6.2　服務外包合同

6.2　服務外包合同

6.2.1　信息安全條款

負責機構應：
a) 依據服務外包信息安全管理制度，制定信息安全條款，具體內容包含：
1) 服務外包信息安全目標和衡量標準；
2) 服務外包信息安全保障范圍和費用；
3) 不得占有服務過程中產生的任何資產；
4) 不得以服務為由強制要求購買、使用指定產品；
5) 不泄露政府部門重要敏感信息的信息安全承諾；
6) 服務外包過程中的知識產權歸屬；
7) 明示外包服務機構在使用和處理數據過程中的所有權、邊界控制等要求，確保數據使用和處理不出境；
8) 明示外包服務機構接受信息主管部門監督檢查的責任義務；
9) 服務外包意外終止或變更的罰則。
b) 在信息安全影響因素發生變更后，及時修訂信息安全條款。

6.2.2　退出策略條款

負責機構應：
a) 明確定義服務退出條件，具體包括以下內容：
1) 當服務合同到期后的正常退出條件；
2) 當服務發生錯誤且不能在一個有效時間內處理完成的退出條件；
3) 與外包服務機構協商達成一致的合同撤銷退出條件；
4) 服務合同內容的修改或調整退出條件。
b) 建立服務退出策略中有關信息安全的管理要求：
1) 依據不同的服務退出條件，定義服務退出過程中及退出后的管理角色和職責；
2) 保證信息技術服務信息安全質量在退出階段能夠維持服務合同中的信息安全管理要求；
3) 在服務退出過程中，退還所有服務涉及的文檔；
4) 保證在服務合同終止之后對服務內容和信息的保密性要求；
5) 將政府部門的數據有效地消除或移除，確保數據不被其他組織或個人公開；
6) 當服務失敗或企業破產等突發情況發生時，保留繼續雇傭服務人員開展服務工作的權利。
c) 建立服務退出策略中有關信息安全的技術要求：
1) 提供查看信息技術服務退出進展情況的技術手段和技術資源；
2) 定義執行最終的信息交換或信息技術資源交換的技術程序、角色和責任；
3) 提供并行的信息技術服務，確保在最終的交接之前，能夠解決退出過程中可能出現的技術問題；
4) 要求外包服務機構備案信息技術服務手段和資源；
5) 及時刪除信息技術服務生成的子賬戶或子功能；