引言

隨著經濟社會的快速發展，政府部門在打造和建設服務型政府、不斷提高為人民服務能力和水平的過程中，越來越多地采用和依賴信息化手段，并為此開展了與信息化相關的信息技術咨詢、信息系統集成、運行維護、安全測評等服務外包工作。大量政務信息化工作的外包，既解決了政府行政資源有限和公共服務效能要求日益提高之間的矛盾，也提高了政府部門信息化工程的質量。但政府部門在享受信息技術服務外包帶來便捷的同時，也面臨外包服務機構背景復雜、服務人員流動性大、內部管理不規范等問題帶來的信息安全風險，如果缺乏對服務外包活動信息安全的標準化管理，將對政府部門行政辦公、人民群眾生產生活，乃至國家安全帶來巨大損失。

本標準用于規范和指導政府部門采購和使用信息技術服務。本標準通過對政府部門服務外包過程進行梳理，建立了政府部門信息技術服務外包信息安全管理模型，在明確了服務外包信息安全管理角色和責任的同時，將管理活動劃分為規劃準備、機構和人員選擇、運行監督、改進完成四個階段，分別提出信息安全管理規范，為政府部門信息技術服務外包的安全管理提供參考。

政府部門在信息技術服務外包的信息安全管理過程中，還應基于本標準提出的規范要求和基本控制措施，結合自身服務外包項目實際，提出與組織機構、人員管理、數據管理、信息技術服務類型等相適應的控制措施，分階段、有側重地對服務外包活動實施管理，以便信息安全管理規范的要求能夠切實指導不同層級政府部門實際的服務外包信息安全管理工作，提升其服務外包信息安全水平。