)準(zhǔn)訂立相關(guān)系統(tǒng)掌控和流程，確保服務(wù)供給商和供給商服務(wù)都受到充足的安全保障。4、服務(wù)供給商要實(shí)施安全管理掌控、保障和監(jiān)督。為確保服務(wù)質(zhì)量和安全性，服務(wù)供給商應(yīng)定期進(jìn)行相應(yīng)的安全評(píng)估、漏洞發(fā)覺(jué)等檢查工作，發(fā)覺(jué)問(wèn)題適時(shí)處理，并對(duì)發(fā)覺(jué)的問(wèn)題進(jìn)行記錄、跟蹤和進(jìn)行整改措施。五、總結(jié)信息技術(shù)外包服務(wù)安全管理制度在保障用戶信息及數(shù)據(jù)安全、提高業(yè)務(wù)可持續(xù)性、充足信息保密和合規(guī)性等方面具有極其緊要的意義。在建立安全管理制度的基礎(chǔ)上，必需實(shí)施強(qiáng)制性的安全檢查和監(jiān)督，以確保服務(wù)供給商供給的服務(wù)符合安全