4.2　服務外包信息安全管理角色和職責

4.2　服務外包信息安全管理角色和職責

4.2.1　管理角色

按照GB/T 29245-2012的要求，政府部門應根據服務外包活動范圍確定管理角色和責任：
a) 當服務外包活動涉及多個政府部門內設機構時，應由政府部門信息安全主管領導擔任服務外包活動的主管領導，多個內設機構分工承擔負責機構職責。

4.2.2　主管領導

在服務外包信息安全管理活動中，主管領導職責應包括：
a) 在政府部門信息安全管理的總體框架下，批準本部門服務外包信息安全管理策略（見5.2.1）。
b) 授權并支持相應的負責機構具體管理服務外包。
c) 支持對服務外包信息安全各環節的管理：
1) 定期評審并發布服務外包信息安全管理制度，保持與政府部門服務外包信息安全管理策略要求一致；
2) 提供并保障服務外包信息安全管理所需要的資源；
3) 組織檢查信息安全受控的信息技術服務執行情況；
4) 協調處置服務外包信息安全管理應急事件；
5) 持續監督并促進服務外包信息安全管理改進完善。

4.2.3　負責機構

負責機構指具體承擔服務外包活動的管理工作的內設機構，主要職責應包括：
a) 對主管領導負責，將服務外包信息安全管理情況、信息技術服務信息安全執行情況及時報告主管領導。
b) 落實服務外包信息安全管理策略要求，組織制定并執行服務外包信息安全管理制度、服務外包合同、服務外包信息安全管理計劃等，具體職責應包括以下方面：
1) 按照服務外包信息安全風險評估（見5.1）有關要求，開展服務外包信息安全風險評估；
2) 評估和推薦潛在的外包服務機構和服務人員；
3) 落實服務外包基本信息安全控制措施（見附錄A）；
4) 監督信息技術服務信息安全執行情況；
5) 落實服務外包信息安全管理應急處置措施；
6) 提出服務外包信息安全管理的改進建議。