标准规范下载简介
GB/T 39770-2021 信息技术服务 服务安全要求.pdfICS 35.080 L77
中华人民共和国国家标湘
JGJT178-2009 补偿收缩混凝土应用技术规程.pdfGB/T 39770—2021
technology serviceService security red
本标准按照GB/T1.1一2009给出的规则起草。 本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。 本标准起草单位:上海三零卫士信息安全有限公司、中国电子技术标准化研究院、北京护航科技股 份有限公司、北京德信永道信息技术服务有限公司、中国电子科技网络信息安全有限公司、中国电信集 团有限公司、北京银信长远科技股份有限公司、成都市人力资源社会保障信息中心、四川久远银海软件 股份有限公司、成都信息化技术应用发展中心、北京伟任佳杰信息技术服务有限公司、上海北宙企业管 理咨询有限公司、上海安言信息技术有限公司 技有限公司、兴业数字 限公司、南方电 本标准主要起草人:干露、查海平、张毅、张树玲、于浩、杨泉、董贵山、蒋涛、陈剑锋、张静、何昆 黄玉变、陈杨、岳彩云、孙佩、付华茂、杨海涛、白璐、尹正茹、刘、钱伟峰、熊健淞、李霞、许志恒、李俊玲 李洋、沈勇、王晶、王晓清、干国胜、王丽明、吴芸、孙宇明、陈武
信息技术服务服务安全要求
本标准提出了信息技术服务安全模型,规定了安全总则、生存周期和能力要素的安全要求 本标准适用于信息技术服务提供方、服务需求方和第三方。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25069信息安全技术术语
本标准提出了信息技术服务安全模型,规定了安全总则、生存周期和能力要素的安全要求 本标准适用于信息技术服务提供方、服务需求方和第三方。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25069信息安全技术术语
GB/T25069界定的以及下列术语和定义适用于本文件 3.1 信息技术服务informationtechnologyservice 服务提供方为服务需求方开发、应用信息技术的服务,以及服务提供方以信息技术为手段提供支持 服务需求方业务活动的服务 注1:常见服务内容包括软件服务、硬件服务以及其他相关的服务 注2:常见服务形态有信息技术咨询服务、设计与开发服务、信息系统集成实施服务、运行维护服务、数据处理和存 储服务、运营服务、数字内容服务、呼叫中心服务及其他信息技术服务, [GB/T29264—2012,定义2.1] 3.2 服务需求方 serviceacquirer 需要信息技术服务的组织机构或个人。 3.3 服务提供方 service provider 提供信息技术服务的组织机构或个人。 3.4 服务安全 servicesecurity 不因服务提供方相关服务要素的介入,以及供需双方的交互,导致对服务需求方的业务、资产、系统 等造成损害的特性。 3.5 服务人员 servicepeople 提供信息技术服务所需的人员。 3.6 服务过程 service process 提供信息技术服务时,合理利用必要的资源,将输入转化为输出的一组相互关联和结构化的活动
)满足服务过程中资产保密性、完整性和可用性要求
服务提供方和服务需求方在服务提供过程中应遵循以下安全原则: a) 合规原则 以符合网络安全有关的法律、法规和标准规范为原则: b) 关键业务原则 以优先保障服务需求方关键业务安全为原则; c) 最小影响原则 以对服务需求方业务运行影响最小为原则; d) 合作原则 以服务需求方和服务提供方通力合作,共同保障服务安全为原则
行安全风险评估,有针对性的落实服务安全要求 实现信息技术服务安全风险的有效 购附录A
服务需求方从服务安全目标出发,提出服务安全需求,落实服务安全管控措施,要求包括: a 加强服务安全建设,完善服务安全管理制度; b)明确服务安全需求,将需求传达到服务提供方; C 为服务提供方提供必要的资源支持: d)开展服务安全监督,配合服务提供方不断提升服务安全水平
服务提供方应建立服务安全组织机构和定义服务安全职责,要求包括: )具备与信息技术服务相符合的人力资源规模,建立服务安全组织机构; 定义相关服务安全岗位,明确安全职责。 注:服务安全角色和职责定义示例参见附录B
服务提供方应建立服务安全管理制度,要求包括: a)建立服务安全管理制度,满足所提供的信息技术服务需求; 注:建立信息安全管理制度时参见GB/T24405.1—2009和GB/T22080—2016。 b)保持与服务需求方的安全管理要求一致; c)持续开展制度执行情况的内部检查和改进; d)定期评审服务安全管理制度的有效性
明确服务项目涉及的外部供应链及其支撑关系,并得到服务需求方确认; b)选用可替代的服务和产品,减少单一供应商依赖:
将服务安全目 与外部供应商 办议执行情况进行有效的监督
6服务生存周期安全要求
DBJ/T15-130-2017标准下载6服务生存周期安全要求
服务提供方通过对服务需求进行调研分析,识 可和控制服务需求安全风险,要求包括: a)评估服务提供方的服务能力、资质、服务体系、安全管理和保障能力,选择可靠的服务提供方; b)分析服务安全需求,包括明确需求(如:协议要求、业务要求)和隐含需求(如:法律法规要求、服 务需求方期望),形成服务需求文档; C 评审服务需求,确保供需双方达成共识: d 签订服务合同或服务协议,确保包含服务安全和保密义务条款。
服务提供方根据服务需求方的安全需求进行服务设计,识别和控制服务设计安全风险,要求包括: )编制服务设计方案,确定服务所需的组件和要素,满足服务安全需求; b)制定服务安全管理、评价和改进计划,保障服务所需的资源和预算,确保符合整体安全目标; 寸措施,并保留过程记录
服务提供方根据服务设计方案进行实现部署,识别和控制服务实现安全风险,要求包括: )确保实现结果和服务设计保持一致并能满足安全需求: 进行测试或者试运行,减少过程风险和对生产运营环境的影响,如进行压力测试、用户测试等; c)识别服务部署、移交过程中的风险,并制定合理的应对措施
服务协议到期或终止时,为确保服务顺利退出,服务双方通过沟通并选择适当的退出策略,识别利 控制服务退出安全风险,要求包括: a)制定服务终止计划,识别服务终止的风险,采取相应风险控制措施; b)在确保业务连续性的前提下,对服务中投入的设备设施、信息资源、人员等进行回收确认; c)对服务相关资料进行移交、保存或销毁
服务协议到期或终止时,为确保服务顺利退出,服务双方通过沟通并选择适当的退出策略,识别利 控制服务退出安全风险,要求包括: a)制定服务终止计划,识别服务终止的风险,采取相应风险控制措施; b)在确保业务连续性的前提下国有企业产业投资基金运作模式初探,对服务中投入的设备设施、信息资源、人员等进行回收确认; c)对服务相关资料进行移交、保存或销毁
d)对服务授权和敏感信息进行安全审查
7服务能力要素安全要求