DB14∕T 1251-2016 信息技术服务外包安全要求.docx

ICS

N

N10

25.040

25.040

DB14

山西省地方标准

DB14/T1251—2016

信息技术服务外包安全要求

2016-10-10发布2016-12-10实施

山西省质量技术监督局

发布

I

DB14/T1251—2016

目次

前言 III

引言 IV

1范围 1

2规范性引用文件 1

3术语和定义 1

4对委托方的基本要求 2

4.1委托方信息技术服务外包安全管理基本原则 2

4.2信息技术服务外包安全管理职责 2

5总体要求与分类分级 4

5.1总体要求 4

5.2安全要求的实施主体 4

5.3安全要求的分类 5

5.4安全要求的分级 5

6一般级 6

6.1服务商选择与供应链安全 6

6.2访问控制 8

6.3维护 9

6.4事件处理 10

6.5审计 11

6.6人员安全 11

6.7物理与环境安全 13

7中级 14

7.1服务商选择与供应链安全 14

7.2访问控制 17

7.3维护 18

7.4事件处理 20

7.5审计 21

7.6人员安全 23

7.7物理与环境安全 24

8增强级 26

8.1服务商选择与供应链安全 26

8.2访问控制 29

8.3维护 31

8.4事件处理 33

II

DB14/T1251—2016

8.5审计 34

8.6人员安全 36

8.7物理与环境安全 37

附录A（资料性附录）信息技术服务外包分类 39

附录B（资料性附录）信息安全风险分析 41

参考文献 43

III

DB14/T1251—2016

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由山西省经济和信息化委员会提出并归口。

本标准起草单位：山西省信息技术产业协会、山西省经贸决策咨询中心、中国信息安全研究院有限公司、山西省信息化和信息安全评测中心、山西省工业控制系统与安全产业联盟。

本标准主要起草人：周亚超、左晓栋、李凯军、王乐、薛云琴、张明胜、陆希、苑化军、张卓娅、郭陈勋、刘雨桁。

IV

DB14/T1251—2016

引言

随着信息技术在各领域的广泛深入应用，信息系统日趋复杂，信息技术服务的专业性越来越高，信息技术服务外包成为常态。信息技术服务外包有利于发挥服务商的专业优势和规模优势，降低成本，提高信息化质量和效率。特别是以大数据、云计算、物联网等为代表的新一代信息技术，极大地拓展了信息技术服务外包的业务领域和层次，并呈现出智能化、平台化与社会化的特征。与此同时，信息技术服务外包也引入了更多的信息安全风险。《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）要求，“严格政府信息技术服务外包的安全管理”，“在软件服务外包、信息技术服务和电子商务等领域开展个人信息保护试点，加强个人信息保护工作”。

本标准结合山西省实际，在山西省辖区内各级机关、事业单位、重要领域等更广范围内明确信息技术服务外包过程中应该实现的信息安全要求。本标准提出的信息技术服务外包安全要求分别适用于等级保护二级、三级和四级系统所涉及的外包活动。涉密系统中的信息技术服务外包应参照国家必威体育官网网址局相关必威体育官网网址规定和标准执行，不在本标准范围内。

1

DB14/T1251—2016

信息技术服务外包安全要求

1范围

本标准规定了信息技术服务外包时的信息安全要求。

本标准适用于山西省辖区内各级机关、事业单位、重要领域的信息技术服务外包。外包服务商提供外包服务时可参照执行。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T25069—2010信息安全技术术语

3术语和定义

GB/T25069—2010确立的以及下列术语和定义适用于本文件。3.1

信息技术服务

供方为需方提供开发、应用信息技术的活动，以及供方以信息技术为手段提供支持需方业务的活动。3.2

信息技术服务外包

以签订合同的方式，需方委托其他机构承担信息技术服务的行为。

注：附