GB∕T 39770-2021 信息技術(shù)服務(wù) 服務(wù)安全要求

國家市場監(jiān)督管理總局國家標準化管理委員會GB/T39770—2021 I1范圍 1 3術(shù)語和定義 2 2 25.2服務(wù)安全原則 35.3安全風(fēng)險評估 35.4服務(wù)需求方 35.5服務(wù)提供方 3 4 46.2設(shè)計 46.3實現(xiàn) 46.4運營 46.5退出 4 57.1人員 57.2過程 5 67.4資源 7附錄A(資料性附錄)信息技術(shù)服務(wù)安全風(fēng)險評估 8附錄B(資料性附錄)服務(wù)安全角色和職責(zé)示例 lGB/T25069信息安全技術(shù)術(shù)語2交付滿足質(zhì)量要求的信息技術(shù)服務(wù)應(yīng)使用的技術(shù)和應(yīng)具備的技術(shù)能力。提供信息技術(shù)服務(wù)所依存和產(chǎn)生的有形及無形資產(chǎn)。4服務(wù)安全模型本標準提出的信息技術(shù)服務(wù)安全模型，是以服務(wù)安全風(fēng)險評估為基礎(chǔ)，遵循服務(wù)安全原則，對服務(wù)過程)、服務(wù)技術(shù)(簡稱技術(shù))、服務(wù)資源(簡稱資源),模型如圖1所示。實現(xiàn)圖1信息技術(shù)服務(wù)安全模型5服務(wù)安全總則5.1服務(wù)安全目標根據(jù)信息技術(shù)服務(wù)需求和內(nèi)外部環(huán)境，制定信息技術(shù)服務(wù)安全戰(zhàn)略，通過實施技術(shù)和管理的安全控a)滿足法律法規(guī)和相關(guān)標準規(guī)范要求；b)滿足合同要求；c)滿足服務(wù)需求方安全制度要求；3d)合作原則456781)經(jīng)營資質(zhì)；2)財務(wù)狀況；3)服務(wù)能力；4)服務(wù)安全保障能力；1)服務(wù)需求階段風(fēng)險，如服務(wù)合同和服務(wù)協(xié)議；2)服務(wù)設(shè)計階段風(fēng)險，如服務(wù)變更；3)服務(wù)實現(xiàn)階段風(fēng)險，如服務(wù)部署；4)服務(wù)運營階段風(fēng)險，如安全事件；1)服務(wù)人員風(fēng)險評估，如人員培訓(xùn)2)服務(wù)過程風(fēng)險評估，如過程變更；3)服務(wù)技術(shù)風(fēng)險評估，如技術(shù)授權(quán)；9高級管理者(例如首席安全官，他高級管理者)負責(zé)愿景、戰(zhàn)略決策和協(xié)調(diào)活動，建立信息技術(shù)服務(wù)相符合的信息安全治理架構(gòu)服務(wù)項目中的項目負責(zé)人。具體工作職責(zé)包括：1)根據(jù)項目情況組建服務(wù)團隊；2)確定服務(wù)對象和服務(wù)范圍，并指導(dǎo)團隊進行風(fēng)險評估工作；3)牽頭編寫服務(wù)部署計劃以及規(guī)范服務(wù)過程；4)監(jiān)督、協(xié)調(diào)和控制服務(wù)過程安全；5)與相關(guān)方及時進行溝通交流，針對可能發(fā)生的問題進行研討；安全管理人員負責(zé)服務(wù)過程中安全管理工作的實施人員。具體工作職責(zé)包1)負責(zé)服務(wù)實施過程、相關(guān)文檔的把控，并參與編寫服務(wù)文檔；信息技術(shù)服務(wù)人員服務(wù)項目中的服務(wù)實施人員。具體工作職責(zé)包1)根據(jù)服務(wù)目標以及服務(wù)范圍，參與調(diào)研，參與資產(chǎn)風(fēng)險評估；2)參與編寫《風(fēng)險處置計劃》和《服務(wù)部署方案》;3)遵照《服務(wù)部署方案》實施具體的技術(shù)性服務(wù)；4)對服務(wù)過程中遇到的問題及時向項目組長匯報，并提出需要協(xié)調(diào)的資源；5)將過程中的技術(shù)性服務(wù)工作成果匯總，提交服務(wù)交付物；信息系統(tǒng)安全管理員[2]GB/T22080—2016信息技術(shù)安全技術(shù)信息安全管理體系要求[3]GB/T24405.1—2009信息技術(shù)服務(wù)管理第1部分：規(guī)范[4]GB/T24405.2—2010信息技術(shù)服務(wù)管理第2部分：實踐規(guī)則[6]ISO31000:2018Risk