GB/T 39770-2021
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 39770-2021.Information technology service-Service security requirements.
1范围
GB/T 39770提出了信息技术服务安全模型,规定了安全总则、生存周期和能力要素的安全要求。
GB/T 39770适用于信息技术服务提供方、服务需求方和第三方。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069信息安全技术 术语
3术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
信息技术服务 information technology service
服务提供方为服务需求方开发、应用信息技术的服务,以及服务提供方以信息技术为手段提供支持服务需求方业务活动的服务。
注1;常见服务内容包括软件服务、硬件服务以及其他相关的服务。
注2:常见服务形态有信息技术咨询服务.设计与开发服务.信息系统集成实施服务.运行维护服务.数据处理和存
储服务、运营服务、数字内容服务、呼叫中心服务及其他信息技术服务。
[GB/T 29264-2012,定义 2.1]
3.2
服务需求方 service acquirer
需要信息技术服务的组织机构或个人。
3.3
服务提供方 service provider
提供信息技术服务的组织机构或个人。
3.4
服务安全 service security
不因服务提供方相关服务要素的介人。以及供需双方的交互,导致对服务需求方的业务、资产、系统等造成损害的特性。
3.5
服务人员 service people
提供信息技术服务所需的人员。
1范围
GB/T 39770提出了信息技术服务安全模型,规定了安全总则、生存周期和能力要素的安全要求。
GB/T 39770适用于信息技术服务提供方、服务需求方和第三方。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069信息安全技术 术语
3术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
信息技术服务 information technology service
服务提供方为服务需求方开发、应用信息技术的服务,以及服务提供方以信息技术为手段提供支持服务需求方业务活动的服务。
注1;常见服务内容包括软件服务、硬件服务以及其他相关的服务。
注2:常见服务形态有信息技术咨询服务.设计与开发服务.信息系统集成实施服务.运行维护服务.数据处理和存
储服务、运营服务、数字内容服务、呼叫中心服务及其他信息技术服务。
[GB/T 29264-2012,定义 2.1]
3.2
服务需求方 service acquirer
需要信息技术服务的组织机构或个人。
3.3
服务提供方 service provider
提供信息技术服务的组织机构或个人。
3.4
服务安全 service security
不因服务提供方相关服务要素的介人。以及供需双方的交互,导致对服务需求方的业务、资产、系统等造成损害的特性。
3.5
服务人员 service people
提供信息技术服务所需的人员。
标准图片预览
标准内容
ICS35.080
中华人民共和国国家标准
GB/T39770—2021
信息技术服务
服务安全要求
Information technology service-Service security requirements2021-03-09发布
国家市场监督管理总局
国家标准化管理委员会
2021-10-01实施
GB/T 39770—2021
规范性引用文件
术语和定义
4服务安全模型
5服务安全总则
服务安全日标
服务安全原则
安全风险评估
服务需求方
服务提供方
服务生存周期安全要求
服务能力要素安全要求
附录A(资料性阴录)
附录B(资料性附录)
参考义献
信息技术服务安企风险评估
服务安全角色和职员示例
-rrKaeerKa-
本标准按照GB/T1.12009给出的规则起草。本标准由全国信息技术标准化技术委员会(SAC/IC28)提出并归GB/T 39770—2021
本标准起草位:上海三零卫上信息安全有限公司、中国电子技术标准化研究院、北京护航科技股份有限公司、北京德信永道信息技术服务有限公司、中国电子科技网络信息安全有限公司、中国电信集团有限公司北京银信长远科技股份有限公司,成都市人力资源社会保障信息中心,四川久远银海软件股份有限公司、成都信息化技术应用发展中心、北京伟仕佳杰信息技术服务有限公司、上海北审企业管理资询有限公司、上海安言信息技术有限公司、金税信息技术服务股份有限公司、成都清华水新网络科技有限公司、兴业数字金融股务(上海)股份有限公司、石家庄学院、平安科技(深圳)有限公司、南方电网广东佛山供电局、浙汇人华技术股份有限公司、湖北1业职业技不学院、市林谷电了信息产品检验研究院、音都信息发展股份有限公司、江苏思特瑞信息技术有限公司、国网信通亿力科技有限贵任公司。本标准主要起草人:十露、杏海平、张毅、张树玲、丁浩、杨泉、董责山、蒋涛、陈剑锋、张静、何昆黄玉、陈杨、岳彩云、孙佩、付华茂、杨海涛、璐、尹正茹、刘、钱伟峰、熊健淞、李霞、许志恒、李俊玲李洋、沈勇、土品、王晓清、下国胜、土丽明、吴芸、孙宁明、陈武。rrkaeerkAca
-riKacerKAca-
1范围
信息技术服务服务安全要求
GB/T39770—2021
本标准提出了信息技术服务安全模型,规定了安全总则、牛存周期和能力安素的安全安求。本标准适用于信息技术服务提供方,服务需求方和第一方2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的用支件,仅注日期的版本适用于本支件。凡是不注口期的引用支件,其最新版本(包插所有的修改单)适用丁本文件GB/T25069信息安全技术术语
3术语和定义
GB/I25069界定的以及下列术语和定义适用干本文件。3.1
各informationtechnologyservice信息技术服务
服务提供方为服务需求方开发、应用信息技术的服务,以及服务提供方以信息技术为于段提供支持服务需求方业务活动的服务
注1:常见服务内容包括软件服务、硬件服务以及其他相关物服务注2:常见服务形态有信息技术咨询服务、设计与开发服务,信息系统集成实施服务,运行维护服务、数据处理和存储服务,运营服务、数字内容服务、呼叫中心服务及其他信息技术服务_GB/T29264—2012,定义2.1
服务需求方service acquirer
需要信息技术服务的组织机构或个人。3.3
服务提供方serviceprnvider
提供信息技术服务的组织机构或个人,3.4
服务安全
servicesecurit
不因服务提供方关服务要索的介人,以及供需双方的交互,导致对服务需求方的业务,资产,系统等造成损害的特性。
服务人员
service people
提供信息技术服务所需的人员,3.6
服务过程
service process
提供信息技术服务时,合理利用必要的资源,将输人转化为输山的一组相互关联和结构化的活动。1
-rrKaeerkAca-
GB/T39770—2021
服务技术servicetechnology
交付满足质量要求的信息技术服务应便用的技术和应具备的技术能力。3.8
服务资源
service resource
提供信息技术服务所依存和产生的有形及无形资产。4服务安全模型
本标准提出的信息技术服务安企模型,是以服务安企风险评估为基础,遵循服务安企原则,对服务需求方、服务提供方、服务生存周期、服务能力要素提出安全要求,达成服务安全口标。其中服务生存周期包括需求、设计,实现、运营,退出五个阶段,服务能力要系包括服务人员(简称人员),服务过程(简称过程)、服务技术(简称技术)、服务资源(简称资源),模型如图1所示。服务安全月标
服务安全原则
服务生存周期
服务能力要素
服务雷求方服务谢求
5服务安全总则
5.1服务安全目标
服务安全风险评估
图1信息技术服务安全模型
服务促供服务提供方
根据信息技术服务需求和内外部环境,制定信息技术服务安全战略:通过实施技术和管理的安全控制措施,确保安全日标达成。服务安全日标包括:a)满足法律法规和相关标准规范要求;b)满是合同要求;
满足服务需求方安全制度要求;c
-rrKaeerKca-
d)满足服务过程中资产保密性、完整性和可用性要求。服务安全原则
服务提供方利服务需求方在服务提供过程中应遵循以下安全原则:a)
合舰原则
以符合网络安全右美的法律、法规和标准规范为原则:关链业务原则
以优先保障服务带求方关键业务安全为原则;c
最小影响原则
以对服务需求方业务运行影响最小为原则:d)
合作愿则
以服务需求方和服务提供方力合作,共同保障服务安全为原则。5.3安全风险评估
GB/T39770—2021
应对服务提供方、服务生存周期、服务能力要素进行安全风险评估,有针对性的落实服务安全要求。实现信息技术服务安全风险的有效控制.评估内容参见附录A,5.4服务需求方
服务需求方从服务安全目标出发,提出服务安全需求,落实服务安全管控招施,要求包括:加强服务安全建设,完善服务安全管理制度:a)
明研服务安全需求.将需求传达到服务提供方;为服务提供方提供必要的资源支持;山)开展服务安全监督,配合服务提供方不断提升服务安全水平。5.5
服务提供方
5.5.1组织架构
服务提供方应建立服务安全组织机构和定义服务安全职责,要求包括具备与信息技术服务相符合的人力资源规模,建立服务安全组织机构;a)
定义相关服务安全岗位,明确安全职责b)
注:服务安全角色和职责定义示例参见附录B。5.5.2管理制度
服务提供方应建立服务安全管埋制度,要求包括:a)
建立服务安全管理制度,满足所提供的信息技术服务需求:注:至文信息安全管琪制度时参见GB/T24405,1—2003和G1/T22383—201G.保持与服务需求方的安全管理要求一致;b)
持续开展制度执行情况的内部检查和改进d)定期评审服务安全管理制度的有效性。5.5.3供应链安全
服务提供方应确保服务供应链安全,提升服务连续性.要求包括a)明确服务项口涉及的外部供应链及其支撑关系·并得到服务需求方确认:b)选用可誉代的服务和产品,减少单一供应商依赖:3
-rrKaeerkAca-
GB/T39770—2021
将服务安全日标、原则和相关安全要求有效传递到外部供应链:)与外部供应商签订服务协议或采购协议,并对协议执行情况进行有效的监督。6服务生存周期安全要求
6.1需求
服务提供方通过对服务需求进行调研分析,识别和控制服务需求安全风险,要求包括:评估服务提供方的服务能力、资质,服务体系,安全管理和保障能力,选择可靠的服务提供方a
分析服务安全需求·包括明确需求(如:协议要求,业务要求)和隐含需求(如:法律法现要求,服b
务需求方期望),形成服务需求文档:评审服务需求,确保供需双方达成共识c
d)签订服务合同或服务协议,确保包含服务安全和保密义务条款,6.2设计
服务提供方根据服务需求方的安全需求进行服务设计,识别和控制服务设计安全风险,要求包括:缩制服务设计方案,确定服务所需的组件和要素,满足服务安全需求;a
制定服务安全管理评价和改进计划,保障服务所需的资源和预算,确保符合整体安全日标:b
评审新的或安更的服务对现有服务的风险及应对措施,并保留过程记录。c
6.3实现
服务提供方根据服务设计方案进行实现部署,识别和控制服务实现安全风险,安求包括确保实现结果和服务设计保持一致并能满足安全需求:a
进行测试或者试运行,减少过程风险和对生产运营环境的影响,如进行力测试,用户测试等:识别服务部署、移交过程中的风险·并制定合理的应对措施,6.4运营
服务需求方对服务提供方所提供的服务进行监控,识别和控制服务运营安全风险,要求包括:建立服务过程,确保服务过程的有效执行,并形成记录a)
备份并要善保管服务过程中产生的服务数据(如方案、报告、记录等):定期审核服务安全管控的执行情况,对异常情况及时采取处置措施:制定、更新服务安全应急预案.并组织演练和评估:d
动态监控服务安全风险,制定风险处置策略,及时采取风险处置措施:0
针对服务过程中关键业务和关键资产的变更、重人事件或重要时期等.加强对服务风险监控和预警,做好应急协同准备:
对服务过程所涉及的设施、数据、事件、问题、配置等敏感信息进行保密;g)
h)安全合理地使用服务过程中所产生的信息资料,确保不在服务范围以外使用。6.5退出
服务协议到期或终止时,为确保服务顺利退出,服务双方通过沟通开选择适当的退出策略,识别利控制服务退出要全风险,要求包括:a)制定服务终止计划识别服务终正的风险,采取相应风险控制措施:b)在确保业务连续性的前提下,对服务中投人的设备设施、信息资源、人员等进行回收确认;)对服务相关资料进行移交、保存或销毁;4
rrKaeerkca-
d)对服务授权和缴感信息进行安全审查7服务能力要素安全要求
7.1人员
7.1.1人员选择
根据服务安全需求对人员进行选择,要求包括:识别和定义服务岗位的安全要求;a)
b)对重要岗位服务人员进行背景调查:为服务人员分配唯一的身份标识:基职责分离和最小授权的原则为服务人员分配权限:c)对涉及墩感信息的服务人员.明确其保密义务并签订保密协议。7.1.2
人员培训
按服务安全需求对人员进行培训,要求包括:GB/T39770—2021
在上岗前,对人员开展服务安全培训,培训内容包括但不限」:相关法律法规、安全制度和规a
范、安全意识、从事服务所需的必要安全技能等:有特殊安全要求的岗位人员.应具备相关的资质认证;h
服务过程中,定期对人员开展服务安全培训。c
3人员考核bZxz.net
按服务安全需求对人员进行考核,要求包括:在上岗前,对人员开展信息安全考核,考核不通过的人员不予上岗:a)
b)服务过程中.定期开展信息安全考核,考核不通过的人员加强培训或进行更接:对违反安全规定的责任人员记录考核绩效,造成不利影响的责任人员应承担相应责任。c
7.1.4人员变更
发生人员变更需要进行有效安全管控,要求包括:a
人员变更前,服务提供方提前告知服务需求方开提交变更方案,经双方确认后,在确保业务连续性的情况下实施变更:
变更确认后,收回离场人员所有信息资产,撤销离场人员相关权限,并进行书面确认:变更结束后.以书面形式对离场人员重中保密义务,离场人员接受追溯中计,7.2过程
7.2.1过程定义
过程定义安全应明确服务过程定义和安全责任,要求包折a
定义服务标准作业过程和服务监督管理过程:h)
识别过程所有权.明确过程活动安全权责:明确过程及H相关文档版本控制:c
l)对服务过程进行定期评审。
-riKaeerkca-
GB/T39770—2021
过程执行
过程执行安全应明确服务过程安全执行并持续监控安全风险,要求包括:按照过程定义,配备人员和资源,采取约定的技术执行服务:a)
落实服务过程安全控制措施:
持续进行服务安全风险监控,
7.2.3过程记录
过程记录安全应明确服务过程记录的存储和访问控制,要求包括:确保所有的服务过程和服务活动部形成记录;b)确保服务过程记录不被非授权访间;c
对服务过程记录进行存储和备份,保存期限应满足合现要求7.2.4过程变更
过程变更安全应明确服务过程变更需要的安全控制,要求包括:a)严格按照变更管理制度实施过程变更,确保变更过程获得审批;b)
评市变更过程的合理性和正确性,充分评估变更安全风险:c)在受控的环境下对变更进行充分测试;)记录并保留变更过程和结果,7.3技术
7.3.1技术获取
技术张取安全应确保以合理的方式获得安全合规的技术,要求包括:选择安全合规的技术提供方,并满足所提供投术的安全支持能力:a)
确保张得的技术是完整、要全和可靠的:在技术许可协设中,明确与技术安全有关的参数论证和审定技术获取过程的合理性利正确性:记求准保留技术获取的方法和理由7.3.2技术实施
技术实施安全应确保所实施技术的安全性,要求包括:a
提供交付清单并进行核实:如技术设备、工具、文挡等:b)提供技术培训,如技术原理、技术便用、安全风险等;针对技术实施在受控怀境下进行充分测试:e
论证和审定技术实施过程的合理性和正确性:d)
记录并保留技术实施的过程和结果。e
7.3.3技术维护
技术维护安全应确保技术可以持续满足服务协议,要求包括:a)监控技术运行状况,持续评估技术是否满足服务协议;b)根据服务需求和技术进步及时调整相应技术,包括技术引人、技术升级、技术退出等.并评估风险:
rKaeerkAca-
记录并保留技术维护的过程和结果。7.4资源
7.4.1资源分类分级
识别资源的安全需求和敏感程度,对资源进行分类分级管理,资源安全责任
识别并定义资源安全的不同角色,明确每种角色的安全贵任。7.4.3
3资源合理使用
资源获取
资源获收安全应确保资源合法获最和可用.要求包括确保服务资源的可用性;
确保服务资源获取的合法性。
资源利用
资源利用安全应确保服务过程中资源的合理使用,要求包括:a)
确保服务资源仅用服务的预定目的,防止非授权访问;制定资源利用舰则和过程,避免资源滥用;保留资源使用记录和日志。
资源回收
资源回收安全应确保服务结束后资源进行安全回收,要求包括:a)
服务结束后及时释放资源,进行服务资源回收;评估资源回收的访问权限残留风险,及时回收各类访问账号和权限;b)
评估资源回收的数据残留风险,按照要求进行有效的风险处置,-rrKaeerkca-
GB/T 39770—2021
GB/T39770—2021
附录A
(资料性附录)
信息技术服务安全风险评估
信息技术服务安全风险评估对象包括服务提供方、服务生存周期和服务能力要素,评估内容见表A.1所示,
表A.1安全风险评估对象和评估内容评估对象
服务提共方
服务生存周期
服务能力要素
对报务提供方的安全风盗评估内容包:1)
经营资质:
财务状况;
务能力;
4)服务安全保障能力,
供成链安全等
评估内容
对服务生存周期的安全风盗评估内容包括:服务需求阶段风险,如服务合同和服务协议:2
股务设计阶段风险,如服务变更;服务实现阶段风险,如服务部署:服务运营阶段风险,如安余享件;服务退出阶段风险·如资料移交对股务能力发素的安全风验评估内容包括:1
服务人员风险评估,如人员培训:展务过程风险评代:如过程变更:报务技术风险评估,如技术授权;服务资源风险评估,如资源安全责任4)
-rKaeerkca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T39770—2021
信息技术服务
服务安全要求
Information technology service-Service security requirements2021-03-09发布
国家市场监督管理总局
国家标准化管理委员会
2021-10-01实施
GB/T 39770—2021
规范性引用文件
术语和定义
4服务安全模型
5服务安全总则
服务安全日标
服务安全原则
安全风险评估
服务需求方
服务提供方
服务生存周期安全要求
服务能力要素安全要求
附录A(资料性阴录)
附录B(资料性附录)
参考义献
信息技术服务安企风险评估
服务安全角色和职员示例
-rrKaeerKa-
本标准按照GB/T1.12009给出的规则起草。本标准由全国信息技术标准化技术委员会(SAC/IC28)提出并归GB/T 39770—2021
本标准起草位:上海三零卫上信息安全有限公司、中国电子技术标准化研究院、北京护航科技股份有限公司、北京德信永道信息技术服务有限公司、中国电子科技网络信息安全有限公司、中国电信集团有限公司北京银信长远科技股份有限公司,成都市人力资源社会保障信息中心,四川久远银海软件股份有限公司、成都信息化技术应用发展中心、北京伟仕佳杰信息技术服务有限公司、上海北审企业管理资询有限公司、上海安言信息技术有限公司、金税信息技术服务股份有限公司、成都清华水新网络科技有限公司、兴业数字金融股务(上海)股份有限公司、石家庄学院、平安科技(深圳)有限公司、南方电网广东佛山供电局、浙汇人华技术股份有限公司、湖北1业职业技不学院、市林谷电了信息产品检验研究院、音都信息发展股份有限公司、江苏思特瑞信息技术有限公司、国网信通亿力科技有限贵任公司。本标准主要起草人:十露、杏海平、张毅、张树玲、丁浩、杨泉、董责山、蒋涛、陈剑锋、张静、何昆黄玉、陈杨、岳彩云、孙佩、付华茂、杨海涛、璐、尹正茹、刘、钱伟峰、熊健淞、李霞、许志恒、李俊玲李洋、沈勇、土品、王晓清、下国胜、土丽明、吴芸、孙宁明、陈武。rrkaeerkAca
-riKacerKAca-
1范围
信息技术服务服务安全要求
GB/T39770—2021
本标准提出了信息技术服务安全模型,规定了安全总则、牛存周期和能力安素的安全安求。本标准适用于信息技术服务提供方,服务需求方和第一方2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的用支件,仅注日期的版本适用于本支件。凡是不注口期的引用支件,其最新版本(包插所有的修改单)适用丁本文件GB/T25069信息安全技术术语
3术语和定义
GB/I25069界定的以及下列术语和定义适用干本文件。3.1
各informationtechnologyservice信息技术服务
服务提供方为服务需求方开发、应用信息技术的服务,以及服务提供方以信息技术为于段提供支持服务需求方业务活动的服务
注1:常见服务内容包括软件服务、硬件服务以及其他相关物服务注2:常见服务形态有信息技术咨询服务、设计与开发服务,信息系统集成实施服务,运行维护服务、数据处理和存储服务,运营服务、数字内容服务、呼叫中心服务及其他信息技术服务_GB/T29264—2012,定义2.1
服务需求方service acquirer
需要信息技术服务的组织机构或个人。3.3
服务提供方serviceprnvider
提供信息技术服务的组织机构或个人,3.4
服务安全
servicesecurit
不因服务提供方关服务要索的介人,以及供需双方的交互,导致对服务需求方的业务,资产,系统等造成损害的特性。
服务人员
service people
提供信息技术服务所需的人员,3.6
服务过程
service process
提供信息技术服务时,合理利用必要的资源,将输人转化为输山的一组相互关联和结构化的活动。1
-rrKaeerkAca-
GB/T39770—2021
服务技术servicetechnology
交付满足质量要求的信息技术服务应便用的技术和应具备的技术能力。3.8
服务资源
service resource
提供信息技术服务所依存和产生的有形及无形资产。4服务安全模型
本标准提出的信息技术服务安企模型,是以服务安企风险评估为基础,遵循服务安企原则,对服务需求方、服务提供方、服务生存周期、服务能力要素提出安全要求,达成服务安全口标。其中服务生存周期包括需求、设计,实现、运营,退出五个阶段,服务能力要系包括服务人员(简称人员),服务过程(简称过程)、服务技术(简称技术)、服务资源(简称资源),模型如图1所示。服务安全月标
服务安全原则
服务生存周期
服务能力要素
服务雷求方服务谢求
5服务安全总则
5.1服务安全目标
服务安全风险评估
图1信息技术服务安全模型
服务促供服务提供方
根据信息技术服务需求和内外部环境,制定信息技术服务安全战略:通过实施技术和管理的安全控制措施,确保安全日标达成。服务安全日标包括:a)满足法律法规和相关标准规范要求;b)满是合同要求;
满足服务需求方安全制度要求;c
-rrKaeerKca-
d)满足服务过程中资产保密性、完整性和可用性要求。服务安全原则
服务提供方利服务需求方在服务提供过程中应遵循以下安全原则:a)
合舰原则
以符合网络安全右美的法律、法规和标准规范为原则:关链业务原则
以优先保障服务带求方关键业务安全为原则;c
最小影响原则
以对服务需求方业务运行影响最小为原则:d)
合作愿则
以服务需求方和服务提供方力合作,共同保障服务安全为原则。5.3安全风险评估
GB/T39770—2021
应对服务提供方、服务生存周期、服务能力要素进行安全风险评估,有针对性的落实服务安全要求。实现信息技术服务安全风险的有效控制.评估内容参见附录A,5.4服务需求方
服务需求方从服务安全目标出发,提出服务安全需求,落实服务安全管控招施,要求包括:加强服务安全建设,完善服务安全管理制度:a)
明研服务安全需求.将需求传达到服务提供方;为服务提供方提供必要的资源支持;山)开展服务安全监督,配合服务提供方不断提升服务安全水平。5.5
服务提供方
5.5.1组织架构
服务提供方应建立服务安全组织机构和定义服务安全职责,要求包括具备与信息技术服务相符合的人力资源规模,建立服务安全组织机构;a)
定义相关服务安全岗位,明确安全职责b)
注:服务安全角色和职责定义示例参见附录B。5.5.2管理制度
服务提供方应建立服务安全管埋制度,要求包括:a)
建立服务安全管理制度,满足所提供的信息技术服务需求:注:至文信息安全管琪制度时参见GB/T24405,1—2003和G1/T22383—201G.保持与服务需求方的安全管理要求一致;b)
持续开展制度执行情况的内部检查和改进d)定期评审服务安全管理制度的有效性。5.5.3供应链安全
服务提供方应确保服务供应链安全,提升服务连续性.要求包括a)明确服务项口涉及的外部供应链及其支撑关系·并得到服务需求方确认:b)选用可誉代的服务和产品,减少单一供应商依赖:3
-rrKaeerkAca-
GB/T39770—2021
将服务安全日标、原则和相关安全要求有效传递到外部供应链:)与外部供应商签订服务协议或采购协议,并对协议执行情况进行有效的监督。6服务生存周期安全要求
6.1需求
服务提供方通过对服务需求进行调研分析,识别和控制服务需求安全风险,要求包括:评估服务提供方的服务能力、资质,服务体系,安全管理和保障能力,选择可靠的服务提供方a
分析服务安全需求·包括明确需求(如:协议要求,业务要求)和隐含需求(如:法律法现要求,服b
务需求方期望),形成服务需求文档:评审服务需求,确保供需双方达成共识c
d)签订服务合同或服务协议,确保包含服务安全和保密义务条款,6.2设计
服务提供方根据服务需求方的安全需求进行服务设计,识别和控制服务设计安全风险,要求包括:缩制服务设计方案,确定服务所需的组件和要素,满足服务安全需求;a
制定服务安全管理评价和改进计划,保障服务所需的资源和预算,确保符合整体安全日标:b
评审新的或安更的服务对现有服务的风险及应对措施,并保留过程记录。c
6.3实现
服务提供方根据服务设计方案进行实现部署,识别和控制服务实现安全风险,安求包括确保实现结果和服务设计保持一致并能满足安全需求:a
进行测试或者试运行,减少过程风险和对生产运营环境的影响,如进行力测试,用户测试等:识别服务部署、移交过程中的风险·并制定合理的应对措施,6.4运营
服务需求方对服务提供方所提供的服务进行监控,识别和控制服务运营安全风险,要求包括:建立服务过程,确保服务过程的有效执行,并形成记录a)
备份并要善保管服务过程中产生的服务数据(如方案、报告、记录等):定期审核服务安全管控的执行情况,对异常情况及时采取处置措施:制定、更新服务安全应急预案.并组织演练和评估:d
动态监控服务安全风险,制定风险处置策略,及时采取风险处置措施:0
针对服务过程中关键业务和关键资产的变更、重人事件或重要时期等.加强对服务风险监控和预警,做好应急协同准备:
对服务过程所涉及的设施、数据、事件、问题、配置等敏感信息进行保密;g)
h)安全合理地使用服务过程中所产生的信息资料,确保不在服务范围以外使用。6.5退出
服务协议到期或终止时,为确保服务顺利退出,服务双方通过沟通开选择适当的退出策略,识别利控制服务退出要全风险,要求包括:a)制定服务终止计划识别服务终正的风险,采取相应风险控制措施:b)在确保业务连续性的前提下,对服务中投人的设备设施、信息资源、人员等进行回收确认;)对服务相关资料进行移交、保存或销毁;4
rrKaeerkca-
d)对服务授权和缴感信息进行安全审查7服务能力要素安全要求
7.1人员
7.1.1人员选择
根据服务安全需求对人员进行选择,要求包括:识别和定义服务岗位的安全要求;a)
b)对重要岗位服务人员进行背景调查:为服务人员分配唯一的身份标识:基职责分离和最小授权的原则为服务人员分配权限:c)对涉及墩感信息的服务人员.明确其保密义务并签订保密协议。7.1.2
人员培训
按服务安全需求对人员进行培训,要求包括:GB/T39770—2021
在上岗前,对人员开展服务安全培训,培训内容包括但不限」:相关法律法规、安全制度和规a
范、安全意识、从事服务所需的必要安全技能等:有特殊安全要求的岗位人员.应具备相关的资质认证;h
服务过程中,定期对人员开展服务安全培训。c
3人员考核bZxz.net
按服务安全需求对人员进行考核,要求包括:在上岗前,对人员开展信息安全考核,考核不通过的人员不予上岗:a)
b)服务过程中.定期开展信息安全考核,考核不通过的人员加强培训或进行更接:对违反安全规定的责任人员记录考核绩效,造成不利影响的责任人员应承担相应责任。c
7.1.4人员变更
发生人员变更需要进行有效安全管控,要求包括:a
人员变更前,服务提供方提前告知服务需求方开提交变更方案,经双方确认后,在确保业务连续性的情况下实施变更:
变更确认后,收回离场人员所有信息资产,撤销离场人员相关权限,并进行书面确认:变更结束后.以书面形式对离场人员重中保密义务,离场人员接受追溯中计,7.2过程
7.2.1过程定义
过程定义安全应明确服务过程定义和安全责任,要求包折a
定义服务标准作业过程和服务监督管理过程:h)
识别过程所有权.明确过程活动安全权责:明确过程及H相关文档版本控制:c
l)对服务过程进行定期评审。
-riKaeerkca-
GB/T39770—2021
过程执行
过程执行安全应明确服务过程安全执行并持续监控安全风险,要求包括:按照过程定义,配备人员和资源,采取约定的技术执行服务:a)
落实服务过程安全控制措施:
持续进行服务安全风险监控,
7.2.3过程记录
过程记录安全应明确服务过程记录的存储和访问控制,要求包括:确保所有的服务过程和服务活动部形成记录;b)确保服务过程记录不被非授权访间;c
对服务过程记录进行存储和备份,保存期限应满足合现要求7.2.4过程变更
过程变更安全应明确服务过程变更需要的安全控制,要求包括:a)严格按照变更管理制度实施过程变更,确保变更过程获得审批;b)
评市变更过程的合理性和正确性,充分评估变更安全风险:c)在受控的环境下对变更进行充分测试;)记录并保留变更过程和结果,7.3技术
7.3.1技术获取
技术张取安全应确保以合理的方式获得安全合规的技术,要求包括:选择安全合规的技术提供方,并满足所提供投术的安全支持能力:a)
确保张得的技术是完整、要全和可靠的:在技术许可协设中,明确与技术安全有关的参数论证和审定技术获取过程的合理性利正确性:记求准保留技术获取的方法和理由7.3.2技术实施
技术实施安全应确保所实施技术的安全性,要求包括:a
提供交付清单并进行核实:如技术设备、工具、文挡等:b)提供技术培训,如技术原理、技术便用、安全风险等;针对技术实施在受控怀境下进行充分测试:e
论证和审定技术实施过程的合理性和正确性:d)
记录并保留技术实施的过程和结果。e
7.3.3技术维护
技术维护安全应确保技术可以持续满足服务协议,要求包括:a)监控技术运行状况,持续评估技术是否满足服务协议;b)根据服务需求和技术进步及时调整相应技术,包括技术引人、技术升级、技术退出等.并评估风险:
rKaeerkAca-
记录并保留技术维护的过程和结果。7.4资源
7.4.1资源分类分级
识别资源的安全需求和敏感程度,对资源进行分类分级管理,资源安全责任
识别并定义资源安全的不同角色,明确每种角色的安全贵任。7.4.3
3资源合理使用
资源获取
资源获收安全应确保资源合法获最和可用.要求包括确保服务资源的可用性;
确保服务资源获取的合法性。
资源利用
资源利用安全应确保服务过程中资源的合理使用,要求包括:a)
确保服务资源仅用服务的预定目的,防止非授权访问;制定资源利用舰则和过程,避免资源滥用;保留资源使用记录和日志。
资源回收
资源回收安全应确保服务结束后资源进行安全回收,要求包括:a)
服务结束后及时释放资源,进行服务资源回收;评估资源回收的访问权限残留风险,及时回收各类访问账号和权限;b)
评估资源回收的数据残留风险,按照要求进行有效的风险处置,-rrKaeerkca-
GB/T 39770—2021
GB/T39770—2021
附录A
(资料性附录)
信息技术服务安全风险评估
信息技术服务安全风险评估对象包括服务提供方、服务生存周期和服务能力要素,评估内容见表A.1所示,
表A.1安全风险评估对象和评估内容评估对象
服务提共方
服务生存周期
服务能力要素
对报务提供方的安全风盗评估内容包:1)
经营资质:
财务状况;
务能力;
4)服务安全保障能力,
供成链安全等
评估内容
对服务生存周期的安全风盗评估内容包括:服务需求阶段风险,如服务合同和服务协议:2
股务设计阶段风险,如服务变更;服务实现阶段风险,如服务部署:服务运营阶段风险,如安余享件;服务退出阶段风险·如资料移交对股务能力发素的安全风验评估内容包括:1
服务人员风险评估,如人员培训:展务过程风险评代:如过程变更:报务技术风险评估,如技术授权;服务资源风险评估,如资源安全责任4)
-rKaeerkca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。