第一条为加强绵阳师范学院信息技术外包服务的安全管理，明确管理责任和管理要求，提高信息安全管理水平，依据《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求（GB/T22239-2019）》《关于境内企业承接服务外包业务信息保护的若干规定》等有关法规政策，结合学校实际，制定本办法。

第二条本办法所称信息技术外包服务，是指绵阳师范学院以签订合同的方式，委托承担信息技术服务，主要包括各业务系统运行维护服务、计算机、打印机、网络硬件设备维修、软件应用系统维护及其它相关信息化建设服务等。

第三条安全管理是以安全为目的，进行有关安全工作的方针、政策、计划、组织、指挥、协调、控制等职能，合理有效地使用人力、财力、物力、时间和信息，为达到预定的安全防范目标而进行的各种活动的总和。

第四条外包服务安全管理遵循关于安全的所有商业准则及相关的法律法规。

第五条外包服务包括基础信息网络维护、信息化设备维护、应用系统运行维护服务、信息技术咨询服务、技术培训等。

第六条外包服务安全管理应按照“安全第一、预防为主、综合治理”的原则，采取科学有效的安全管理措施，应用确保信息安全的技术手段，建立权责明确、覆盖信息化全过程的岗位责任制，对信息化全过程实行严格监督和管理，确保信息安全。

第七条各业务系统使用单位与外包服务方签订《数据安全保密协议》，明确保密相关范围及外包服务方责任等，并将协议复印件或扫描件提交至网络信息中心备案。

第八条外包服务方的人员素质、技术与管理水平能够满足拟承担项目的要求，各业务系统使用单位在签订外包服务合同时，应进行相应的安全资质管理，留存外包服务方各类技术、技能证书等资质证书电子或纸质复印件。

第九条各业务系统使用单位负责本部门信息系统的日常信息安全监督、检查、指导工作。对外包单位提供的服务进行安全性监督与评估，采取安全措施对访问实施控制，出现问题应遵照合同规定及时处理和报告，确保其提供的服务符合要求。

第十条各业务系统使用单位应在重要安全区域，对外包服务方的每次访问进行风险控制，必要时应对外包服务方的访问权限进行限制。

第十一条信息化办公室、网络信息中心负责绵阳师范学院基础信息网络维护、信息化设备维护安全管理工作。

第十二条本办法由信息化办公室、网络信息中心负责解释。

第十三条本办法自印发之日起生效执行。

2024年4月