(高清版)GBT 39770-2021 信息技術(shù)服務(wù) 服務(wù)安全要求

ICS35.080信息技術(shù)服務(wù)服務(wù)安全要求國家市場監(jiān)督管理總局國家標準化管理委員會GB/T39770—2021 I 4服務(wù)安全模型 5.1服務(wù)安全目標 25.2服務(wù)安全原則 35.3安全風(fēng)險評估 3 3 36服務(wù)生存周期安全要求 4 4 4 4 46.5退出 47服務(wù)能力要素安全要求 7.1人員 57.2過程 5 67.4資源 附錄A(資料性附錄)信息技術(shù)服務(wù)安全風(fēng)險評估 附錄B(資料性附錄)服務(wù)安全角色和職責(zé)示例 IGB/T39770—2021本標準按照GB/T1.1—2009給出的規(guī)則起草。本標準由全國信息技術(shù)標準化技術(shù)委員會(SAC/TC28)提出并歸口。本標準起草單位：上海三零衛(wèi)士信息安全有限公司、中國電子技術(shù)標準化研究院、北京護航科技股份有限公司、北京德信永道信息技術(shù)服務(wù)有限公司、中國電子科技網(wǎng)絡(luò)信息安全有限公司、中國電信集團有限公司、北京銀信長遠科技股份有限公司、成都市人力資源社會保障信息中心、四川久遠銀海軟件股份有限公司、成都信息化技術(shù)應(yīng)用發(fā)展中心、北京偉仕佳杰信息技術(shù)服務(wù)有限公司、上海北宙企業(yè)管理咨詢有限公司、上海安言信息技術(shù)有限公司、金稅信息技術(shù)服務(wù)股份有限公司、成都清華永新網(wǎng)絡(luò)科廣東佛山供電局、浙江大華技術(shù)股份有限公司、湖北工業(yè)職業(yè)技術(shù)學(xué)院、吉林省電子信息產(chǎn)品檢驗研究院、首都信息發(fā)展股份有限公司、江蘇思特瑞信息技術(shù)有限公司、國網(wǎng)信通億力科技有限責(zé)任公司。1GB/T39770—2021信息技術(shù)服務(wù)服務(wù)安全要求2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB/T25069信息安全技術(shù)術(shù)語GB/T25069界定的以及下列術(shù)語和定義適用于本文件。3.1服務(wù)需求方業(yè)務(wù)活動的服務(wù)。注1:常見服務(wù)內(nèi)容包括軟件服務(wù)、硬件服務(wù)以及其他相關(guān)的服務(wù)。注2:常見服務(wù)形態(tài)有信息技術(shù)咨詢服務(wù)、設(shè)計與開發(fā)服務(wù)、信息系統(tǒng)集成實施服務(wù)、運行維護服務(wù)、數(shù)據(jù)處理和存[GB/T29264—2012,定義2.1]3.2需要信息技術(shù)服務(wù)的組織機構(gòu)或個人。3.3提供信息技術(shù)服務(wù)的組織機構(gòu)或個人。3.4等造成損害的特性。3.5服務(wù)人員servicepeople提供信息技術(shù)服務(wù)所需的人員。3.6服務(wù)過程serviceprocess2服務(wù)技術(shù)servicetechnology交付滿足質(zhì)量要求的信息技術(shù)服務(wù)應(yīng)使用的技術(shù)和應(yīng)具備的技術(shù)能力。服務(wù)資源serviceresource提供信息技術(shù)服務(wù)所依存和產(chǎn)生的有形及無形資產(chǎn)。4服務(wù)安全模型本標準提出的信息技術(shù)服務(wù)安全模型，是以服務(wù)安全風(fēng)險評估為基礎(chǔ)，遵循服務(wù)安全原則，對服務(wù)過程)、服務(wù)技術(shù)(簡稱技術(shù))、服務(wù)資源(簡稱資源),模型如圖1所示。退出需求人員過程運營技術(shù)資源設(shè)計服務(wù)提供服務(wù)提供方實現(xiàn)圖1信息技術(shù)服務(wù)安全模型5服務(wù)安全總則根據(jù)信息技術(shù)服務(wù)需求和內(nèi)外部環(huán)境，制定信息技術(shù)服務(wù)安全戰(zhàn)略，通過實施技術(shù)和管理的安全控制措施，確保安全目標達成。服務(wù)安全目標包括：a)滿足法律法規(guī)和相關(guān)標準規(guī)范要求；b)滿足合同要求；c)滿足服務(wù)需求方安全制度要求；GB/T39770—2021d)滿足服務(wù)過程中資產(chǎn)保密性、完整性和可用性要求。5.2服務(wù)安全原則服務(wù)提供方和服務(wù)需求方在服務(wù)提供過程中應(yīng)遵循以下安全原則：a)合規(guī)原則以符合網(wǎng)絡(luò)安全有關(guān)的法律、法規(guī)和標準規(guī)范為原則；b)關(guān)鍵業(yè)務(wù)原則以優(yōu)先保障服務(wù)需求方關(guān)鍵業(yè)務(wù)安全為原則；c)最小影響原則以對服務(wù)需求方業(yè)務(wù)運行影響最小為原則；d)合作原則以服務(wù)需求方和服務(wù)提供方通力合作，共同保障服務(wù)安全為原則。5.3安全風(fēng)險評估應(yīng)對服務(wù)提供方、服務(wù)生存周期、服務(wù)能力要素進行安全風(fēng)險評估，有針對性的落實服務(wù)安全要求，實現(xiàn)信息技術(shù)服務(wù)安全風(fēng)險的有效控制，評估內(nèi)容參見附錄A。5.4服務(wù)需求方a)加強服務(wù)安全建設(shè)，完善服務(wù)安全管理制度；b)明確服務(wù)安全需求，將需求傳達到服務(wù)提供方；c)為服務(wù)提供方提供必要的資源支持；d)開展服務(wù)安全監(jiān)督，配合服務(wù)提供方不斷提升服務(wù)安全水平。5.5服務(wù)提供方服務(wù)提供方應(yīng)建立服務(wù)安全組織機構(gòu)和定義服務(wù)安全職責(zé)，要求包括：a)具備與信息技術(shù)服務(wù)相符合的人力資源規(guī)模，建立服務(wù)安全組織機構(gòu)；b)定義相關(guān)服務(wù)安全崗位，明確安全職責(zé)。服務(wù)提供方應(yīng)建立服務(wù)安全管理制度，要求包括：a)建立服務(wù)安全管理制度，滿足所提供的信息技術(shù)服務(wù)需求；注：建立信息安全管理制度時參見GB/T24405.1—2009和GB/T22080—2016。b)保持與服務(wù)需求方的安全管理要求一致；c)持續(xù)開展制度執(zhí)行情況的內(nèi)部檢查和改進；d)定期評審服務(wù)安全管理制度的有效性。服務(wù)提供方應(yīng)確保服務(wù)供應(yīng)鏈安全，提升服務(wù)連續(xù)性，a)明確服務(wù)項目涉及的外部供應(yīng)鏈及其支撐關(guān)系，并得到服務(wù)需求方確認；b)選用可替代的服務(wù)和產(chǎn)品，減少單一供應(yīng)商依賴；34GB/T39770—2021c)將服務(wù)安全目標、原則和相關(guān)安全要求有效傳遞到外部供應(yīng)鏈；d)與外部供應(yīng)商簽訂服務(wù)協(xié)議或采購協(xié)議，并對協(xié)議執(zhí)行情況進行有效的監(jiān)督。6服務(wù)生存周期安全要求服務(wù)提供方通過對服務(wù)需求進行調(diào)研分析，識別和控制服務(wù)需求安全風(fēng)險，要求包括：務(wù)需求方期望),形成服務(wù)需求文檔；c)評審服務(wù)需求，確保供需雙方達成共識；d)簽訂服務(wù)合同或服務(wù)協(xié)議，確保包含服務(wù)安全和保密義務(wù)條款。6.2設(shè)計服務(wù)提供方根據(jù)服務(wù)需求方的安全需求進行服務(wù)設(shè)計，識別和控制服務(wù)設(shè)計安全風(fēng)險，要求包括：a)編制服務(wù)設(shè)計方案，確定服務(wù)所需的組件和要素，滿足服務(wù)安全需求；b)制定服務(wù)安全管理、評價和改進計劃，保障服務(wù)所需的資源和預(yù)算，確保符合整體安全目標；c)評審新的或變更的服務(wù)對現(xiàn)有服務(wù)的風(fēng)險及應(yīng)對措施，并保留過程記錄。6.3實現(xiàn)服務(wù)提供方根據(jù)服務(wù)設(shè)計方案進行實現(xiàn)部署，識別和控制服務(wù)實現(xiàn)安全風(fēng)險，要求包括：a)確保實現(xiàn)結(jié)果和服務(wù)設(shè)計保持一致并能滿足安全需求；b)進行測試或者試運行，減少過程風(fēng)險和對生產(chǎn)運營環(huán)境的影響，如進行壓力測試、用戶測試等；c)識別服務(wù)部署、移交過程中的風(fēng)險，并制定合理的應(yīng)對措施。6.4運營服務(wù)需求方對服務(wù)提供方所提供的服務(wù)進行監(jiān)控，識別和控制服務(wù)運營安全風(fēng)險，要求包括：a)建立服務(wù)過程，確保服務(wù)過程的有效執(zhí)行，b)備份并妥善保管服務(wù)過程中產(chǎn)生的服務(wù)數(shù)據(jù)(如方案、報告、記錄等);c)定期審核服務(wù)安全管控的執(zhí)行情況，對異常情況及時采取處置措施；e)動態(tài)監(jiān)控服務(wù)安全風(fēng)險，制定風(fēng)險處置策略，及時采取風(fēng)險處置措施；f)針對服務(wù)過程中關(guān)鍵業(yè)務(wù)和關(guān)鍵資產(chǎn)的變更、重大事件或重要時期等，加強對服務(wù)風(fēng)險監(jiān)控和h)安全合理地使用服務(wù)過程中所產(chǎn)生的信息資料，確保不在服務(wù)范圍以外使用。6.5退出服務(wù)協(xié)議到期或終止時，為確保服務(wù)順利退出，服務(wù)雙方通過溝通并選擇適當?shù)耐顺霾呗裕R別和a)制定服務(wù)終止計劃，識別服務(wù)終止的風(fēng)險，采取相應(yīng)風(fēng)險控制措施；b)在確保業(yè)務(wù)連續(xù)性的前提下，對服務(wù)中投入的設(shè)備設(shè)施、信息資源、人員等進行回收確認；c)對服務(wù)相關(guān)資料進行移交、保存或銷毀；5GB/T39770—2021d)對服務(wù)授權(quán)和敏感信息進行安全審查。7服務(wù)能力要素安全要求根據(jù)服務(wù)安全需求對人員進行選擇，要求包括：a)識別和定義服務(wù)崗位的安全要求；b)對重要崗位服務(wù)人員進行背景調(diào)查；c)為服務(wù)人員分配唯一的身份標識；d)基于職責(zé)分離和最小授權(quán)的原則為服務(wù)人員分配權(quán)限；e)對涉及敏感信息的服務(wù)人員，明確其保密義務(wù)并簽訂保密協(xié)議。按服務(wù)安全需求對人員進行培訓(xùn)，要求包括：a)在上崗前，對人員開展服務(wù)安全培訓(xùn)，培訓(xùn)內(nèi)容包括但不限于：相關(guān)法律法規(guī)、安全制度和規(guī)b)有特殊安全要求的崗位人員，應(yīng)具備相關(guān)的資質(zhì)認證；c)服務(wù)過程中，定期對人員開展服務(wù)安全培訓(xùn)。按服務(wù)安全需求對人員進行考核，要求包括：a)在上崗前，對人員開展信息安全考核，考核不通過的人員不予上崗；b)服務(wù)過程中，定期開展信息安全考核，考核不通過的人員加強培訓(xùn)或進行更換；c)對違反安全規(guī)定的責(zé)任人員記錄考核績效，造成不利影響的責(zé)任人員應(yīng)承擔(dān)相應(yīng)責(zé)任。發(fā)生人員變更需要進行有效安全管控，要求包括：a)人員變更前，服務(wù)提供方提前告知服務(wù)需求方并提交變更方案，經(jīng)雙方確認后，在確保業(yè)務(wù)連續(xù)性的情況下實施變更；b)變更確認后，收回離場人員所有信息資產(chǎn)，撤銷離場人員相關(guān)權(quán)限，并進行書面確認；c)變更結(jié)束后，以書面形式對離場人員重申保密義務(wù)，離場人員接受追溯審計。7.2過程過程定義安全應(yīng)明確服務(wù)過程定義和安全責(zé)任，要求包括：a)定義服務(wù)標準作業(yè)過程和服務(wù)監(jiān)督管理過程；b)識別過程所有權(quán)，明確過程活動安全權(quán)責(zé)；c)明確過程及其相關(guān)文檔版本控制；d)對服務(wù)過程進行定期評審。6GB/T39770—2021過程執(zhí)行安全應(yīng)明確服務(wù)過程安全執(zhí)行并持續(xù)監(jiān)控安全風(fēng)險，要求包括：a)按照過程定義，配備人員和資源，采取約定的技術(shù)執(zhí)行服務(wù)；b)落實服務(wù)過程安全控制措施；c)持續(xù)進行服務(wù)安全風(fēng)險監(jiān)控。過程記錄安全應(yīng)明確服務(wù)過程記錄的存儲和訪問控制，要求包括：a)確保所有的服務(wù)過程和服務(wù)活動都形成記錄；b)確保服務(wù)過程記錄不被非授權(quán)訪問；c)對服務(wù)過程記錄進行存儲和備份，保存期限應(yīng)滿足合規(guī)要求。過程變更安全應(yīng)明確服務(wù)過程變更需要的安全控制，要求包括：a)嚴格按照變更管理制度實施過程變更，確保變更過程獲得審批；b)評審變更過程的合理性和正確性，充分評估變更安全風(fēng)險；c)在受控的環(huán)境下對變更進行充分測試；d)記錄并保留變更過程和結(jié)果。技術(shù)獲取安全應(yīng)確保以合理的方式獲得安全合規(guī)的技術(shù)，要求包括：a)選擇安全合規(guī)的技術(shù)提供方，并滿足所提供技術(shù)的安全支持能力；b)確保獲得的技術(shù)是完整、安全和可靠的；c)在技術(shù)許可協(xié)議中，明確與技術(shù)安全有關(guān)的參數(shù)；d)論證和審定技術(shù)獲取過程的合理性和正確性；e)記錄并保留技術(shù)獲取的方法和理由。技術(shù)實施安全應(yīng)確保所實施技術(shù)的安全性，要求包括：c)針對技術(shù)實施在受控環(huán)境下進行充分測試；d)論證和審定技術(shù)實施過程的合理性和正確性；e)記錄并保留技術(shù)實施的過程和結(jié)果。技術(shù)維護安全應(yīng)確保技術(shù)可以持續(xù)滿足服務(wù)協(xié)議，要求包括：a)監(jiān)控技術(shù)運行狀況，持續(xù)評估技術(shù)是否滿足服務(wù)協(xié)議；b)根據(jù)服務(wù)需求和技術(shù)進步及時調(diào)整相應(yīng)技術(shù)，包括技術(shù)引入、技術(shù)升級、技術(shù)退出等，并評估風(fēng)險；7GB/T39770—2021c)記錄并保留技術(shù)維護的過程和結(jié)果。識別資源的安全需求和敏感程度，對資源進行分類分級管理。識別并定義資源安全的不同角色，明確每種角色的安全責(zé)任。資源獲取安全應(yīng)確保資源合法獲取和可用，要求包括：a)確保服務(wù)資源的可用性；b)確保服務(wù)資源獲取的合法性。資源利用安全應(yīng)確保服務(wù)過程中資源的合理使用，要求包括：a)確保服務(wù)資源僅用于服務(wù)的預(yù)定目的，防止非授權(quán)訪問；b)制定資源利用規(guī)則和過程，避免資源濫用；c)保留資源使用記錄和日志。資源回收安全應(yīng)確保服務(wù)結(jié)束后資源進行安全回收，要求包括：a)服務(wù)結(jié)束后及時釋放資源，進行服務(wù)資源回收；b)評估資源回收的訪問權(quán)限殘留風(fēng)險，及時回收各類訪問賬號和權(quán)限；c)評估資源回收的數(shù)據(jù)殘留風(fēng)險，按照要求進行有效的風(fēng)險處置。8GB/T39770—2021(資料性附錄)信息技術(shù)服務(wù)安全風(fēng)險評估信息技術(shù)服務(wù)安全風(fēng)險評估對象包括服務(wù)提供方、服務(wù)生存周期和服務(wù)能力要素，評估內(nèi)容見表A.1表A.1安全風(fēng)險評估對象和評估內(nèi)容評估對象評估內(nèi)容服務(wù)提供方對服務(wù)提供方的安全風(fēng)險評估內(nèi)容包括：1)經(jīng)營資質(zhì)；2)財務(wù)狀況；3)服務(wù)能力；4)服務(wù)安全保障能力；5)供應(yīng)鏈安全等服務(wù)生存周期對服務(wù)生存周期的安全風(fēng)險評估內(nèi)容包括：1)服務(wù)需求階段風(fēng)險，如服務(wù)合同和服務(wù)協(xié)議；2)服務(wù)設(shè)計階段風(fēng)險，如服務(wù)變更；3)服務(wù)實現(xiàn)階段風(fēng)險，如服務(wù)部署；4)服務(wù)運營階段風(fēng)險，如安全事件；5)服務(wù)退出階段風(fēng)險，如資料移交服務(wù)能力要素對服務(wù)能力要素的安全風(fēng)險評估內(nèi)容包括：1)服務(wù)人員風(fēng)險評估，如人員培訓(xùn)；2)服務(wù)過程風(fēng)險評估，如過程變更；3)服務(wù)技術(shù)風(fēng)險評估，如技術(shù)授權(quán)；4)服務(wù)資源風(fēng)險評估，如資源安全責(zé)任9GB/T39770—2021(資料性附錄)服務(wù)安全角色和職責(zé)示例信息技術(shù)服務(wù)安全相關(guān)的角色和職責(zé)示例見表B.1。表B.1服務(wù)安全角色和職責(zé)示例角色職責(zé)的簡要描述高級管理者(例如首席安全官，或承擔(dān)信息安全管理職責(zé)的其他高級管理者)負責(zé)愿景、戰(zhàn)略決策和協(xié)調(diào)活動，建立信息技術(shù)服務(wù)相符合的信息安全治理架構(gòu)和安全管理制度，為服務(wù)安全提供人員、資金等支持項目組長服務(wù)項目中的項目負責(zé)人。具體工作職責(zé)包括：1)根據(jù)項目情況組建服務(wù)團隊；2)確定服務(wù)對象和服務(wù)范圍，并指導(dǎo)團隊進行風(fēng)險評估工作；3)牽頭編寫服務(wù)部署計劃以及規(guī)范服務(wù)過程；4)監(jiān)督、協(xié)調(diào)和控制服務(wù)過程安全；5