标准规范下载简介
GB/T 39770-2021 信息技术服务 服务安全要求.pdf简介:
"GB/T 39770-2021 信息技术服务 服务安全要求"是中国的国家标准,全称为《信息技术服务 服务安全要求》,它属于信息技术服务领域的标准。该标准旨在规范和指导信息技术服务提供商在提供服务时,如何确保服务的安全性,包括但不限于信息安全、业务连续性、数据保护、隐私保护等方面。
该标准详细规定了信息技术服务提供商在设计、实施、运行和维护服务时应遵循的安全控制措施和管理策略,以降低服务中断、数据泄露等风险,保护用户信息和业务资源的安全。通过遵循该标准,服务提供商可以提高服务质量,增强客户信任,同时符合国家和行业的安全法规要求。
总的来说,GB/T 39770-2021 是为了促进信息技术服务行业健康发展,提升服务质量,保障信息资产安全的重要标准。
GB/T 39770-2021 信息技术服务 服务安全要求.pdf部分内容预览:
GB/T25069界定的以及下列术语和定义适用于本文件 3.1 信息技术服务informationtechnologyservice 服务提供方为服务需求方开发、应用信息技术的服务,以及服务提供方以信息技术为手段提供支持 服务需求方业务活动的服务 注1:常见服务内容包括软件服务、硬件服务以及其他相关的服务 注2:常见服务形态有信息技术咨询服务、设计与开发服务、信息系统集成实施服务、运行维护服务、数据处理和存 储服务、运营服务、数字内容服务、呼叫中心服务及其他信息技术服务, [GB/T29264—2012,定义2.1] 3.2 服务需求方 serviceacquirer 需要信息技术服务的组织机构或个人。 3.3 服务提供方 service provider 提供信息技术服务的组织机构或个人。 3.4 服务安全 servicesecurity 不因服务提供方相关服务要素的介入,以及供需双方的交互,导致对服务需求方的业务、资产、系统 等造成损害的特性。 3.5 服务人员 servicepeople 提供信息技术服务所需的人员。 3.6 服务过程 service process 提供信息技术服务时,合理利用必要的资源,将输入转化为输出的一组相互关联和结构化的活动
)满足服务过程中资产保密性、完整性和可用性要求
服务提供方和服务需求方在服务提供过程中应遵循以下安全原则: a) 合规原则 以符合网络安全有关的法律、法规和标准规范为原则: b) 关键业务原则 以优先保障服务需求方关键业务安全为原则; c) 最小影响原则 以对服务需求方业务运行影响最小为原则; d) 合作原则 以服务需求方和服务提供方通力合作,共同保障服务安全为原则
行安全风险评估,有针对性的落实服务安全要求 实现信息技术服务安全风险的有效 购附录A
服务需求方从服务安全目标出发,提出服务安全需求湖南省房屋建筑和市政基础设施工程岩土工程勘察报告施工图审查要点(2018试行),落实服务安全管控措施,要求包括: a 加强服务安全建设,完善服务安全管理制度; b)明确服务安全需求,将需求传达到服务提供方; C 为服务提供方提供必要的资源支持: d)开展服务安全监督,配合服务提供方不断提升服务安全水平
服务提供方应建立服务安全组织机构和定义服务安全职责,要求包括: )具备与信息技术服务相符合的人力资源规模,建立服务安全组织机构; 定义相关服务安全岗位,明确安全职责。 注:服务安全角色和职责定义示例参见附录B
服务提供方应建立服务安全管理制度,要求包括: a)建立服务安全管理制度,满足所提供的信息技术服务需求; 注:建立信息安全管理制度时参见GB/T24405.1—2009和GB/T22080—2016。 b)保持与服务需求方的安全管理要求一致; c)持续开展制度执行情况的内部检查和改进; d)定期评审服务安全管理制度的有效性
明确服务项目涉及的外部供应链及其支撑关系,并得到服务需求方确认; b)选用可替代的服务和产品,减少单一供应商依赖:
将服务安全目 与外部供应商 办议执行情况进行有效的监督
6服务生存周期安全要求
6服务生存周期安全要求
服务提供方通过对服务需求进行调研分析,识 可和控制服务需求安全风险,要求包括: a)评估服务提供方的服务能力、资质、服务体系、安全管理和保障能力,选择可靠的服务提供方; b)分析服务安全需求,包括明确需求(如:协议要求、业务要求)和隐含需求(如:法律法规要求、服 务需求方期望),形成服务需求文档; C 评审服务需求,确保供需双方达成共识: d 签订服务合同或服务协议,确保包含服务安全和保密义务条款。
服务提供方根据服务需求方的安全需求进行服务设计,识别和控制服务设计安全风险,要求包括: )编制服务设计方案,确定服务所需的组件和要素,满足服务安全需求; b)制定服务安全管理、评价和改进计划,保障服务所需的资源和预算,确保符合整体安全目标; 寸措施,并保留过程记录
服务提供方根据服务设计方案进行实现部署,识别和控制服务实现安全风险,要求包括: )确保实现结果和服务设计保持一致并能满足安全需求: 进行测试或者试运行,减少过程风险和对生产运营环境的影响,如进行压力测试、用户测试等; c)识别服务部署、移交过程中的风险,并制定合理的应对措施
服务协议到期或终止时,为确保服务顺利退出,服务双方通过沟通并选择适当的退出策略,识别利 控制服务退出安全风险,要求包括: a)制定服务终止计划,识别服务终止的风险,采取相应风险控制措施; b)在确保业务连续性的前提下,对服务中投入的设备设施、信息资源、人员等进行回收确认; c)对服务相关资料进行移交、保存或销毁
服务协议到期或终止时,为确保服务顺利退出,服务双方通过沟通并选择适当的退出策略,识别利 控制服务退出安全风险,要求包括: a)制定服务终止计划,识别服务终止的风险,采取相应风险控制措施; b)在确保业务连续性的前提下,对服务中投入的设备设施、信息资源、人员等进行回收确认; c)对服务相关资料进行移交、保存或销毁
d)对服务授权和敏感信息进行安全审查
7服务能力要素安全要求
根据服务安全需求对人员进行选择,要求包括: a) 识别和定义服务岗位的安全要求; b) 对重要岗位服务人员进行背景调查; c 为服务人员分配唯一的身份标识; d 基于职责分离和最小授权的原则为服务人员分配权限: e)对涉及敏感信息的服务人员,明确其保密义务并签订保密协议。
按服务安全需求对人员进行培训,要求包括: 在上岗前,对人员开展服务安全培训,培训内容包括但不限于:相关法律法规、安全制度和规 范、安全意识、从事服务所需的必要安全技能等; 有特殊安全要求的岗位人员,应具备相关的资质认证; c)服务过程中,定期对人员开展服务安全培训
服务安全需求对人员进行考核,要求包括: 在上岗前,对人员开展信息安全考核,考核不通过的人员不予上岗: 服务过程中,定期开展信息安全考核,考核不通过的人员加强培训或进行更换; 对违反安全规定的责任人员记录考核绩效,造成不利影响的责任人员应承担相应责任
按服务安全需求对人员进行考核,要求包括: )在上岗前,对人员开展信息安全考核,考核不通过的人员不予上岗; 6)服务过程中,定期开展信息安全考核,考核不通过的人员加强培训或进行更换; c)对违反安全规定的责任人员记录考核绩效,造成不利影响的责任人员应承担相应责任
发生人员变更需要进行有效安全管控,要求包括: a 人员变更前,服务提供方提前告知服务需求方并提交变更方案,经双方确认后,在确保业务连 续性的情况下实施变更; b 变更确认后,收回离场人员所有信息资产,撤销离场人员相关权限,并进行书面确认; c) 变更结束后,以书面形式对离场人员重申保密义务,离场人员接受道溯审计
过程定义安全应明确服务过程定义和安全责任,要求包括: a)定义服务标准作业过程和服务监督管理过程; b)识别过程所有权,明确过程活动安全权责; c)明确过程及其相关文档版本控制; d)对服务过程进行定期评审。
a)按照过程定义,配备人员和资源,采取约定的技术执行服务; b)落实服务过程安全控制措施: c)持续进行服务安全风险监控
过程记录安全应明确服务过程记录的存储和访问控制,要求包括: a)确保所有的服务过程和服务活动都形成记录; b)确保服务过程记录不被非授权访问; c)对服务过程记录进行存储和备份,保存期限应满足合规要求。
过程变更安全应明确服务过程变更需要的安全控制,要求包括: a)严格按照变更管理制度实施过程变更,确保变更过程获得审批; b)评审变更过程的合理性和正确性,充分评估变更安全风险; c)在受控的环境下对变更进行充分测试; d)记录并保留变更过程和结果
技术获取安全应确保以合理的方式获得安全合规的技术,要求包括: a)选择安全合规的技术提供方,并满足所提供技术的安全支持能力; b)确保获得的技术是完整、安全和可靠的; c)在技术许可协议中,明确与技术安全有关的参数; d)论证和审定技术获取过程的合理性和正确性: e)记录并保留技术获取的方法和理由
技术实施安全应确保所实施技术的安全性,要求包括: 提供交付清单并进行核实,如技术设备、工具、文档等 提供技术培训如技术原理、技术使用、安全风险等: c)针对技术实施在受控环境下进行充分测试; 1 论证和审定技术实施过程的合理性和正确性; e)记录并保留技术实施的过程和结果,
技术维护安全应确保技术可以持续满足服务协议,要求包括: a)监控技术运行状况,持续评估技术是否满足服务协议; b)根据服务需求和技术进步及时调整相应技术,包括技术引入、技术升级、技术退出等,并评估 风险:
c)记录并保留技术维护的过程和结果
7.4.1资源分类分级
识别资源的安全需求和敏感程度,对资源进行分类分级管理
Z.4.2资源安全责任
并定义资源安全的不同角色,明确每种角色的安全
7.4.3资源合理使用
7.4.3.1资源获取
资源获取安全应确保资源合法获取和可用,要求包括: )确保服务资源的可用性; 6)确保服务资源获取的合法性
《模块化同层排水节水系统应用技术规程 CECS320:2012》7.4.3.2资源利用
资源利用安全应确保服务过程中资源的合理使用,要求包括: a)确保服务资源仅用于服务的预定目的,防止非授权访问; b)制定资源利用规则和过程,避免资源滥用; c)保留资源使用记录和日志
7.4.3.3资源回收
资源回收安全应确保服务结束后资源进行安全回收,要求包括: a)服务结束后及时释放资源,进行服务资源回收; b 评估资源回收的访问权限残留风险,及时回收各类访问账号和权限 c)评估资源回收的数据残留风险,按照要求进行有效的风险处置。
附录A (资料性附录) 信息技术服务安全风险评估
(资料性附录) 信息技术服务安全风险评估
表A.1安全风险评估对象和评估内容
GB∕T 21014-2007 土方机械 计时表附录B (资料性附录 服务安全角色和职 信息技术服务安全相关的角色和职责示例见表B.1。
表B.1服务安全角色和职责示例