信息技术外包服务安全管理制度

信息技术外包服务安全管理制度信息技术外包服务安全管理制度一、前言随着信息技术的进展，越来越多的公司选择将信息技术外包给专业的服务商，以便降低成本并获得更好的技术支持和服务。但同时，信息技术外包也给用户的信息安全带来了不小的威逼。因此，信息技术外包服务的安全管理变得至关紧要。过去，在外部服务供给商的管理和监督方面缺乏统一的引导和规范，导致用户常常无法把握信息技术外包服务的安全情况，这样不利于保护用户的数据安全。为此本文旨在建立一套完整的信息技术外包服务安全管理制度，从供应商与客户签署合同开始对服务进行全周候安全监管，确保供给安全牢靠的信息技术外包服务。二、安全管理制度的引导思想1、风险管理模式。建立完整的服务管理和风险掌控体系，实施定期的安全复查、漏洞探测和应急预案等，保护信息安全和业务连续性。2、持续改进。通过不断的管理绩效评估和基于风险的管理方法，来保证安全风险低于风险容忍度，并随着需求的变更和新风险的显现持续完善服务。3、整体管理模式。建立从供应链环节、系统、数据、物理环境、人员、流程等各种资源全生命周期的管理模式，实现系统全生命周期的安全管理。4、强化服务供应商的责任意识。建立服务供给商与用户之间的信任关系，确保供应商承当其责任及义务，提高用户对供应商的信任度，从而使服务合同实现角色清楚、权限明确。三、建立信息技术外包服务的安全管理流程1、信息技术外包服务的安全管理流程包括：需求分析和规划、服务供给商的审查和选择、安全要求的定义、性能和安全测试、安全服务实施、管理和监督。2、需求分析和规划。在进行信息技术外包服务前，用户需要对本身的需求进行分析和规划，确定选用外包服务的目的、范围和要求等，以便为后续服务供给商的筛选和选择做好准备。3、服务供给商的审查和选择。在确定了服务需求后，用户应依据需要进行供应商的调查和筛选，供给商必需为响应用户需求的本领、管理规范、传统声誉以及安全管理方面的本领等因素进行审查和评估。4、安全要求的定义。在确定了服务供给商之后，用户应明确本身和服务供给商在安全管理方面的需求和责任，以确保实现安全服务和合规性要求。5、性能和安全测试。服务供给商应在为用户供给服务前，定期开展安全评估活动和漏洞探测等工作，以确保系统的功能和安全，并将测试结果与用户共享，供其参考。6、安全服务实施。在确定了安全要求和性能测试之后，服务供给商应开始进行安全服务的实施工作，包括安全管理和技术层面的掌控实施，实施计划必需针对全部服务层次进行安全服务保障。7、管理和监督。在服务供给商完成全部服务工作后，用户需要对服务进行全面的管理和监督，包括对安全管理制度的执行、日常的安全掌控和风险管理等方面的监管和检查。四、信息技术外包服务的安全管理要求和措施1、服务供给商必需与客户签署书面安全协议。在双方签署正式的SerivceProvideAgreement（服务供给商协议）之前，必需明确安全管理制度的相关要求、监察和监管等方面内容并记录其实在细节，以确保公平合理的服务合作条款。2、服务供给商必需与客户进行安全计划和安全审查。为确保服务供给商供给的安全服务符合合同的要求，服务供给商应依据客户需求订立安全计划，并依据安全计划订立相应的安全策略和程序。3、服务供给商必需执行相应的安全方针和系统掌控。服务供给商应依照对应安全方针和掌控标准订立相关系统掌控和流程，确保服务供给商和供给商服务都受到充足的安全保障。4、服务供给商要实施安全管理掌控、保障和监督。为确保服务质量和安全性，服务供给商应定期进行相应的安全评估、漏洞发觉等检查工作，发觉问题适时处理，并对发觉的问题进行记录、跟踪和进行整改措施。五、总结信息技术外包服务安全管理制度在保障用户信息及数据安全、提高业务可持续性、充足信息保密和合规性等方面具有极其紧要的意义。在建立安全管理制度的基础上，必需实施强制性的安全检查和监督，以确保服务供给商供给的服务符合安全