wnzzProManageProUploadfile2016031020160310175135_9043.doc

DB14 山西省地方标准 DB14/T XXXXXXX 山西省信息技术服务外包网络安全要求 （征求意见稿，2016.3.10） 2016-XX-XX发布 201-XX-XX实施 山西省质量技术监督局 发布 目??次 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 概述 2 4.1 信息技术服务外包的分类 2 4.2 外包服务网络安全管理基本原则 3 4.3 风险分析 4 4.4 外包服务网络安全管理职责 6 4.5 信息技术外包服务网络安全要求综述 7 5 一般级网络安全要求 10 5.1 服务商选择与供应链安全 10 5.2 访问控制 11 5.3 维护 12 5.4 事件处理 13 5.5 审计 14 5.6 人员安全 15 5.7 物理与环境安全 16 6 中级网络安全要求 17 6.1 服务商选择与供应链安全 17 6.2 访问控制 19 6.3 维护 21 6.4 事件处理 22 6.5 审计 23 6.6 人员安全 25 6.7 物理与环境安全 26 7 增强级网络安全要求 27 7.1 服务商选择与供应链安全 27 7.2 访问控制 30 7.3 维护 32 7.4 事件处理 33 7.5 审计 34 7.6 人员安全 36 7.7 物理与环境安全 37 参考文献 40  前??言 本标准由XXXX提出。 本标准由XXXX归 本标准主要起草人：  引??言 随着信息技术在各领域的广泛深入应用，信息系统日趋复杂，信息技术服务的专业性越来越高，信息技术服务外包成为常态。这有利于发挥服务商的专业优势和规模优势，降低成本，提高信息化质量和效率。特别是，以大数据、云计算、物联网等为代表的新一代信息技术，极大地拓展了信息技术服务外包的业务领域和层次，并呈现出智能化、平台化与社会化的特征。与此同时，信息技术服务外包也引入了更多的网络安全风险。《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号GB/T XXXXX—2016《GB/T XXXXX—2016《信息安全技术 政府部门信息技术服务外包信息安全管理规范》主要建立了政府部门信息技术服务外包的信息安全管理模型，较少涉及保障信息技术服务外包安全的技术要求，还需结合山西省实际，在党政部门、重点行业、重要互联网企业等更广范围内明确信息技术服务外包过程中应该实现的网络安全要求。为此，制定本标准。 本标准提出的信息技术服务外包网络安全要求分别适用于等级保护二级、级和级系山西省信息技术服务外包网络安全要求 范围 本标准提出了信息技术服务外包时的网络安全要求，以保障委托方的业务和数据的安全。 本标准适用于山西省党政部门、重点行业、重要互联网企业采购和使用信息技术服务，也可供外包服务商提供外包服务时使用。本标准不适用于涉密信息系统。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。 GB/T 25069—2010 信息安全技术 术语 GB/T XXXXX—2016 信息安全技术 政府部门信息技术服务外包信息安全管理规范 GB/T XXXXX—2016 信息技术产品供应方行为安全规范 术语和定义 GB/T 25069—2010界定的以及下列术语和定义适用于本文件。 3.1 信息技术服务 information technology service 服务提供方为服务需求方提供开发、应用信息技术的服务，以及供方以信息技术为手段提供支持需方业务活动的服务。 3.2 信息技术服务外包 information technology service outsourcing 以签订合同的方式，委托其他机构承担信息技术服务的商业行为。 3.3 外包服务商 outsourced service provider 服务外包中的信息技术服务提供商。 3.4 服务分包 service subcontraction 外包服务商将自身承担的部分信息技术服务再次委托给其他机构完成。 3.5 信息技术供应链 information technology supply chain 通过多个资源和过程联系在一起的一系列组织，始于未加工的原材料，终于使用产品和服务的最终用户，是一个由多个上游与下游供应商形成的网链结构，可将信息通信技术的产品和服务提供给最终用户。 3.6 委托方 client 信息技术服务外包活动中的需求方，将信息技术服务委托给外包服务商，并对外包服务商提出网络安全要