《信息安全技術(shù) 政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范》編制說明

1任務(wù)來源

2012年，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）主任辦公會(huì)討論通過，由北京

信息安全測(cè)評(píng)中心研究制定《信息安全技術(shù)政府部門信息技術(shù)外包服務(wù)信息安全管理規(guī)范》

國家標(biāo)準(zhǔn)，國標(biāo)計(jì)劃編制號(hào)：20130343-T-469。標(biāo)準(zhǔn)編制過程中，根據(jù)標(biāo)準(zhǔn)提出單位及專家

評(píng)審會(huì)相關(guān)意見，將標(biāo)準(zhǔn)名稱調(diào)整為《信息安全技術(shù)政府部門信息技術(shù)服務(wù)外包信息安全

管理規(guī)范》。

該項(xiàng)目由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口，由北京信息安全測(cè)評(píng)中心、工業(yè)和信息

化部電子科學(xué)技術(shù)情報(bào)研究所、信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心、中國信息安全研究院有限公司

等單位負(fù)責(zé)研制。

本標(biāo)準(zhǔn)主要起草人：劉海峰、錢秀檳、梁博、趙章界、劉迎、霍珊珊、張曉梅、王春佳、

李晨旸、張恒、張益、耿貴寧等。

2研究目標(biāo)

隨著經(jīng)濟(jì)社會(huì)的快速發(fā)展，政府部門在打造和建設(shè)服務(wù)型政府、不斷提高為人民服務(wù)能

力和水平的過程中，越來越多地采用和依賴信息化手段，并為此開展了與信息化相關(guān)的信息

技術(shù)咨詢、信息系統(tǒng)集成、運(yùn)行維護(hù)、安全測(cè)評(píng)等服務(wù)外包工作。大量政務(wù)信息化工作的外

包，既解決了政府行政資源有限和公共服務(wù)效能要求日益提高之間的矛盾，也提高了政府部

門信息化工程的質(zhì)量。但政府部門在享受信息技術(shù)服務(wù)外包帶來便捷的同時(shí)，也面臨外包服

務(wù)機(jī)構(gòu)背景復(fù)雜、服務(wù)人員流動(dòng)性大、內(nèi)部管理不規(guī)范等問題帶來的信息安全風(fēng)險(xiǎn)，如果缺

乏對(duì)服務(wù)外包活動(dòng)信息安全的標(biāo)準(zhǔn)化管理，將對(duì)政府部門行政辦公、人民群眾生產(chǎn)生活，乃

至國家安全帶來巨大損失。本標(biāo)準(zhǔn)通過對(duì)政府部門服務(wù)外包過程進(jìn)行梳理，建立了政府部門

信息技術(shù)服務(wù)外包信息安全管理模型，在明確了服務(wù)外包信息安全管理角色和責(zé)任的同時(shí)，

將管理活動(dòng)劃分為規(guī)劃準(zhǔn)備、機(jī)構(gòu)和人員選擇、運(yùn)行監(jiān)督、改進(jìn)完成四個(gè)階段，分別提出信

息安全管理規(guī)范，為政府部門信息技術(shù)服務(wù)外包的安全管理提供參考。

政府部門在信息技術(shù)服務(wù)外包的信息安全管理過程中，還應(yīng)基于本標(biāo)準(zhǔn)提出的規(guī)范要求

和基本控制措施，結(jié)合自身服務(wù)外包項(xiàng)目實(shí)際，提出與組織機(jī)構(gòu)、人員管理、數(shù)據(jù)管理、信

息技術(shù)服務(wù)類型等相適應(yīng)的控制措施，分階段、有側(cè)重地對(duì)服務(wù)外包活動(dòng)實(shí)施管理，以便信

息安全管理規(guī)范的要求能夠切實(shí)指導(dǎo)不同層級(jí)政府部門實(shí)際的服務(wù)外包信息安全管理工作，

提升其服務(wù)外包信息安全水平。

3編制原則

承接關(guān)系明確：本標(biāo)準(zhǔn)作為上位標(biāo)準(zhǔn)《信息安全技術(shù)政府部門信息安全管理基本要求》

（GB/T29245-2012）在信息技術(shù)服務(wù)外包領(lǐng)域的具體細(xì)化而提出，是對(duì)政府部門信息安

全管理類標(biāo)準(zhǔn)體系的有力補(bǔ)充，定位服務(wù)外包操作層面的管理活動(dòng)。

科學(xué)建模：本標(biāo)準(zhǔn)建立了政府部門信息技術(shù)服務(wù)外包的信息安全管理模型，明確了政府

部門在服務(wù)外包信息安全管理中的角色和責(zé)任，明示了服務(wù)外包只是信息技術(shù)服務(wù)活動(dòng)

的外包，不是信息安全管理責(zé)任的外包。同時(shí)，標(biāo)準(zhǔn)模型還依據(jù)服務(wù)外包信息安全管理

生命周期的特點(diǎn)進(jìn)行劃分，分階段地提出信息安全管理要求。

指導(dǎo)性強(qiáng)：本標(biāo)準(zhǔn)提出的服務(wù)外包基本信息安全控制措施提供了政府部門在服務(wù)外包具

體過程中的風(fēng)險(xiǎn)控制方法，各單位也可根據(jù)自身組織機(jī)構(gòu)、人員管理、數(shù)據(jù)管理、信息

技術(shù)服務(wù)類型等特點(diǎn)，制定更具指導(dǎo)性的信息安全控制措施。

適度前瞻：對(duì)于服務(wù)備案等信息安全條款要求，各地區(qū)電子政務(wù)信息安全主管部門有要

求的，應(yīng)按照標(biāo)準(zhǔn)進(jìn)行備案管理。對(duì)于部分地區(qū)電子政務(wù)信息安全主管部門無此類要求

的，執(zhí)行此條款的政府部門可主動(dòng)申請(qǐng)向信息安全主管部門進(jìn)行備案。

4主要工作過程

《信息安全技術(shù)政府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范》（以下簡稱“規(guī)范”）

的制定工作過程大體分以下階段：

1.調(diào)查研究階段（2013.1~2013.3）：在2011年完成《政府部門信息技術(shù)服務(wù)外包信息

安全管理要求》課題研究成果的基礎(chǔ)上，進(jìn)一步收集研究國際、國內(nèi)有關(guān)政府部門信息技術(shù)

服務(wù)外包的成功管理方法、管理案例，總結(jié)分析適合我國政府部門現(xiàn)狀的信息安全管理控制

措施，并提出基于全流程安全管理的編制思路。

2.大綱編制階段（2013.4~2013.5）：在前期調(diào)研基礎(chǔ)上，課題組研究并提出了基于服務(wù)

外包項(xiàng)目實(shí)施生命流程的標(biāo)準(zhǔn)大綱編制思路，將服務(wù)外包過程具體劃分為規(guī)劃、獲取、實(shí)施、

保障四個(gè)階段。2013年5月23日，課題組召開專家征求意見會(huì)，對(duì)基于全生命流程的大綱

編制思路進(jìn)行了研究討論。專家會(huì)認(rèn)為，信息安全管理規(guī)范應(yīng)從服務(wù)外包的安全控制層面入

手，形成體系化的生命流程控制模型，具體可借鑒美國NISTSP800-53標(biāo)準(zhǔn)提出的控制點(diǎn)，

輔以信息安全管理體系模型作為本標(biāo)準(zhǔn)的框架。

3.草案編寫階段（2013.6~2014.1）：根據(jù)專家意見，課題組展開了草案編制的工作，具

體包括以下方面：

（1）課題組內(nèi)部分工，對(duì)服務(wù)外包信息安全管理不同環(huán)節(jié)的管理措施進(jìn)行研究，修改

并完善標(biāo)準(zhǔn)規(guī)范。2013年6月14日，課題組在昌平區(qū)封閉，具體編制草案初稿。

（2）第一輪小范圍征求專家意見。2013年6月24日，課題組赴北京大學(xué)王立福教授

處，當(dāng)面征求對(duì)草案適用范圍、術(shù)語和定義等標(biāo)準(zhǔn)框架性問題的意見，并最終確立以服務(wù)外

包項(xiàng)目生命周期為主線，輔以改進(jìn)的PDCA流程圖進(jìn)行安全管理控制的思路。王立福教授進(jìn)

一步強(qiáng)調(diào)標(biāo)準(zhǔn)語言、標(biāo)準(zhǔn)控制措施、標(biāo)準(zhǔn)附錄等內(nèi)容的重要性和嚴(yán)謹(jǐn)性。2013年7月12日，

課題組赴北京市經(jīng)濟(jì)和信息化委員會(huì)，當(dāng)面征求委信息安全協(xié)調(diào)處賈力處長意見建議，賈力

專家認(rèn)為標(biāo)準(zhǔn)應(yīng)增強(qiáng)服務(wù)實(shí)施過程中的監(jiān)督控制要素，為政府部門加強(qiáng)信息技術(shù)服務(wù)外包安

全管理提供規(guī)范性支持。2013年7月26日，課題組赴神州數(shù)碼系統(tǒng)集成服務(wù)有限公司，聽

取其從自身服務(wù)實(shí)踐的角度，對(duì)服務(wù)外包標(biāo)準(zhǔn)條款的意見建議。

（3）課題組組織專項(xiàng)討論。根據(jù)專家意見，課題組先后在北京信息安全測(cè)評(píng)中心、中

國電子信息產(chǎn)業(yè)發(fā)展研究院信息安全研究院等地組織10余次專項(xiàng)討論，對(duì)標(biāo)準(zhǔn)的結(jié)構(gòu)、語

言、邏輯層級(jí)等逐一進(jìn)行了梳理，并形成了新版的標(biāo)準(zhǔn)草案。

（4）第二輪小范圍征求專家意見。2013年8月20日，課題組征求趙戰(zhàn)生專家對(duì)新版

標(biāo)準(zhǔn)草案的意見建議。趙專家認(rèn)為，標(biāo)準(zhǔn)提出的PDCA模型適合對(duì)服務(wù)外包機(jī)構(gòu)的信息安全

管理進(jìn)行約束，但需要引入服務(wù)外包的安全管理期望和服務(wù)效果產(chǎn)出等環(huán)節(jié)。另外，趙專家

還提出，標(biāo)準(zhǔn)應(yīng)增加原則性、框架性的適用說明，幫助政府部門更好地應(yīng)用標(biāo)準(zhǔn)，指導(dǎo)工作。

2013年8月27日，課題組赴工業(yè)和信息化部信息安全協(xié)調(diào)司征求李愛東處長意見，李專家

認(rèn)為標(biāo)準(zhǔn)規(guī)范了服務(wù)外包的信息安全保密協(xié)議，有助于減少政府部門管理和使用服務(wù)外包的

信息泄露風(fēng)險(xiǎn)，但應(yīng)明確標(biāo)準(zhǔn)與通用的信息安全管理體系的聯(lián)系與區(qū)別。2013年8月27日，

課題組赴北京大學(xué)王立福教授處征求意見，王專家認(rèn)為目前的標(biāo)準(zhǔn)規(guī)范內(nèi)容部分混淆了管理

和技術(shù)控制兩條線，需要進(jìn)一步梳理，同時(shí)政府部門的工作更多側(cè)重于規(guī)劃階段的安全設(shè)計(jì)，

故服務(wù)實(shí)現(xiàn)過程中不應(yīng)體現(xiàn)外包服務(wù)機(jī)構(gòu)的工作內(nèi)容，對(duì)外包服務(wù)機(jī)構(gòu)的工作要求應(yīng)納入管

理規(guī)范的規(guī)劃階段。王專家還提出，我們的標(biāo)準(zhǔn)應(yīng)進(jìn)一步明確適用的邊界條件，以便指導(dǎo)政

府部門針對(duì)性地使用。

（5）安標(biāo)委第一次專家評(píng)審會(huì)。2013年9月11日，課題組在安標(biāo)委秘書處組織下，

向王立福、吳源俊、趙戰(zhàn)生、李愛東、崔書昆、曲成義和閔京華等七位專家對(duì)標(biāo)準(zhǔn)的編制工

作及標(biāo)準(zhǔn)內(nèi)容進(jìn)行了匯報(bào)。各位專家對(duì)標(biāo)準(zhǔn)從總體思路、語言文字、適用范圍等方面提出了

大量寶貴意見（詳見專家意見處理表）。

（6）課題組再次組織進(jìn)行專項(xiàng)討論。根據(jù)專家意見，課題組明確了標(biāo)準(zhǔn)定位，并先后

在北京信息安全測(cè)評(píng)中心集中封閉3次，修改并吸收專家意見。

（7）第三輪小范圍征求專家意見。2013年10月9日，課題組就修改后的標(biāo)準(zhǔn)征求部

分企業(yè)和政府使用部門意見，其中，來自企業(yè)的專家更多對(duì)標(biāo)準(zhǔn)中規(guī)范企業(yè)的要求提出建議，

來自政府部門的專家側(cè)重標(biāo)準(zhǔn)的可行性和復(fù)雜性提出建議。2013年10月16日，課題組邀

請(qǐng)閔京華專家對(duì)標(biāo)準(zhǔn)提意見，閔專家提出可按照服務(wù)外包項(xiàng)目生命周期的不同階段，分別考

慮相應(yīng)的管理要求，課題組采納并將獲取和實(shí)施管理分別提出安全管理要求。2013年11月

1日，課題組邀請(qǐng)王立福教授對(duì)標(biāo)準(zhǔn)最新框架進(jìn)行確認(rèn)，王老師提出標(biāo)準(zhǔn)按照規(guī)劃、實(shí)現(xiàn)、

檢查和改進(jìn)的過程寫，思路明確，但應(yīng)進(jìn)一步明確不同過程的具體內(nèi)容，課題組認(rèn)為具體的

管理計(jì)劃部分，應(yīng)該納入實(shí)現(xiàn)過程，是管理要求在實(shí)現(xiàn)過程的具體體現(xiàn)，重新組織了文稿架

構(gòu)。

（8）安標(biāo)委第二次專家評(píng)審會(huì)。2013年11月5日，邀請(qǐng)王立福、閔京華、吳源俊、

趙戰(zhàn)生等專家，對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行評(píng)審。專家肯定了標(biāo)準(zhǔn)遵循信息安全管理規(guī)劃、運(yùn)行、檢查、

改進(jìn)的編制思路，重點(diǎn)提出應(yīng)將服務(wù)外包的安全控制納入標(biāo)準(zhǔn)，以便更好的指導(dǎo)標(biāo)準(zhǔn)應(yīng)用。

專家會(huì)還對(duì)標(biāo)準(zhǔn)用于管理政府部門的信息安全管理行為還是政府部門外包服務(wù)機(jī)構(gòu)的信息

安全服務(wù)行為進(jìn)行了講解。

（9）課題組針對(duì)專家會(huì)提出的意見建議，結(jié)合新版的ISO27001國際標(biāo)準(zhǔn)、NIST800-53

標(biāo)準(zhǔn)以及ISO27036有關(guān)服務(wù)外包的信息安全管理要求，進(jìn)一步細(xì)化了標(biāo)準(zhǔn)的結(jié)構(gòu)框架，增

加了管理外包服務(wù)信息安全風(fēng)險(xiǎn)的控制措施，特別是在信息安全準(zhǔn)備、信息安全規(guī)劃和實(shí)現(xiàn)、

信息安全監(jiān)督、信息安全改進(jìn)和完成等生命周期管理階段，強(qiáng)調(diào)服務(wù)外包合同以及相應(yīng)的服

務(wù)外包信息安全管理計(jì)劃對(duì)安全管理工作的作用和意義。

（10）第四輪小范圍征求專家意見。2014年1月14日，根據(jù)新修訂的標(biāo)準(zhǔn)草案征求王

立福等專家意見，增加信息安全規(guī)劃準(zhǔn)備作為對(duì)政府部門自身服務(wù)外包需求分析的管理活

動(dòng)，并形成草案最新版。2014年1月20日，編制組前往工業(yè)和信息化部、北京市經(jīng)濟(jì)和信

息化委等政府部門，聽取政府部門用戶對(duì)標(biāo)準(zhǔn)文本的意見建議，在提交安標(biāo)委評(píng)審前，對(duì)部

分政府部門角色和責(zé)任進(jìn)行了修訂完善。

（11）安標(biāo)委第三次專家評(píng)審會(huì)。2014年1月22日，安標(biāo)委WG72014年1月22日，

全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG7工作組在北京組織召開了國家標(biāo)準(zhǔn)《信息安全技術(shù)政

府部門信息技術(shù)服務(wù)外包信息安全管理規(guī)范》（草案）專家審查會(huì)。專家組聽取了編制組關(guān)

于標(biāo)準(zhǔn)草案編制過程的匯報(bào)，審閱了標(biāo)準(zhǔn)草案文本，進(jìn)行了質(zhì)詢，經(jīng)討論認(rèn)為：

該標(biāo)準(zhǔn)草案建立了政府部門信息技術(shù)服務(wù)外包信息安全管理模型，提出了政府部門信息

技術(shù)服務(wù)外包信息安全管理生命周期各階段活動(dòng)的管理要求。該標(biāo)準(zhǔn)草案適用于政府部門采

購和使用信息技術(shù)服務(wù)，對(duì)各級(jí)政府部門信息技術(shù)服務(wù)外包活動(dòng)的信息安全管理具有指導(dǎo)意

義。該標(biāo)準(zhǔn)草案編寫格式基本符合GB/T1.1-2009的要求。

（12）安標(biāo)委WG7工作組全體成員單位組織征求意見。2014年3月18日，在北京應(yīng)

物中心會(huì)議室，WG7工作組會(huì)議討論并通過了標(biāo)準(zhǔn)草案文本。會(huì)后，編制組進(jìn)一步根據(jù)會(huì)

上各成員單位意見對(duì)標(biāo)準(zhǔn)草案文本進(jìn)行了修改完善，形成標(biāo)準(zhǔn)征求意見稿文本。

5標(biāo)準(zhǔn)主要內(nèi)容

1范圍

本標(biāo)準(zhǔn)建立了政府部門信息技術(shù)服務(wù)外包信息安全管理模型，提出了政府部門信息技術(shù)

服務(wù)外包信息安全管理生命周期各階段活動(dòng)的管理要求。

本標(biāo)準(zhǔn)適用于政府部門采購和使用信息技術(shù)服務(wù)。

政府部門開展涉密信息技術(shù)服務(wù)外包工作，應(yīng)參照國家保密局相關(guān)保密規(guī)定和標(biāo)準(zhǔn)執(zhí)

行，不在本標(biāo)準(zhǔn)范圍內(nèi)。

2服務(wù)外包信息安全管理模型

本標(biāo)準(zhǔn)提出的政府部門信息技術(shù)服務(wù)外包信息安全管理模型，是政府部門在對(duì)自身“服

務(wù)外包”行為風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，對(duì)外包服務(wù)機(jī)構(gòu)具體“服務(wù)”行為進(jìn)行信息安全管理的

模型。該模型明確了政府部門在信息技術(shù)服務(wù)外包管理活動(dòng)中的信息安全角色和責(zé)任，通過

劃分服務(wù)外包信息安全規(guī)劃準(zhǔn)備、機(jī)構(gòu)和人員選擇、運(yùn)行監(jiān)督和改進(jìn)完成等管理階段，針對(duì)

性地提出規(guī)范性要求。具體的政府部門信息技術(shù)服務(wù)外包信息安全管理模型見下圖：

服務(wù)外包信息安全管理角色和職責(zé)

主管領(lǐng)導(dǎo)

負(fù)責(zé)機(jī)構(gòu)

機(jī)構(gòu)和人員

規(guī)劃準(zhǔn)備運(yùn)行監(jiān)督改進(jìn)和完成

選擇

服務(wù)外包信息外包服務(wù)機(jī)構(gòu)服務(wù)過程評(píng)估服務(wù)改進(jìn)

安全風(fēng)險(xiǎn)評(píng)估和人員風(fēng)險(xiǎn)評(píng)審計(jì)

估

服務(wù)外包信息階段成果交付服務(wù)退出

服務(wù)外包合同

安全管理策略驗(yàn)證

服務(wù)外包信息

和制度

安全管理計(jì)劃

信息安全保密

協(xié)議

外包服務(wù)機(jī)構(gòu)

備案

圖1：政府部門信息技術(shù)服務(wù)外包信息安全管理模型

3標(biāo)準(zhǔn)內(nèi)容目錄

前言

引言

1范圍

2規(guī)范性引用文件

3術(shù)語和定義

4綜述

4.1服務(wù)外包信息安全管理基本原則

4.2服務(wù)外包信息安全管理角色和職責(zé)

4.2.1管理角色

4.2.2主管領(lǐng)導(dǎo)

4.2.3負(fù)責(zé)機(jī)構(gòu)

4.3服務(wù)外包信息安