各处室、外服中心:
为加强我办信息技术服务外包管理工作,确保省外办网络和信息系统的安全、稳定、有效运行,现印发《福建省人民政府外事办公室信息技术服务外包管理暂行办法》,请遵照执行。
福建省人民政府外事办公室
2020年3月20日
(此件主动公开)
福建省人民政府外事办公室信息技术服务外包管理暂行办法
第一条 为加强福建省人民政府外事办公室(以下简称“省外办”)信息技术服务外包管理工作,规范外包服务机构(以下简称“服务机构”)的服务行为,提高服务质量,确保省外办网络和信息系统的安全、稳定、有效运行,根据国家、省有关政策法规,结合省外办实际,特制订本制度。
第二条 信息技术服务外包指省外办将原本由自身提供的信息技术业务剥离出来后,委托给信息技术服务提供方来完成的活动,包括如何开发、应用信息技术的服务,以及以信息技术为手段支持省外办业务活动的服务。
第三条 外包服务机构是指省外办以签订合同的方式,委托承担信息技术服务且非省外办所属的专业技术服务机构。
第四条 信息技术服务外包(以下简称“服务外包”)主要包括信息技术咨询服务、设计与开发服务、测试服务、信息系统集成服务、数据处理服务、运行维护服务、信息安全服务等。
第五条 省外办在实施服务外包信息安全管理时,要遵循以下信息安全基本原则:
(一)责任延展原则,指信息技术服务活动本身的外包,不是信息安全管理责任外包。
(二)领导决策原则,指应获得省外办的支持、批准和授权。
(三)风险控制原则,指始终关注信息技术服务活动可能带来的信息安全风险,并能够及时应用风险控制措施。
(四)监督检查原则,指在对信息技术服务活动监管基础上,应接受信息安全行政主管部门的监督检查。
第六条 省外办网络安全和信息化领导小组是服务外包的领导机构,指导、监督服务外包管理工作。
第七条 省外办网络安全和信息化领导小组办公室(设在人事秘书处)统筹管理服务外包工作,制定服务外包管理规章制度和规范,加强服务外包信息安全管理,开展服务外包质量考核,促进完善服务外包工作。
第八条 涉及服务外包的处室执行服务外包管理制度,在外包服务中担任管理角色,跟踪服务外包工作处理过程,监控外包工作效率和效果。
第九条 服务机构在运维外包中担任执行角色,负责执行服务外包具体工作,保证服务质量,确保信息安全。
第十条 省外办按照国家、行业有关法律法规要求对服务机构进行资质审查,综合考虑管理水平、专业技术能力、服务质量等因素,按政府采购程序确定服务机构。
第十一条 服务外包机构应具备以下条件:
(一)中华人民共和国境内注册(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)法人及主要业务 、技术人员无犯罪记录 ;
(四)固定的办公场所;
(五)信息安全管理体系运行良好 ;
(六)具备保障信息技术服务实施的技术、财务等能力 ;
(七)具备服务机构资质;
(八)法律、行政法规规定的其他条件。
第十二条 外包服务机构服务人员应具备以下条件:
(一)中国公民;
(二)岗位角色、职责明确;
(三)具有相应的资格证书;
(四)具备较强的信息安全意识;
(五)需与外包服务机构签署长期劳动合同,并且签订信息安全保密协议。
(六)法律、行政法规规定的其他条件 。
第十三条 确定外包服务机构后,应按照国家法律法规规定,签订书面服务合同,明确双方的权利义务。签订的合同或协议中应包含但不限于以下内容:
(一)服务外包的范围和标准;
(二)服务外包的质量目标;
(三)服务外包的保密性和安全性的安排;
(四)服务外包的业务连续性的安排;
(五)不得转包或变相转包的限制条款;
(六)许可的外包人员流动或变更比例;
(七)服务外包的审计和检查;
(八)外包争议的解决机制;
(九)合同或协议变更或终止的过渡安排;
(十)知识产权的约定;
(十一)违约责任;
(十二)服务外包金额及费用结算方式。
第十四条 服务外包合同还应包括以下信息安全条款:
(一)服务外包信息安全目标、保障范围和衡量标准 ;
(二)服务外包机构不得占有服务过程中产生的任何资产;
(三)服务外包机构不得以服务为由强制要求购买、使用指定产品;
(四)服务外包机构不泄露政府部门重要敏感信息的信息安全承诺;
(五)明示外包服务机构在使用和处理数据过程中的所有权、边界控制等要求,确保数据使用和处理不出境;
(六)明示外包服务机构接受信息主管部门监督检查的责任义务 ;
(七)服务外包意外终止或变更的罚则 。
(八)保证在服务合同终止之后对服务内容和信息的保密性要求;
(九)合同终止之后,外包服务机构将数据有效地消除或移除,确保数据不被其他组织或个人公开;
(十)确保信息安全条款被外包服务机构及其服务人员所周知。
第十五条 服务机构必须遵守国家、省的政策法规和省外办规章制度,依照行业技术标准,按照合同约定履行义务,科学管理,规范操作。
第十六条 服务机构应指定专门的工作人员作为项目管理人员,负责了解省外办需求、制定服务计划、协调监督服务执行、跟踪并改进服务质量、提交各类服务报告、处理投诉等,对运行维护服务的策划、实施、检查、改进的范围、过程、信息安全和成果负责。
第十七条 服务机构应配备专业技术人员,负责日常操作实施,执行运行维护服务各过程,对运行维护服务过程中的请求、事件和问题做出响应,保障信息安全并对处理结果负责。
第十八条 服务机构应配置相对稳定的项目团队,对关键岗位人才应进行培训和储备。
第十九条 服务机构专业技术人员的资质及变更需经省外办认可。
第二十条 运行维护服务类项目外包执行前,服务机构应针对省外办的实际情况编制项目管理制度和安全策略,经省外办同意后执行。
第二十一条 未经省外办许可,服务机构不得改变原有设备、软件平台、集成系统等配置及安全设置,凡接收到的重大服务请求在未经省外办信息化工作主管处室或者信息系统责任处室同意的情况下不做任何处理。
第二十二条 原则上禁止服务机构自带的终端设备接入省外办内网,服务机构如果需要接入省外办内网进行测试、调试,终端设备由省外办提供。
第二十三条 服务机构应依据服务项目进展的时间节点和相应的服务需求由专人采集、整理数据并进行项目文档的编制和管理。
第二十四条 服务机构应有明确的服务投诉渠道,并建立服务投诉处理规程,并根据客户满意度调查结果进行服务改进。
第二十五条 在服务期满前,服务机构要配合省外办整理各项文档、数据,为服务项目的延续做好充分准备。
第二十六条 信息技术咨询服务、设计与开发服务、测试服务、信息系统集成服务、数据处理服务等项目工程结束后,根据省外办信息化工作管理办法有关规定验收。
第二十七条 运行维护服务、信息安全服务等项目服务期满前,由省外办有关处室对其整体服务进行绩效考核,考核结果作为支付合同款项和续签合同的依据。
第二十八条 未经省外办许可,服务机构不得将技术服务转包或者分包。如有此类情形,即终止合同,并赔偿损失。
第二十九条 服务机构对省外办技术服务有保守秘密的义务。未经许可不得将省外办任何数据、技术文档等信息用作其他用途或以任何形式泄露给第三方。
第三十条 省外办应与服务机构及其工作人员签订网络与信息安全及保密责任协议,明确网络与信息安全及保密责任。
第三十一条 服务机构接受省外办的网络与信息安全及保密监督和管理,服务机构如违反有关规定或因工作疏忽造成网络与信息安全事故、泄密事件等事故,要承担责任,并赔偿损失。如涉及违法情节,将移交司法部门追究其法律责任。
第三十二条 本办法由省外办人事秘书处负责解释、修订。
第三十三条 本办法发布之日起实施。