《信息安全技术 政府部门信息技术服务外包信息安全管理规范》编制说明

1任务来源

2012年，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，由北京

信息安全测评中心研究制定《信息安全技术政府部门信息技术外包服务信息安全管理规范》

国家标准，国标计划编制号：20130343-T-469。标准编制过程中，根据标准提出单位及专家

评审会相关意见，将标准名称调整为《信息安全技术政府部门信息技术服务外包信息安全

管理规范》。

该项目由全国信息安全标准化技术委员会归口，由北京信息安全测评中心、工业和信息

化部电子科学技术情报研究所、信息产业信息安全测评中心、中国信息安全研究院有限公司

等单位负责研制。

本标准主要起草人：刘海峰、钱秀槟、梁博、赵章界、刘迎、霍珊珊、张晓梅、王春佳、

李晨旸、张恒、张益、耿贵宁等。

2研究目标

随着经济社会的快速发展，政府部门在打造和建设服务型政府、不断提高为人民服务能

力和水平的过程中，越来越多地采用和依赖信息化手段，并为此开展了与信息化相关的信息

技术咨询、信息系统集成、运行维护、安全测评等服务外包工作。大量政务信息化工作的外

包，既解决了政府行政资源有限和公共服务效能要求日益提高之间的矛盾，也提高了政府部

门信息化工程的质量。但政府部门在享受信息技术服务外包带来便捷的同时，也面临外包服

务机构背景复杂、服务人员流动性大、内部管理不规范等问题带来的信息安全风险，如果缺

乏对服务外包活动信息安全的标准化管理，将对政府部门行政办公、人民群众生产生活，乃

至国家安全带来巨大损失。本标准通过对政府部门服务外包过程进行梳理，建立了政府部门

信息技术服务外包信息安全管理模型，在明确了服务外包信息安全管理角色和责任的同时，

将管理活动划分为规划准备、机构和人员选择、运行监督、改进完成四个阶段，分别提出信

息安全管理规范，为政府部门信息技术服务外包的安全管理提供参考。

政府部门在信息技术服务外包的信息安全管理过程中，还应基于本标准提出的规范要求

和基本控制措施，结合自身服务外包项目实际，提出与组织机构、人员管理、数据管理、信

息技术服务类型等相适应的控制措施，分阶段、有侧重地对服务外包活动实施管理，以便信

息安全管理规范的要求能够切实指导不同层级政府部门实际的服务外包信息安全管理工作，

提升其服务外包信息安全水平。

3编制原则

承接关系明确：本标准作为上位标准《信息安全技术政府部门信息安全管理基本要求》

（GB/T29245-2012）在信息技术服务外包领域的具体细化而提出，是对政府部门信息安

全管理类标准体系的有力补充，定位服务外包操作层面的管理活动。

科学建模：本标准建立了政府部门信息技术服务外包的信息安全管理模型，明确了政府

部门在服务外包信息安全管理中的角色和责任，明示了服务外包只是信息技术服务活动

的外包，不是信息安全管理责任的外包。同时，标准模型还依据服务外包信息安全管理

生命周期的特点进行划分，分阶段地提出信息安全管理要求。

指导性强：本标准提出的服务外包基本信息安全控制措施提供了政府部门在服务外包具

体过程中的风险控制方法，各单位也可根据自身组织机构、人员管理、数据管理、信息

技术服务类型等特点，制定更具指导性的信息安全控制措施。

适度前瞻：对于服务备案等信息安全条款要求，各地区电子政务信息安全主管部门有要

求的，应按照标准进行备案管理。对于部分地区电子政务信息安全主管部门无此类要求

的，执行此条款的政府部门可主动申请向信息安全主管部门进行备案。

4主要工作过程

《信息安全技术政府部门信息技术服务外包信息安全管理规范》（以下简称“规范”）

的制定工作过程大体分以下阶段：

1.调查研究阶段（2013.1~2013.3）：在2011年完成《政府部门信息技术服务外包信息

安全管理要求》课题研究成果的基础上，进一步收集研究国际、国内有关政府部门信息技术

服务外包的成功管理方法、管理案例，总结分析适合我国政府部门现状的信息安全管理控制

措施，并提出基于全流程安全管理的编制思路。

2.大纲编制阶段（2013.4~2013.5）：在前期调研基础上，课题组研究并提出了基于服务

外包项目实施生命流程的标准大纲编制思路，将服务外包过程具体划分为规划、获取、实施、

保障四个阶段。2013年5月23日，课题组召开专家征求意见会，对基于全生命流程的大纲

编制思路进行了研究讨论。专家会认为，信息安全管理规范应从服务外包的安全控制层面入

手，形成体系化的生命流程控制模型，具体可借鉴美国NISTSP800-53标准提出的控制点，

辅以信息安全管理体系模型作为本标准的框架。

3.草案编写阶段（2013.6~2014.1）：根据专家意见，课题组展开了草案编制的工作，具

体包括以下方面：

（1）课题组内部分工，对服务外包信息安全管理不同环节的管理措施进行研究，修改

并完善标准规范。2013年6月14日，课题组在昌平区封闭，具体编制草案初稿。

（2）第一轮小范围征求专家意见。2013年6月24日，课题组赴北京大学王立福教授

处，当面征求对草案适用范围、术语和定义等标准框架性问题的意见，并最终确立以服务外

包项目生命周期为主线，辅以改进的PDCA流程图进行安全管理控制的思路。王立福教授进

一步强调标准语言、标准控制措施、标准附录等内容的重要性和严谨性。2013年7月12日，

课题组赴北京市经济和信息化委员会，当面征求委信息安全协调处贾力处长意见建议，贾力

专家认为标准应增强服务实施过程中的监督控制要素，为政府部门加强信息技术服务外包安

全管理提供规范性支持。2013年7月26日，课题组赴神州数码系统集成服务有限公司，听

取其从自身服务实践的角度，对服务外包标准条款的意见建议。

（3）课题组组织专项讨论。根据专家意见，课题组先后在北京信息安全测评中心、中

国电子信息产业发展研究院信息安全研究院等地组织10余次专项讨论，对标准的结构、语

言、逻辑层级等逐一进行了梳理，并形成了新版的标准草案。

（4）第二轮小范围征求专家意见。2013年8月20日，课题组征求赵战生专家对新版

标准草案的意见建议。赵专家认为，标准提出的PDCA模型适合对服务外包机构的信息安全

管理进行约束，但需要引入服务外包的安全管理期望和服务效果产出等环节。另外，赵专家

还提出，标准应增加原则性、框架性的适用说明，帮助政府部门更好地应用标准，指导工作。

2013年8月27日，课题组赴工业和信息化部信息安全协调司征求李爱东处长意见，李专家

认为标准规范了服务外包的信息安全保密协议，有助于减少政府部门管理和使用服务外包的

信息泄露风险，但应明确标准与通用的信息安全管理体系的联系与区别。2013年8月27日，

课题组赴北京大学王立福教授处征求意见，王专家认为目前的标准规范内容部分混淆了管理

和技术控制两条线，需要进一步梳理，同时政府部门的工作更多侧重于规划阶段的安全设计，

故服务实现过程中不应体现外包服务机构的工作内容，对外包服务机构的工作要求应纳入管

理规范的规划阶段。王专家还提出，我们的标准应进一步明确适用的边界条件，以便指导政

府部门针对性地使用。

（5）安标委第一次专家评审会。2013年9月11日，课题组在安标委秘书处组织下，

向王立福、吴源俊、赵战生、李爱东、崔书昆、曲成义和闵京华等七位专家对标准的编制工

作及标准内容进行了汇报。各位专家对标准从总体思路、语言文字、适用范围等方面提出了

大量宝贵意见（详见专家意见处理表）。

（6）课题组再次组织进行专项讨论。根据专家意见，课题组明确了标准定位，并先后

在北京信息安全测评中心集中封闭3次，修改并吸收专家意见。

（7）第三轮小范围征求专家意见。2013年10月9日，课题组就修改后的标准征求部

分企业和政府使用部门意见，其中，来自企业的专家更多对标准中规范企业的要求提出建议，

来自政府部门的专家侧重标准的可行性和复杂性提出建议。2013年10月16日，课题组邀

请闵京华专家对标准提意见，闵专家提出可按照服务外包项目生命周期的不同阶段，分别考

虑相应的管理要求，课题组采纳并将获取和实施管理分别提出安全管理要求。2013年11月

1日，课题组邀请王立福教授对标准最新框架进行确认，王老师提出标准按照规划、实现、

检查和改进的过程写，思路明确，但应进一步明确不同过程的具体内容，课题组认为具体的

管理计划部分，应该纳入实现过程，是管理要求在实现过程的具体体现，重新组织了文稿架

构。

（8）安标委第二次专家评审会。2013年11月5日，邀请王立福、闵京华、吴源俊、

赵战生等专家，对标准内容进行评审。专家肯定了标准遵循信息安全管理规划、运行、检查、

改进的编制思路，重点提出应将服务外包的安全控制纳入标准，以便更好的指导标准应用。

专家会还对标准用于管理政府部门的信息安全管理行为还是政府部门外包服务机构的信息

安全服务行为进行了讲解。

（9）课题组针对专家会提出的意见建议，结合新版的ISO27001国际标准、NIST800-53

标准以及ISO27036有关服务外包的信息安全管理要求，进一步细化了标准的结构框架，增

加了管理外包服务信息安全风险的控制措施，特别是在信息安全准备、信息安全规划和实现、

信息安全监督、信息安全改进和完成等生命周期管理阶段，强调服务外包合同以及相应的服

务外包信息安全管理计划对安全管理工作的作用和意义。

（10）第四轮小范围征求专家意见。2014年1月14日，根据新修订的标准草案征求王

立福等专家意见，增加信息安全规划准备作为对政府部门自身服务外包需求分析的管理活

动，并形成草案最新版。2014年1月20日，编制组前往工业和信息化部、北京市经济和信

息化委等政府部门，听取政府部门用户对标准文本的意见建议，在提交安标委评审前，对部

分政府部门角色和责任进行了修订完善。

（11）安标委第三次专家评审会。2014年1月22日，安标委WG72014年1月22日，

全国信息安全标准化技术委员会WG7工作组在北京组织召开了国家标准《信息安全技术政

府部门信息技术服务外包信息安全管理规范》（草案）专家审查会。专家组听取了编制组关

于标准草案编制过程的汇报，审阅了标准草案文本，进行了质询，经讨论认为：

该标准草案建立了政府部门信息技术服务外包信息安全管理模型，提出了政府部门信息

技术服务外包信息安全管理生命周期各阶段活动的管理要求。该标准草案适用于政府部门采

购和使用信息技术服务，对各级政府部门信息技术服务外包活动的信息安全管理具有指导意

义。该标准草案编写格式基本符合GB/T1.1-2009的要求。

（12）安标委WG7工作组全体成员单位组织征求意见。2014年3月18日，在北京应

物中心会议室，WG7工作组会议讨论并通过了标准草案文本。会后，编制组进一步根据会

上各成员单位意见对标准草案文本进行了修改完善，形成标准征求意见稿文本。

5标准主要内容

1范围

本标准建立了政府部门信息技术服务外包信息安全管理模型，提出了政府部门信息技术

服务外包信息安全管理生命周期各阶段活动的管理要求。

本标准适用于政府部门采购和使用信息技术服务。

政府部门开展涉密信息技术服务外包工作，应参照国家保密局相关保密规定和标准执

行，不在本标准范围内。

2服务外包信息安全管理模型

本标准提出的政府部门信息技术服务外包信息安全管理模型，是政府部门在对自身“服

务外包”行为风险评估的基础上，对外包服务机构具体“服务”行为进行信息安全管理的

模型。该模型明确了政府部门在信息技术服务外包管理活动中的信息安全角色和责任，通过

划分服务外包信息安全规划准备、机构和人员选择、运行监督和改进完成等管理阶段，针对

性地提出规范性要求。具体的政府部门信息技术服务外包信息安全管理模型见下图：

服务外包信息安全管理角色和职责

主管领导

负责机构

机构和人员

规划准备运行监督改进和完成

选择

服务外包信息外包服务机构服务过程评估服务改进

安全风险评估和人员风险评审计

估

服务外包信息阶段成果交付服务退出

服务外包合同

安全管理策略验证

服务外包信息

和制度

安全管理计划

信息安全保密

协议

外包服务机构

备案

图1：政府部门信息技术服务外包信息安全管理模型

3标准内容目录

前言

引言

1范围

2规范性引用文件

3术语和定义

4综述

4.1服务外包信息安全管理基本原则

4.2服务外包信息安全管理角色和职责

4.2.1管理角色

4.2.2主管领导

4.2.3负责机构

4.3服务外包信息安