6.1　外包服務機構和人員風險評估

負責機構應：

a) 開展外包服務機構和人員風險評估，識別服務外包潛在的外包服務機構和服務人員。

b) 選擇外包服務機構評估考慮以下條件：

1) 中華人民共和國境內注冊（港澳臺地區除外）；

2) 由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除外）；

3) 法人及主要業務、技術人員無犯罪記錄；

4) 固定的辦公場所；

5) 信息安全管理體系運行良好；

6) 具備保障信息技術服務實施的技術、財務等能力；

7) 對國家安全、社會秩序、公共利益不構成威脅；

8) 服務機構背景經過安全審查；

9) 服務機構資質；

10) 法律、行政法規規定的其他條件。

c) 選擇外包服務機構服務人員評估考慮以下條件：

1) 服務人員為中國公民；

2) 服務人員崗位角色、職責明確；

3) 服務人員資格；

4) 服務人員具備較強的信息安全意識；

5) 服務人員背景和技術能力經過安全審查；

6) 服務人員需與外包服務機構簽署長期勞動合同，并且簽訂信息安全保密協議；

7) 法律、行政法規規定的其他條件。