京经信委函〔2013〕203号
市委、市政府各部、委、办、局,各区、县信息化主管部门,各有关单位:
近年来,本市电子政务以及其他重要领域发生了多起由于忽视信息技术服务外包安全管理导致的信息安全事件,造成了较大的经济损失和社会影响。信息技术服务外包是指信息化项目或工程的建设使用单位以签订合同的方式,将本单位的信息化项目或工程的咨询、招标代理、监理、软件测评、系统集成、运行维护、安全集成、安全测评、灾备、应急等委托非本单位所属的专业机构承担的活动。开展信息技术服务外包,可以使信息化项目或工程的建设使用单位更好地利用信息化手段开展工作,但由于信息技术外包服务机构往往存在背景复杂、人员流动性大、内部管理不规范等问题,如果监管不到位,必将会面临巨大的安全风险,甚至威胁本市的经济发展、社会稳定、公众利益乃至国家安全。为规范本市信息技术服务外包的安全管理,降低或避免由于信息技术服务外包的安全管理不到位带来的失控或信息泄露等安全风险,根据《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)、《关于加强信息安全管理体系认证安全管理的通知》(工信部联协〔2010〕394号)、《加强政府部门信息技术外包服务安全管理》(工信部2011年第21号公告)和《党政机关计算机网络与信息安全管理办法》(京办发〔2001〕27号)等政策文件要求以及落实2010年市长办公会的有关精神,现结合本市实际情况就有关事项通知如下:
一、明确信息技术服务外包安全管理工作的职责分工
市经济信息化委负责本市信息技术服务外包安全管理工作的指导和监督。
各市级国家机关、各区(县)信息化主管部门和各行业主管部门按照本市的统一要求负责本系统、本区县、本行业信息技术服务外包安全管理工作的指导和监督。
各单位负责本单位信息技术服务外包安全管理的具体工作。
二、认真做好信息技术服务外包的相关准备工作
各单位应明确本单位该项工作的主管领导、责任处室和责任人,做好本单位网络与信息系统的整合,尽量减少信息技术外包服务机构和驻场人员的数量,并在此基础上认真确定本单位信息技术服务外包的内容和范围,不得将本单位职责内的管理工作外包。
三、规范选择信息技术外包服务机构和服务人员
各单位应依据国家和本市有关规定选择具备相应资质的信息技术外包服务机构和相应资格的服务人员,优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。各单位在确定信息技术外包服务机构之日起三十日内,将《信息技术外包服务机构和服务人员备案表》(见附件)报同级信息化主管部门备案;如果有信息安全服务外包,应在申请立项或申报预算时将信息安全服务外包的类别以及选择方式提前告知同级信息化主管部门。
市经济信息化委将对市级国家机关信息技术外包服务机构和服务人员的选择进行审核备案;各市级国家机关、各区县和各行业的信息化主管部门应对本系统、本区县、本行业信息技术外包服务的机构和服务人员的选择进行审核备案。
四、严格管理和监督信息技术外包服务的过程
1、各单位应建立健全信息技术服务外包工作的监管机制和相关管理制度,及时与确定的信息技术外包服务机构签订服务合同和信息安全保密协议,查验服务人员的资格证书,明确信息安全与保密责任、服务时限和服务方式等,要求服务提供商不得自行将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占有服务过程中产生的任何资产,不得以服务为由强制要求委托方购买、使用指定产品。
2、各单位应对重要环节和岗位建立人员制约机制,减少人员违规操作和误操作的风险;应明确划分重要工作区域,并限制外包服务人员的活动范围,信息技术现场服务过程中应安排专人陪同,并详细记录服务过程;外包开发的系统、软件上线应用前应进行安全测评,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务;信息系统运维外包不得采用远程在线运维服务方式;对服务人员的调换应有严格的规定;对服务外包终止或发生变更,应明确服务终止条件和服务变更程序,特别是对信息安全服务的终止要进行第三方的安全风险评估并提出安全控制措施。
3、各单位应采用录像监控、电子门禁、数字证书、安全审计等技术手段,对信息技术外包服务机构的服务人员出入现场情况、身份、权限以及操作行为等进行严格管理。
五、加强对信息技术外包服务安全管理工作的检查
各单位要高度重视信息技术服务外包的安全管理工作,将该项工作纳入每年的信息安全自查,按照要求认真填报相关信息和情况。
各市级国家机关、各区(县)、各行业主管部门,特别是涉及通信、广播电视、教育、交通、供水、供气、供热、医疗卫生等重点领域,在做好自身信息技术服务外包安全管理工作的同时,还应加强对本系统、本区县、本行业信息技术服务外包工作的指导和检查。
市经济信息化委将对此项工作开展情况进行检查。
对于涉及国家秘密的信息技术服务外包安全管理工作,应按照国家保密部门的有关规定执行。
北京市经济和信息化委员会
2013年6月17日
