5.2　服務外包信息安全管理策略和制度

5.2　服務外包信息安全管理策略和制度

5.2.1　服務外包信息安全管理策略

主管領導應：
a) 正式批準服務外包信息安全管理策略，以提供支持政府部門服務外包信息安全管理活動的依據，具體內容應包含以下方面：
1) 服務外包信息安全管理的角色和責任；
2) 服務外包信息安全管理的風險評估目標和控制要求；
3) 服務外包信息安全管理的運行監督作用和意義；
4) 服務外包信息安全管理的持續改進目標；
5) 與運行中的信息安全管理體系關系說明。

5.2.2　服務外包信息安全管理制度

負責機構應：
a) 依據服務外包信息安全管理策略，建立服務外包信息安全管理制度，具體應包含以下內容：
1) 服務外包信息安全管理程序；
2) 服務外包信息安全角色操作規范；
3) 服務外包信息安全風險控制措施和檢查評估規范；
4) 服務外包信息安全文檔記錄規范。
b) 定期評審服務外包的信息安全管理制度，報主管領導批準后發布。