7.1　服務過程評估審計

7.1　服務過程評估審計

負責機構應：

a) 在信息技術服務過程中，定期評估服務外包活動信息安全執行情況，以確保信息技術服務的信息安全質量和連續性。

b) 評估政府部門所面臨的風險和威脅變化情況，必要時調整對外包服務機構提出的安全要求，具體評估內容包括：

1) 政府部門組織機構、人員管理、數據管理等隨著信息技術服務執行而面臨的新脆弱性；

2) 服務機構和人員安全性和可靠性；

3) 信息技術服務類型、服務方式、服務產品等要素的調整而造成的新威脅；

4) 可能被威脅利用的脆弱性帶來的新的信息安全影響；

5) 信息安全事件的處置措施準備情況。

c) 定期對服務外包管理行為進行審計，以確保所采取信息安全控制措施的有效性。

d) 根據評估和審計結果，提出新的信息安全風險預防措施和改進措施，并報主管領導批準。