GB/T 39770-2021 信息技术服务 服务安全要求.pdf

  • GB/T 39770-2021  信息技术服务 服务安全要求.pdf为pdf格式
  • 文件大小:3.7 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2021-04-18
  • 发 布 人: 13648167612
  • 文档部分内容预览:
  • 服务提供方根据服务设计方案进行实现部署,识别和控制服务实现安全风险,要求包括: )确保实现结果和服务设计保持一致并能满足安全需求: 进行测试或者试运行,减少过程风险和对生产运营环境的影响,如进行压力测试、用户测试等; c)识别服务部署、移交过程中的风险,并制定合理的应对措施

    服务需求方对服务提供方所提供的服务进行监控,识别和控制服务运营安全风险,要求包括: a 建立服务过程,确保服务过程的有效执行,并形成记录: 备份并要善保管服务过程中产生的服务数据(如方案、报告、记录等); 定期审核服务安全管控的执行情况,对异常情况及时采取处置措施; d 制定、更新服务安全应急预案,并组织演练和评估; 动态监控服务安全风险,制定风险处置策略,及时采取风险处置措施; 针对服务过程中关键业务和关键资产的变更、重大事件或重要时期等,加强对服务风险监控和 预警,做好应急协同准备; g)对服务过程所涉及的设施、数据、事件、问题、配置等敏感信息进行保密; h)安全合理地使用服务过程中所产生的信息资料,确保不在服务范围以外使用

    服务需求方对服务提供方所提供的服务进行监控,识别和控制服务运营安全风险,要求包括: a) 建立服务过程锅炉标准,确保服务过程的有效执行,并形成记录: b 备份并要善保管服务过程中产生的服务数据(如方案、报告、记录等); C 定期审核服务安全管控的执行情况,对异常情况及时采取处置措施; d 制定、更新服务安全应急预案,并组织演练和评估; 动态监控服务安全风险,制定风险处置策略,及时采取风险处置措施; f 针对服务过程中关键业务和关键资产的变更、重大事件或重要时期等,加强对服务风险监控和 预警,做好应急协同准备; g) 对服务过程所涉及的设施、数据、事件、问题、配置等敏感信息进行保密; h)安全合理地使用服务过程中所产生的信息资料,确保不在服务范围以外使用

    服务协议到期或终止时,为确保服务顺利退出,服务双方通过沟通并选择适当的退出策略,识别利 控制服务退出安全风险,要求包括: a)制定服务终止计划,识别服务终止的风险,采取相应风险控制措施; b)在确保业务连续性的前提下,对服务中投入的设备设施、信息资源、人员等进行回收确认; c)对服务相关资料进行移交、保存或销毁

    服务协议到期或终止时,为确保服务顺利退出,服务双方通过沟通并选择适当的退出策略,识别利 控制服务退出安全风险,要求包括: a)制定服务终止计划,识别服务终止的风险,采取相应风险控制措施; b)在确保业务连续性的前提下,对服务中投入的设备设施、信息资源、人员等进行回收确认; c)对服务相关资料进行移交、保存或销毁

    d)对服务授权和敏感信息进行安全审查

    7服务能力要素安全要求

    根据服务安全需求对人员进行选择,要求包括: a) 识别和定义服务岗位的安全要求; b) 对重要岗位服务人员进行背景调查; c 为服务人员分配唯一的身份标识; d 基于职责分离和最小授权的原则为服务人员分配权限: e)对涉及敏感信息的服务人员,明确其保密义务并签订保密协议。

    按服务安全需求对人员进行培训,要求包括: 在上岗前,对人员开展服务安全培训,培训内容包括但不限于:相关法律法规、安全制度和规 范、安全意识、从事服务所需的必要安全技能等; 有特殊安全要求的岗位人员,应具备相关的资质认证; c)服务过程中,定期对人员开展服务安全培训

    服务安全需求对人员进行考核,要求包括: 在上岗前,对人员开展信息安全考核,考核不通过的人员不予上岗: 服务过程中,定期开展信息安全考核,考核不通过的人员加强培训或进行更换; 对违反安全规定的责任人员记录考核绩效,造成不利影响的责任人员应承担相应责任

    按服务安全需求对人员进行考核,要求包括: )在上岗前,对人员开展信息安全考核,考核不通过的人员不予上岗; 6)服务过程中,定期开展信息安全考核,考核不通过的人员加强培训或进行更换; c)对违反安全规定的责任人员记录考核绩效,造成不利影响的责任人员应承担相应责任

    发生人员变更需要进行有效安全管控,要求包括: a 人员变更前,服务提供方提前告知服务需求方并提交变更方案,经双方确认后,在确保业务连 续性的情况下实施变更; b 变更确认后,收回离场人员所有信息资产,撤销离场人员相关权限,并进行书面确认; c) 变更结束后,以书面形式对离场人员重申保密义务,离场人员接受道溯审计

    过程定义安全应明确服务过程定义和安全责任,要求包括: a)定义服务标准作业过程和服务监督管理过程; b)识别过程所有权,明确过程活动安全权责; c)明确过程及其相关文档版本控制; d)对服务过程进行定期评审。

    a)按照过程定义,配备人员和资源,采取约定的技术执行服务; b)落实服务过程安全控制措施: c)持续进行服务安全风险监控

    过程记录安全应明确服务过程记录的存储和访问控制,要求包括: a)确保所有的服务过程和服务活动都形成记录; b)确保服务过程记录不被非授权访问; c)对服务过程记录进行存储和备份,保存期限应满足合规要求。

    过程变更安全应明确服务过程变更需要的安全控制,要求包括: a)严格按照变更管理制度实施过程变更,确保变更过程获得审批; b)评审变更过程的合理性和正确性,充分评估变更安全风险; c)在受控的环境下对变更进行充分测试; d)记录并保留变更过程和结果

    技术获取安全应确保以合理的方式获得安全合规的技术,要求包括: a)选择安全合规的技术提供方,并满足所提供技术的安全支持能力; b)确保获得的技术是完整、安全和可靠的; c)在技术许可协议中,明确与技术安全有关的参数; d)论证和审定技术获取过程的合理性和正确性: e)记录并保留技术获取的方法和理由

    技术实施安全应确保所实施技术的安全性,要求包括: 提供交付清单并进行核实,如技术设备、工具、文档等 提供技术培训如技术原理、技术使用、安全风险等: c)针对技术实施在受控环境下进行充分测试; 1 论证和审定技术实施过程的合理性和正确性; e)记录并保留技术实施的过程和结果,

    技术维护安全应确保技术可以持续满足服务协议,要求包括: a)监控技术运行状况,持续评估技术是否满足服务协议; b)根据服务需求和技术进步及时调整相应技术,包括技术引入、技术升级、技术退出等,并评估 风险:

    c)记录并保留技术维护的过程和结果

    7.4.1资源分类分级

    识别资源的安全需求和敏感程度,对资源进行分类分级管理

    Z.4.2资源安全责任

    并定义资源安全的不同角色,明确每种角色的安全

    7.4.3资源合理使用

    7.4.3.1资源获取

    资源获取安全应确保资源合法获取和可用,要求包括: )确保服务资源的可用性; 6)确保服务资源获取的合法性

    上海标准规范范本7.4.3.2资源利用

    资源利用安全应确保服务过程中资源的合理使用,要求包括: a)确保服务资源仅用于服务的预定目的,防止非授权访问; b)制定资源利用规则和过程,避免资源滥用; c)保留资源使用记录和日志

    7.4.3.3资源回收

    资源回收安全应确保服务结束后资源进行安全回收,要求包括: a)服务结束后及时释放资源,进行服务资源回收; b 评估资源回收的访问权限残留风险,及时回收各类访问账号和权限 c)评估资源回收的数据残留风险,按照要求进行有效的风险处置。

    附录A (资料性附录) 信息技术服务安全风险评估

    (资料性附录) 信息技术服务安全风险评估

    道路标准规范范本表A.1安全风险评估对象和评估内容

    附录B (资料性附录 服务安全角色和职 信息技术服务安全相关的角色和职责示例见表B.1。

    表B.1服务安全角色和职责示例

    ....
  • 相关专题: 信息技术  

相关下载

常用软件