一、要求内容 

a)应确保安全服务商的选择符合国家的有关规定； 

b)应与选定的安全服务商签订与安全相关的协议，明确约定相关责任； 

c)应确保选定的安全服务商提供技术培训和服务承诺，必要的与其签订服务合同。 

二、实施建议 

服务商的选择要从技术资质、财务能力、人员流动情况、行业口碑、行业经验等多方面进行考虑，同时要明确与服务商之间的责任关系。 

三、常见问题 

大多公司都没有都服务商选择的具体要求，经常是启动一个项目就重新选择一次，没有严格标准可以参考，主要是依靠个人的经验。 

四、实施难点 

对于服务商的选择和审核需要派人对其能力状况进行了解或到现场进行检查，需要有经验的人员同时需要花费较长的时间。 

五、测评方法 

形式 访谈，检查。 对象 系统建设负责人，安全责任合同书或保密协议，服务合同。 

实施 

a) 应访谈系统建设负责人，询问对信息系统进行安全规划、设计、实施、维护、测评等服务的安全服务单位是否符合国家有关规定； 

b) 应访谈系统建设负责人，询问在产品采购、外包软件、系统集成和安全测评前是否对选定的安全服务商以书面文档形式（如安全责任合同书或保密协议）规范安全服务商的安全行为以及质量、服务承诺等相关内容； 

c) 应访谈系统建设负责人，由哪些安全服务商为系统运维人员提供技术培训、技术支持或安全服务，是否与其签订安全服务合同； 

d) 应检查安全责任合同书或保密协议，查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等； 

e) 应检查服务合同，查看是否包括服务内容、服务期限、双方签字或盖章等。 

六、参考资料

《信息安全等级保护信息系统安全管理要求》中外包服务商的要求： 

5.5.4.2 外包服务商 对外包服务商，不同安全等级应有选择地满足以下要求的一项： 

a）外包服务商的基本要求：应选择具有相应服务资质并信誉好的外包服务商。 

b）在既定的范围内选择外包服务商：对较为重要的业务应用，应在行业认可或者是经过上级主管部门批准的范围内，选择具有相应服务资质并信誉好的可信的外包服务商。 c）外包服务的限制要求：关键的或涉密的业务应用，一般不应采用外包服务方式。 

5.5.4.3 外包服务的运行管理 外包服务的运行，不同安全等级应有选择地满足以下要求的一项： 

a）外包服务的监控：对外包服务的业务应用系统运行的安全状况应进行监控和检查，出现问题应遵照合同规定及时处理和报告。 

b）外包服务的评估：在a）的基础上，对外包服务的业务应用系统运行的安全状况应定期进行评估，当出现重大安全问题或隐患时应进行重新评估，提出改进意见，直至停止外包服务。