5.1　服務外包信息安全風險評估

5.1　服務外包信息安全風險評估

5.1.1　風險評估實施

負責機構應采取以下措施，分析和管理服務外包活動可能引入的信息安全風險，確保政府部門重要敏感信息的保密性、完整性和可用性等，不受服務外包活動引入的信息安全威脅影響：
a) 識別信息技術服務活動的信息安全威脅、發生可能性，以及它們對服務外包安全管理的影響。
b) 識別政府部門不同的負責機構，對服務外包活動管理可能產生的負面影響。
c) 評估已經存在的或計劃的信息安全控制措施有效性。

5.1.2　風險評估結果分析

負責機構應：
a) 分析風險評估的結果，支持主管領導決策可接受的信息安全風險程度。
b) 開展服務外包信息安全風險控制成本效益分析，決定是否且如何開展服務外包：
1) 當基本信息安全風險控制措施充分有效時，積極支持服務外包活動開展；
2) 當信息安全風險控制成本較高時，服務外包活動應當重新被考慮；