集团官网业务
您当上的地位:304com集团永利集团 > 集团官网业务 > 技防效劳技防效劳
规范和加强政府部门信息 技术实现 效劳外包安全管理
更新时间:2019-09-17 08:46:32  |  点击次数:410次

信息 技术实现 效劳外包在发挥效劳商professional优势和规模优势,降低底,提高信息化质料和效率的再是,也引入了信息安全风险。2012年6月发布的《国务院About大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)中,明确提出了要规范和加强政府部门信息 技术实现 效劳外包的安全管理work。

信息 技术实现 效劳外包在经济结构转型、安排就业、Green可持续发展等关键感化日益突出。中国效劳外包研究主题2013年发布的《中国效劳外包发展报告》显示,2012年信息 技术实现 外包执行金额达到273.6亿美圆,占效劳外包业务总量的58.8百分比。政府部门因为 技术实现 人员少、professional 技术实现 能力与效劳外包集团人员相比存在差距,也迫切需要进行信息 技术实现 效劳外包。

一、信息 技术实现 效劳外包安全小case掣肘了业务发展

政府部门需要越来越多的信息 技术实现 效劳外包机构、人员以及厂商供给的产品来扶掖进行信息系统的建造和运维。这样,政府部门在信息 技术实现 效劳外包中,就有两类可能引发安全小case的突出圆素,一是信息 技术实现 效劳外包机构和人员以及效劳过程中使用的产品不可靠,安全堡垒就匆子 侄么幽诓抗テ;二是政府部门如果对外包机构和人员管理不善,发生安全小case也同样在所难免。

信息 技术实现 效劳外包集团主动泄露数据的环境也较为常见。按照“棱镜门”事件批露的环境,微软、Google、Yahoo、Facebook、PalTalk、YouTube、Skype、AOL、Apple(倡议统一中文或英文表述)等为美国国家安全局供给大量视频、语音、图片、邮件、文件等电子数据。

信息 技术实现 效劳外包机构的人员利用把握政府信息系统和数据的便利,为自己谋取利益,在信息 技术实现 效劳外包安全事件中较为突出。如2011年上海市卫生局外包集团官网的张某利用开发维护出生系统数据库的便利,非法下载了约14万条新生儿出生信息并出售获利。2009年深圳福彩主题外包集团官网的程某通过自编木马软件入侵福彩主题销售系统,恶意篡改中奖数据并伪造3305万大奖。

信息 技术实现 效劳外包信息安全小case还表Now信息 技术实现 效劳外包供应链环节上。按照爱德华·斯诺登(Edward Snowden)供给的文件,曝光 “棱镜门”事件的《卫报》记者格伦·格林沃尔德(Glenn Greenwald)在自己的新书中透露,NSA经常会收到或拦截美国厂商的路由器、效劳器以及其他网络设备,会在设备中植入‘下门监控工具’,重新打包并打上工厂的密封封条,继续运输,出口给万国衣食父母。

按照北京市对政府部门信息 技术实现 效劳外包的调研和历年检查的结果来看,导致管理不善的突出圆素表Now三个关键,一是对外包安全不够重视,重建造轻运维、重建造轻安全思想仍较普遍,运维和信息安全保障股本申请较困难;二是对外包机构和人员的管理跟不上,缺乏可靠的外包机构和人员决定、效劳过程评估、效劳成果交付验证以及外包机构和人员绩效考评的 技术实现 手段和准则,在外包机构和驻场人员多、政府部门信息化人员少的环境下,难以有效管理外包机构和人员;三是政府部门人员少,professional能力不足,严重依赖外包机构和人员,要紧数据、管理口令等多为外包效劳商及其人员所把握,难以把握管理的主动权。

二、信息 技术实现 效劳外包安全管理work不断推进

国内政府在大力推动信息 技术实现 效劳外包产业发展的再是,不断加强效劳外包的信息安全管理。

一是信息 技术实现 效劳外包安全管理法规准则不断完竣。法令法规层面,出台了《中华人民共和国计算机信息系统安全保护条例》(国务院令147号)、《中华人民共和国保守国家秘密法》(主席令第28号)等一系列法令法规,对信息安全等级保护、信息安全保密等进行规范;政策关键,《国家信息化领导小组About加强信息安全保障work的意见》(中办发〔2003〕27 号)为效劳外包使用单位和供给商建立信息安全保障体系供给了全面指导,《国务院About大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)再次突出落实信息安全等级保护,完竣信息安全认证认可体系,强调严格政府信息 技术实现 效劳外包的安全管理。《加强政府部门信息 技术实现 外包效劳安全管理》(工信部2011年第21号公告)、《About境内集团承接效劳外包业务信息保护的若干规定》(牛逼商用部令2009 年第13号)等围绕信息 技术实现 效劳外包安全管理提出了具体要旨。各省市加强了信息安全法令法规体系的建造,如陕西省出台了《陕西省个人信息安全保护规范》,广州市出台了《广州市效劳外包信息安全保护实施办法》,北京市发布了《About做好信息 技术实现 效劳外包信息安全管理的通知》、《北京市党政机关信息 技术实现 外包效劳机构申请信息安全管理体系认证安全审查程序》、《北京市电子政务与要紧区域信息安全效劳能力评定条件(2013年版)》等。准则层面,《信息安全 技术实现 政府部门信息 技术实现 效劳外包信息安全管理规范》等信息 技术实现 效劳外包相关国家准则正在制定中。

二是信息 技术实现 效劳外包安全管理关键措施逐步落实。包括建立信息 技术实现 效劳集团和人员资质资格评定体系、认证认可体系,推动信息安全管理体系、运维外包效劳体系等体系建造,推动信息 技术实现 效劳外包安全的绩效考核等。

在信息 技术实现 效劳和人员资格认证认可关键,工业和信息化部建立计算机信息系统集成资质管理制度,并与人力资源部和祖国保障部开展信息系统porject管理师等人员资格认定制度;国家保密局建立了涉及国家秘密的计算机信息系统集成资质管理制度,对集团和人员进行资质和资格管理work;中国信息安全认证主题开展了安全应急处理效劳资质、信息安全风险评估效劳资质、信息系统安全集成效劳资质等安全效劳资质的认证;中国信息安全测评主题开展了信息安全工程类、信息安全灾难恢复类、安全运营维护类等安全效劳资质的认证,并开展注册信息安全professional人员(CISP)、注册信息安全员(CISM)等人员资质认定。

在信息安全效劳集团资质评定关键,北京市走在了上列。北京信息安全测评主题按照授权,按照信息安全效劳集团能力评定条件要旨,对效劳人员通过考试进行能力认定,对集团通过评审进行资质认定。截至2014年8月,已经有9家集团通过北京市信息安全效劳审查评定考核,619个信息安全效劳(高等级)工程师效劳于北京市电子政务各个要紧区域,为北京市电子政务保驾护航。

在信息安全管理体系等关键,《About加强信息安全管理体系认证安全管理的通知》及配套的政策文件强化了对信息安全管理体系认证的管理,要旨为政府部门供给信息 技术实现 外包效劳的机构申请信息安全管理体系认证时,若认证范围涉及政府信息,须经工业和信息化主管部门同意。

截止2014年8月底共有12家集团通过北京市的信息安全管理体系认证安全审查,并全部备案,审查work规避了这些集团的认证过程间接泄露政府要紧敏感信息的安全风险。在信息 技术实现 效劳外包安全的绩效考核关键,2009年出台《About印发〈政府信息安全检查方法〉的通知》,对信息 技术实现 效劳安全检查和绩效考核进行了规范,自2009年以来,国家和区域政府每年都把信息 技术实现 效劳外包安全作为要紧检查始末和绩效考核始末。

三是信息 技术实现 效劳外包安全管理底子装备设施不断建立。国家牛逼商用部建立了中国效劳外包研究主题,开通了“中国效劳外包网”(//chinasourcing.mofcom.gov.cn)、“国家软件与信息效劳外包公共支撑平台”(//www.china-sourcing.org.cn/)等网站,为大力宣传信息 技术实现 效劳外包安全管理政策法规供给了平台;国家质监局成立了中国信息安全认证主题,开展对信息安全效劳的认证,为政府部门决定适合自己安全需求的效劳外包机构供给了有力的支撑。

尽管国内围绕政府部门信息 技术实现 效劳外包安全管理已经做了大量work,但仍跟不上信息 技术实现 效劳外包安全形势发展的需要,提高信息 技术实现 效劳外包安全,要着眼于顶层策划,做到外包效劳使用者、供给者、监管者各方齐心保障,做到外包效劳从决定到中止/终止的全生命周期保障,做到从人员、推销的产品到供应链等全方位纵深保障。

三、如何提高政府部门信息 技术实现 效劳外包安全管理水平值得深思

要全面提升信息 技术实现 效劳外包安全管理水平,应该抓住哪些细节work,亟需做好以下三关键work:

一是建立信息 技术实现 效劳外包集团的审查认证制度,把好效劳事上关。建立信息 技术实现 效劳外包集团的审查认证制度,有利于通过professional 技术实现 力量为政府部门把好上门。审查认证要满足效劳外包环境快速发展的需要,兼顾不同层次的信息 技术实现 效劳外包需求,在国家主管部门的统筹下,充溢发挥区域和区域在信息 技术实现 效劳外包集团安全管理审查的积极性和制造性。审查认证及配套制度的建立,有利于政府部门决定信得过的、能力合适的外包集团。要充溢发挥第三方检测认证机构在 技术实现 关键的支撑感化,鼓励第三方检测认证机构建立配套的效劳人员认证制度以及运维效劳体系和信息安全管理体系等体系认证制度。

二是建立持证上岗机制、安全监理机制和效劳分离机制,把好效劳事中关。通过这些强练内功和制约平衡制度的建立,可以有效提升政府部门对效劳外包机构和人员的安全管理水平。推行安全持证上岗制度,提高政府部门人员的安全业务能力和管理水平;推动信息 技术实现 效劳外包的安全监理机制,由信息 技术实现 效劳外包安全监理集团协助政府部门对其他信息 技术实现 效劳外包集团实行监督管理,保证效劳安全规范执行;推动信息系统使用、建造、运维、安全管理等效劳分离,形成信息 技术实现 效劳外包集团的竞相合作和竞相制约的机制,避免特定集团权限过大。

三是建立外包机构和人员信用制度和政府部门绩效考核制度,把好效劳事下关。通过从效劳供给方和效劳使用方两个关键加强事下监管,为外包效劳成果把关。把安全纳入全国征信系统,由信息安全主管机构建立外包机构和人员安全信用品评制度,由使用外包效劳的政府部门对信息 技术实现 效劳外包机构和人员进行安全信用品评。发挥国家和区域信息安全主管机构的积极性,由信息安全主管机构开展政府部门信息 技术实现 效劳外包安全的绩效考核。

通过如该 机制的建立,将使得外包机构和人员以及使用外包效劳的政府部门不能、不敢和不愿因信息 技术实现 效劳外包发生信息安全事件。


XML 地图 | Sitemap 地图