GB∕T 39770-2021 信息技術服務 服務安全要求

國家市場監(jiān)督管理總局國家標準化管理委員會GB/T39770—2021 I1范圍 1 3術語和定義 2 2 25.2服務安全原則 35.3安全風險評估 35.4服務需求方 35.5服務提供方 3 4 46.2設計 46.3實現(xiàn) 46.4運營 46.5退出 4 57.1人員 57.2過程 5 67.4資源 7附錄A(資料性附錄)信息技術服務安全風險評估 8附錄B(資料性附錄)服務安全角色和職責示例 lGB/T25069信息安全技術術語2交付滿足質(zhì)量要求的信息技術服務應使用的技術和應具備的技術能力。提供信息技術服務所依存和產(chǎn)生的有形及無形資產(chǎn)。4服務安全模型本標準提出的信息技術服務安全模型，是以服務安全風險評估為基礎，遵循服務安全原則，對服務過程)、服務技術(簡稱技術)、服務資源(簡稱資源),模型如圖1所示。實現(xiàn)圖1信息技術服務安全模型5服務安全總則5.1服務安全目標根據(jù)信息技術服務需求和內(nèi)外部環(huán)境，制定信息技術服務安全戰(zhàn)略，通過實施技術和管理的安全控a)滿足法律法規(guī)和相關標準規(guī)范要求；b)滿足合同要求；c)滿足服務需求方安全制度要求；3d)合作原則456781)經(jīng)營資質(zhì)；2)財務狀況；3)服務能力；4)服務安全保障能力；1)服務需求階段風險，如服務合同和服務協(xié)議；2)服務設計階段風險，如服務變更；3)服務實現(xiàn)階段風險，如服務部署；4)服務運營階段風險，如安全事件；1)服務人員風險評估，如人員培訓2)服務過程風險評估，如過程變更；3)服務技術風險評估，如技術授權；9高級管理者(例如首席安全官，他高級管理者)負責愿景、戰(zhàn)略決策和協(xié)調(diào)活動，建立信息技術服務相符合的信息安全治理架構服務項目中的項目負責人。具體工作職責包括：1)根據(jù)項目情況組建服務團隊；2)確定服務對象和服務范圍，并指導團隊進行風險評估工作；3)牽頭編寫服務部署計劃以及規(guī)范服務過程；4)監(jiān)督、協(xié)調(diào)和控制服務過程安全；5)與相關方及時進行溝通交流，針對可能發(fā)生的問題進行研討；安全管理人員負責服務過程中安全管理工作的實施人員。具體工作職責包1)負責服務實施過程、相關文檔的把控，并參與編寫服務文檔；信息技術服務人員服務項目中的服務實施人員。具體工作職責包1)根據(jù)服務目標以及服務范圍，參與調(diào)研，參與資產(chǎn)風險評估；2)參與編寫《風險處置計劃》和《服務部署方案》;3)遵照《服務部署方案》實施具體的技術性服務；4)對服務過程中遇到的問題及時向項目組長匯報，并提出需要協(xié)調(diào)的資源；5)將過程中的技術性服務工作成果匯總，提交服務交付物；信息系統(tǒng)安全管理員[2]GB/T22080—2016信息技術安全技術信息安全管理體系要求[3]GB/T24405.1—2009信息技術服務管理第1部分：規(guī)范[4]GB/T24405.2—2010信息技術服務管理第2部分：實踐規(guī)則[6]ISO31000:2018Risk