路径: 主页 > GB/T > 第217页 > GB/T 39770-2021 | 标准编号 | GB/T 39770-2021 (GB/T39770-2021) | | 中文名称 | | | 英文名称 | Information technology service - Service security requirements | | 行业 | 国家标准 (推荐) | | 中标分类 | L77 | | 字数估计 | 14,131 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 39770-2021
信息技术服务 服务安全要求
Information technology service -- Service security requirements
1 范围
本标准提出了信息技术服务安全模型,规定了安全总则、生存周期和能力要素的安全要求。
本标准适用于信息技术服务提供方、服务需求方和第三方。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069 信息安全技术 术语
3 术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
信息技术服务
服务提供方为服务需求方开发、应用信息技术的服务,以及服务提供方以信息技术为手段提供支持
服务需求方业务活动的服务。
注1:常见服务内容包括软件服务、硬件服务以及其他相关的服务。
注2:常见服务形态有信息技术咨询服务、设计与开发服务、信息系统集成实施服务、运行维护服务、数据处理和存储服务、运营服务、数字内容服务、呼叫中心服务及其他信息技术服务。
3.2
服务需求方
需要信息技术服务的组织机构或个人。
3.3
服务提供方
提供信息技术服务的组织机构或个人。
3.4
服务安全
不因服务提供方相关服务要素的介入,以及供需双方的交互,导致对服务需求方的业务、资产、系统
等造成损害的特性。
4 服务安全模型
本标准提出的信息技术服务安全模型,是以服务安全风险评估为基础,遵循服务安全原则,对服务
需求方、服务提供方、服务生存周期、服务能力要素提出安全要求,达成服务安全目标。其中服务生存周期包括需求、设计、实现、运营、退出五个阶段,服务能力要素包括服务人员(简称人员)、服务过程(简称过程)、服务技术(简称技术)、服务资源(简称资源),模型如图1所示。
5 服务安全总则
5.1 服务安全目标
根据信息技术服务需求和内外部环境,制定信息技术服务安全战略,通过实施技术和管理的安全控
制措施,确保安全目标达成。服务安全目标包括:
a) 满足法律法规和相关标准规范要求;
b) 满足合同要求;
c) 满足服务需求方安全制度要求;
d) 满足服务过程中资产保密性、完整性和可用性要求。
5.2 服务安全原则
服务提供方和服务需求方在服务提供过程中应遵循以下安全原则:
a) 合规原则
以符合网络安全有关的法律、法规和标准规范为原则;
b) 关键业务原则
以优先保障服务需求方关键业务安全为原则;
c) 最小影响原则
以对服务需求方业务运行影响最小为原则;
d) 合作原则
以服务需求方和服务提供方通力合作,共同保障服务安全为原则。
5.3 安全风险评估
应对服务提供方、服务生存周期、服务能力要素进行安全风险评估,有针对性的落实服务安全要求,
实现信息技术服务安全风险的有效控制,评估内容参见附录A。
5.4 服务需求方
服务需求方从服务安全目标出发,提出服务安全需求,落实服务安全管控措施,要求包括:
a) 加强服务安全建设,完善服务安全管理制度;
b) 明确服务安全需求,将需求传达到服务提供方;
c) 为服务提供方提供必要的资源支持;
d) 开展服务安全监督,配合服务提供方不断提升服务安全水平。
5.5 服务提供方
5.5.1 组织架构
5.5.2 管理制度
5.5.3 供应链安全
服务提供方应确保服务供应链安全,提升服务连续性,要求包括:
a) 明确服务项目涉及的外部供应链及其支撑关系,并得到服务需求方确认;
b) 选用可替代的服务和产品,减少单一供应商依赖;
c) 将服务安全目标、原则和相关安全要求有效传递到外部供应链;
d) 与外部供应商签订服务协议或采购协议,并对协议执行情况进行有效的监督。
6 服务生存周期安全要求
6.1 需求
服务提供方通过对服务需求进行调研分析,识别和控制服务需求安全风险,要求包括:
a) 评估服务提供方的服务能力、资质、服务体系、安全管理和保障能力,选择可靠的服务提供方;
b) 分析服务安全需求,包括明确需求(如:协议要求、业务要求)和隐含需求(如:法律法规要求、服
务需求方期望),形成服务需求文档;
c) 评审服务需求,确保供需双方达成共识;
d) 签订服务合同或服务协议,确保包含服务安全和保密义务条款。
6.2 设计
服务提供方根据服务需求方的安全需求进行服务设计,识别和控制服务设计安全风险,要求包括:
a) 编制服务设计方案,确定服务所需的组件和要素,满足服务安全需求;
b) 制定服务安全管理、评价和改进计划,保障服务所需的资源和预算,确保符合整体安全目标;
c) 评审新的或变更的服务对现有服务的风险及应对措施,并保留过程记录。
6.3 实现
服务提供方根据服务设计方案进行实现部署,识别和控制服务实现安全风险,要求包括:
a) 确保实现结果和服务设计保持一致并能满足安全需求;
b) 进行测试或者试运行,减少过程风险和对生产运营环境的影响,如进行压力测试、用户测试等;
c) 识别服务部署、移交过程中的风险,并制定合理的应对措施。
6.4 运营
服务需求方对服务提供方所提供的服务进行监控,识别和控制服务运营安全风险,要求包括:
a) 建立服务过程,确保服务过程的有效执行,并形成记录;
b) 备份并妥善保管服务过程中产生的服务数据(如方案、报告、记录等);
c) 定期审核服务安全管控的执行情况,对异常情况及时采取处置措施;
d) 制定、更新服务安全应急......
|