当前位置:
首页
>> 政府信息公开 >> 法定主动公开内容 >> 政府文件及解读 >> 政策解读
 索引号 11330922059569154C/2022-28886
 组配分类 政策解读  发布机构 大数据发展管理局
 生成日期 2022-08-24  公开方式 主动公开
  • 信息索引号:

    11330922059569154C/2022-28886

  • 主题分类:

  • 发布机构:

    大数据发展管理局

  • 成文日期:

    2022-08-24

  • 文号:

  • 文件登记号:

  • 公开方式:

    主动公开

  • 有效性:

文字解读|《嵊泗县信息技术服务外包安全管理办法》政策解读

发布时间:2022-08-24 16:12

信息来源:

信息来源:县政府办公室

访问次数:

字体大小:

政策原文>>

一、制定背景

2019年,我省印发了《浙江省信息技术服务外包网络安全管理办法》(浙委网〔2019〕2号),明确指出全省各级党政机关应结合实际认真贯彻落实。为有效规范嵊泗县信息技术服务外包活动,细化管控措施,监督服务外包供应商和技术人员职业操守,更深一步保障信息技术服务外包活动安全,确保信息系统风险可控、流程可查、责任可追,特制定了《嵊泗县信息技术服务外包安全管理办法》(以下简称《办法》)。

二、实施依据

《办法》以浙江省委网络安全和信息化委员会发布的《浙江省信息技术服务外包网络安全管理办法》(浙委网〔2019〕2号)、国家标准《GB/T 32926-2016 信息安全技术政府部门信息技术服务外包信息安全管理规范》、国家标准《GB/T 33770.1-2017信息技术服务外包第1部分:服务提供方通用要求》、国家标准《GB/T 33770.2-2019信息技术服务外包第2部分:数据保护要求》、国家标准《GB/T 33770.6-2021信息技术服务外包第6部分:服务需求方通用要求》、《浙江省电子政务外网安全评估指标(试行)》等文件为主要依据。

三、制定过程

《办法》由嵊泗县大数据发展管理局起草,经过书面征求相关单位意见、县政府门户网站公开征求意见(http://www.shengsi.gov.cn/art/2022/7/27/art_1229418050_59028840.html)、合法性审查、集体研究决定等程序后制定,符合行政规范性文件制发程序。

四、主要内容

《办法》共二十八条,主要内容包括:

(一)明确《办法》适用范围。《办法》适用于嵊泗县各机关单位和部门对第三方以及外包服务的安全管理。明确了第三方的定义,包括所有进入嵊泗县各机关单位和部门内部提供相关技术服务的非嵊泗县各机关单位和部门内部人员(包括但不限于供应商、合作厂商、服务商)(第2条、第3条)。

(二)明确职责,确保履职。《办法》明确了嵊泗县各机关单位和部门内部信息系统相关外包服务项目管理部门或人员负责第三方的管理工作,管理范围包括权限申请、信息安全培训、现场工作管理、确保服务安全以及交付质量保障(第4条)。

(三)明确第三方选择要求。《办法》明确了嵊泗县各机关单位和部门选择第三方的基本要求。确保第三方在可以准确理解需求的前提下,具备相应的技术能力和管理水平,同时第三方的财务能力能够保障项目的正常开展和交付。在选择时应审查第三方资质以及关键技术人员和管理人员的资质,确保达到正常开展项目所需的要求(第5条、第6条)。

(四)对签署合同的内容作了相关规定。《办法》对嵊泗县各机关单位和部门与第三方签署合同的内容进行了明确。在第三方访问敏感的信息资产之前,需要签订保密协议或正式的合同(第7条)。合同中需要划定双方的责任与义务,明确服务内容和服务标准,明确服务的安全要求以保障信息资产安全,明确安全事故和安全违规事件的处理流程(第8条)。

(五)明确对第三方的服务交付要求。《办法》明确了第三方在服务过程中应保障的质量要求和改进要求(第9条、第10条)。

(六)明确对第三方的信息传输要求。《办法》明确了第三方应在遵守合同中规定的保密条款的前提下,对信息和数据进行保密(第11条),同时保证数据的完整性和可用性(第12条),因业务需要向第三方提供敏感信息时需要经过授权批准并签订保密协议(第13条),当第三方工作人员驻场工作时应签订个人保密协议明确其责任和义务(第14条)。

(七)明确对第三方的变更管理。《办法》明确了嵊泗县各机关单位和部门在第三方提供服务的过程中,发生项目需求和第三方的服务不匹配时,应当协商进行调整(第15条)。当第三方考评不合格或服务能力不能满足服务要求时,可以考虑对第三方进行更换变更(第16条)。

(八)明确对第三方的出入管理。《办法》明确了嵊泗县各机关单位和部门在第三方提供服务的过程中,对第三方人员出入进行审查的流程和内容(第17条),对设备携入携出的管理要求(第18条),以及第三方人员在办公场所活动的管理要求(第19条)。

(九)明确对第三方在使用信息系统时的管理要求。《办法》明确了第三方在使用信息系统时应遵守的一般规定(第20条),以及第三方在保障账号和密码安全时应尽的责任与义务(第21条、第22条)。

(十)明确对第三方在服务过程中的违规处罚要求。《办法》明确了因嵊泗县各机关单位和部门对第三方管理不到位而造成信息安全事件的处罚要求(第23条),明确了因第三方违反信息安全有关规定对安全生产造成影响的处罚要求(第24条),以及第三方工作人员发生违法犯罪后的处罚要求(第25条)。

(十一)明确办法持续改进需求和发布单位。《办法》为了保证本文件的时效性和可行性,需要进行持续改进(第26条),《办法》由嵊泗县大数据发展管理局负责制定、解释和修改。

       五、解读机关、解读人及联系方式

解读机关:嵊泗县大数据发展管理局

解读人:孔祺杰

联系电话:0580-5083670


顶部 打印 关闭