XX市统计局信息与网络技术外包服务安全管理制度.docx

XX市统计局信息与网络技术外包服务安全管理制度第一章总则第一条为加强局信息与网络技术外包服务的安全管理,确保信息与网络技术外包服务的安全性、可靠性和稳定性,有效保护信息系统与网络系统的安全性和稳定性，特制定本制度。第二条本制度所称信息与网络技术外包服务，是指本单位以签订合同的方式，委托承担信息或网络技术服务且非本单位所属的专业机构提供的信息或网络技术服务，服务项目范围在XX市政府向社会力量购买服务指导性目录（2023年度）内，主要包括软件开发服务、软硬件的运营和维护服务、信息系统集成实施服务、信息工程监理服务、计算机设备及软件租赁、信息与网络技术业务培训服务等。第三条安全管理是以安全为目的，进行有关安全工作的方针、决策、计划、组织、指挥、协调、控制等职能，合理有效地使用人力、财力、物力、时间和信息，为达到预定的安全防范而进行的各种活动的总和，称为安全管理。第四条外包服务安全管理遵循关于安全的所有商业准则及适当的外部法律、法规。第二章外包服务范围第五条外包服务包括软件开发服务、软硬件的运营和维护服务、信息系统集成实施服务、信息工程监理服务、计算机设备及软件租赁、信息与网络技术业务培训服务等。第六条软件开发服务：基础软件、支撑软件包件、应用软件、嵌入式软件等开发。第七条软硬件的运营和维护服务：基础环境、硬件、软件、安全等运维和租用服务。主要包含：（一）软硬件设备安装、升级服务。（二）计算机设备、网络设备、信息安全设备等硬件设备的维修和保养服务。（三）根据统计局业务变化，提供应用系统功能性的需求解决方案及执行服务。（四）对市统计局现有的信息与网络技术基础架构、设备运行状态和应用情况进行诊断和评估，提出合理化的解决方案。（五）根据市统计局的实际情况提出数据安全备份方案和信息与网络安全应急方案。（六）系统定期巡检和整体性能评估服务。（七）向市统计局提供租用软件应用系统、业务平台、信息系统基础设施等部分或全部功能的服务。（八）其它运营与维护服务。第八条信息系统集成实施服务：通过结构化的综合布线系统和计算机网络技术，将各个分离的设备、功能和信息等集成到相关联的，统一协调的系统之中的服务。第九条信息工程监理服务：对大型系统开发、架构、设置的有效性、安全性等方面开展的监理服务。第十条计算机设备及软件租赁：计算机设备、网络设备、计算机软件等租赁服务，包括云服务。第十一条技术业务培训：根据市统计局的实际情况和需求，提供信息与网络技术业务相关的技术培训。第三章外包服务安全管理第十二条外包服务安全管理应按照“安全第一、预防为主”的原则，采取科学有效的安全管理措施，使用确保网络与信息安全的技术手段，建立权责明确、覆盖网络与信息安全全过程的岗位责任制，实行严格的监督和管理，确保信息与网络安全。第十三条成立信息与网络技术外包服务安全管理工作领导小组，组长由局长担任，副组长由办公室分管领导、信息系统的业务分管领导、数据中心分管领导担任，成员由办公室、相关业务处室、数据中心主要负责人组成，领导小组办公室设数据中心，办公室主任由数据中心主要负责人担任。第十四条建立信息与网络建设安全保密制度，与外包服务方和具体技术负责人签订服务合同和安全保密协议，明确符合安全管理及其它相关制度的要求，并对服务人员进行上岗、在岗和离岗全过程的安全保密教育。第十五条加强对外包服务方全过程安全管理，制定信息化加工过程管理、信息化成果验收与交接、存储介质管理等操作规程或规章制度。第十六条外包服务方的人员素质、技术与管理水平要能够满足拟承担项目的要求，进行相应的安全资质管理。第十七条加强应用系统（平台）关键软件和核心硬件供应链安全管理，选择具有相关专业资质的外包服务单位，对外包服务单位工作人员进行必要的背景审查和保密审查，关键岗位严禁由外包人员担任。第十八条局数据中心配备专人负责安全保密工作，负责日常信息与网络安全监督、检查、指导工作。对服务方提供的服务进行安全性监督与评估，采取安全措施对访问实施控制，如以最小化权限原则建立服务账号，在外包服务到期或服务人员变更时及时删除账号，回收数据。出现问题应遵照合同规定及时处理和报告。第十九条对外包服务的业务应用系统运行的安全状况定期进行评估，当出现重大安全问题或隐患时应进行重新评估，提出改进意见，直至停止外包服务。第二十条使用外包服务方设备的，对其进行必要的安全检查，检查是否有信息回传厂商、检查回传信息的主要内容第二十一条在重要安全区域，对外部服务方的每次访问进行风险控制；必要时应对外部服务方的访问进行限制。第二十二条服务外包并不改变本单位的责任主体，也不允许把数据管理权转移给承包机构。第四章附则第二十三条本制度由局数据中心负责解释。第二十四条本制度自发布之日起生效执行。