GB/T32914-2016
信息安全技术信息安全服务提供方管理要求
Informayionsecuritytechnology—Informationsecurityserviceprovidermanagementrequirements
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2017-03-01
- 文件格式PDF
- 文本页数10页
- 文件大小347.89KB
以图片形式预览信息安全技术信息安全服务提供方管理要求
信息安全技术信息安全服务提供方管理要求
国家标准 GB/T32914一2016 信息安全技术 信息安全服务提供方管理要求 nformationseeuritytechnology一 nformationsecurityserviceprovidermanageentrequirements 2016-08-29发布 2017-03-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/I32914一2016 信息安全技术 信息安全服务提供方管理要求 范围 本标准规定了信息安全服务提供的术语和定义、信息安全服务原则、信息安全服务组织级管理和信 息安全服务项目级管理的要求
本标淮适用于信息安全服务提供方对其服务要素和服务风险进行管控,对信息安全服务需求方、评 价机构和监管部门具有参考意义 规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T220802008信息技术安全技术信息安全管理体系要求 GB/T24405.1一2009信息技术服务管理第1部分;规范 GB/T30283一2013信息安全技术信息安全服务分类 术语和定义 GB/T302832013界定的以及下列术语和定义适用于本文件 信息安全服务informationseeurityserviee 面向组织或个人的各类信息安全需求和信息安全保障需求,由服务提供方按照服务协议所执行的 -个信息安全过程或任务
注1:信息安全服务通常是基于信息安全技术,产品或管理体系的,通过外包的形式,由专业信息安全人员所提供的 支持和帮助
注2:信息安全服务通常以信息安全服务提供方和信息安全服务需求方之间的服务项目形式进行 3.2 信息安全服务需求方infwmati.swrtyseryieeaquire 获取外部所提供的信息安全服务,以满足信息安全需求和信息安全保障需求,实现自身业务目标的 组织(或个人用户) 3.3 信息安全服务提供方infrmtin.seurity servieeproider 按照服务协议,通过专业的信息安全人员提供信息安全服务的组织
3.4 服务协议seryieeugreement 服务需求方和服务提供方在服务开始前共同签署的约定,并在服务过程中共同遵守
注:通常包含服务原则、服务内容、服务形式、服务级别,服务价格、服务交付成果、服务安全要求等,在形式上可以 是服务合同及其附属的工作说明书
GB/T32914一2016 3.5 serviceleve 服务级别 在服务协议中对服务交付成果明确约定、可测量和文档化的一系列服务指标
3.6 服务目录serviceeatalogue 在服务协议中明确展示服务内容、服务形式、服务价格、服务交付成果和服务级别等的一份列表
3.7 服务组合 servieeportfolio 多个服务类别或服务项目以及其他工作的集合
3.8 供应链supplychain 通过多个资源和过程联系在一起的一系列组织,根据由服务协议或其他采购协议建立连续的供应 关系,每个组织充当一个需求方,提供方或双重角色
3.9 可视性visibilty 系统或过程所具备的可以对系统元素和过程进行记录,监视和检查的属性
3.10 servicefactors 服务要素 设计和实施服务的关键要素,包括服务人员、服务流程、服务工具、规章,以及其他服务所需的资源
3.11 服务方案serteepans" 基于服务目标,对服务各阶段中所需执行的过程、任务、活动以及相关服务要素,服务级别进行详细 描述的文档
3.12 服务工具servicetools 为达成服务目标或提高服务质量和效率所需要的设备、软件、模板、知识库等
3.13 服务变更servicechange 任何可能对服务产生影响的新增、修改或解除的活动
注:服务变更可能涉及服务的范围,人员、内容、形式、价格,时间、方案、流程、工具、服务级别等
信息安全服务原则 合规性 4.1 遵循国家和行业关于信息安全服务的要求,基于明确的信息安全保障需求和信息安全服务目标
具体原则如下 a)应符合国家信息安全法律法规和政策、国家和行业相关信息安全标准的要求; 应遵循服务要素可视性、服务行为预先告知、服务和产品中立,资产保护等信息安全服务原则 b 应根据信息安全服务类别,通过需求调研、风险评估等手段,提取信息安全保障需求 c d) 应根据信息安全保障需求,结合服务对象业务、系统或设备的实际情况,确定信息安全服务 目标; 应按照服务协议所规定的关键节点,交付成果和服务级别要求,记录、监视、检查和评审服务目 标的完成情况及差异程度
GB/T32914一2016 4.2数据和业务保护 在信息安全服务实施过程中,对信息安全服务需求方的数据和业务进行保护
具体原则如下: 在服务实施之前,应与需求方签订数据保护协议,明确规定身份数据、业务数据,系统数据等保 a 护内容,明确规定最小数据范围、最小特权访问、最小服务用途等保护要求 应对在服务实施过程中所获得或产生的信息资料,只在服务范围内进行数据合理利用,并采用 必要的安全措施进行妥善保管; 应采取相应的措施防止因信息安全服务的实施,影响需求方的系统正常使用和业务正常开展
或造成对IT资产的损害; 针对直接作用于信息系统的信息安全实施服务,应事先对服务意外中断或终止的影响进行确 认,并制定应对措施; 在服务实施完成之后,应按需求方和服务协议的要求,进行资料、账号、,证件等清理工作(例如 移交,注销,销毁等
信息安全服务组织级管理 5.1 制度和体系 建立并施行满足信息安全服务所需的管理制度或管理体系
具体要求如下 应确定一名高层管理者全面负责信息安全服务相关管理制度或管理体系的建立、实施、运行、 a 监视、评审、保持和改进 应按照GB/T24405.12009和GB/T22080-2008要求建立管理制度或管理体系,并保证与 b 所提供的信息安全服务类别相适宜且有效, 应将服务项目纳人与管理制度或管理体系相符合的管理流程或管理工具中,并定期对制度执 行情况进行内部检查,保证服务质量的持续改进 d)应对组织内部所有相关人员进行管理制度或管理体系的教育、培训和考核 应遵循需求方相关的管理制度和业务流程
e 5.2人力资源 建立并执行满足信息安全服务所需的人力资源管理制度
具体要求如下: a)应具有与信息安全服务类别相符合的人力资源规模和结构,建立相应的人员安全管理制度; b)应在员工任用前、任用中任用终止具有不同的措施,保证员工正确理解信息安全服务原则,并 能够在工作中切实予以贯彻; 应具有独立设置的专业技术部门或团队,稳定地开展信息安全服务; 应确保具有信息安全相关资格的技术人员数量(例如:持证上岗等),并保证这些人员具备足够 D 的专业工作经验 应保证组织内部与信息安全服务有关的其他人员具有基本的信息安全知识 f 宜建立服务实施人员完整的工作履历表,包含人员基本信息、专业能力证明和曾经参与服务的 所有记录
5.3保密 建立并执行满足信息安全服务所需的保密管理制度
具体要求如下 a 应建立并执行满足服务所需的保密管理制度,保证组织内部员工对组织和需求方履行保密 义务;
GB/T32914一2016 b应与信息安全服务相关人员签订保密协议,并定期进行保密教育和保密检查; 应具备安全保密的工作环境和工作流程例如;指派专人负责将服务的资料进行单独保管,采 用安全的措施存放各类介质资料、准备独立且不联网的计算机以存放有保密要求的电子文 档等); d)应遵循需求方相关的保密管理制度和工作流程; 凡涉及国家秘密的信息安全服务,应按照国家相关的保密法律法规、政策和标准执行
5.4技术能力 具备满足信息安全服务所需的技术能力,服务工具和服务环境
具体要求如下 应持续关注并及时掌握国家信息安全相关法律法规、政策和标准中对技术的要求 a b)应持续跟踪国内外信息技术动向,研究与之相关的信息安全技术,并熟悉国内外主流的信息安 全产品和服务,不断提升自身的技术能力 应关注国内外权威机构发布的态势报告及漏洞公告,对安全威胁和安全脆弱点有全面的了解 c d应具备与信息安全服务类别相关的服务工具(例如;设备、软件,模板、知识库等) 应针对信息安全实施服务,具备服务所必需的开发、,测试和管理环境(例如;平台和设备)
e 5.5服务协议 与信息安全服务需求方以服务协议的方式对信息安全服务进行约定并执行
具体要求如下 应在服务协议中,根据行业或需求方认可的规范模版,明确规定信息安全服务的范围、目标和 a 验收等条款,并采用服务目录的方式确定服务内容和服务形式; 应在服务目录中,确定每项服务的价格,成本,并在服务实施过程中进行有效的财务管理; b 应在服务目录中,确定每项服务的交付成果、服务级别,并在服务实施过程中进行有效的质量 管理(例如;监视、检查、评审和报告等). 在服务协议签订前,应共同评审协议,就服务协议各项条款及其条件和要求与需求方达成 -致; 在服务协议签订后,应严格按照服务协议和服务目录实施信息安全服务,对于服务协议执行过 程中所产生的双方不能解决的争议,宜提交专业机构仲裁; 未经需求方许可,不得将信息安全服务进行转包、分包 g针对信息安全实施服务,应按行业或需求方的要求,接受安全监理、安全审计等方式来监督和 确认服务协议的执行
5.6服务组合 建立并落实对多个信息安全服务类别或服务项目的组合管理
具体要求如下 应从组织战略层面,建立并落实对多个服务类别或服务项目的组合管理,改善项目负责人和组 a 织管理者之间的沟通关系 应建立服务组合管理流程,确定服务项目之间相互关联或依赖关系,并提出服务保障承诺,提 高服务项目的成功率; 应基于不同服务项目的服务目标和服务级别,保证在组织范围内进行服务要素的分配和管理、 取得项目之间的平衡,保证服务资源的配置最优化; 应为所有服务项目制定预算并进行财务管理(例如;授权和监控),有效分配服务的间接费用和 直接成本; 对于服务的新增或变更,应保证所有项目的服务交付和服务级别控制在组织的资金和资源能 力之内,并应评估由此对组织,技术和商业产生的影响;
GB/T32914一2016 f 应定期根据服务组合情况,识别服务项目运营风险,评估组织的信息安全服务能力,改进服务 保障能力,提高对环境变化的快速响应能力
5.7 供应链 具备并保障信息安全服务所需的供应链资源
具体要求如下 作为供应链下游获取方,与每个供应链上游提供方明确规定管理规范,过程接口,签订服务协 a 议或采购协议,并对其进行有效的监视和评审; 应保持与信息安全服务类别相关的产品提供商、服务提供商、专业机构等外部供应链的良好合 作关系,并履行服务和产品中立原则 应主动与需求方进行事先说明服务项目涉及的外部供应链及其支撑关系,并得到其确认; d)应将信息安全服务的原则和目标,服务目录相关要求有效传递到服务项目涉及的外部供应链
并通过合同或协议的方式进行有效管理
信息安全服务项目级管理 6.1 服务方案 以服务方案的方式对信息安全服务项目的目标实现进行详细描述
具体要求如下: 应根据信息安全服务目标,参照相关标准,规范,制定信息安全服务的各类方案(包括设计方 a 案、,实施方案、.验证方案等》7 应保证各类服务方案与服务协议中所约定的各项条款要求相一致,并明确需求方在服务过程 b 中所需具备的条件 应在服务实施方案中明确规定每一个具体的服务过程、任务、活动,对应的服务要素,以及服务 成果或服务级别 d)应与需求方就服务方案进行充分沟通,并得到其确认 宜采用第三方评审的方式来确定服务方案
e 6.2服务人员 具备并保障满足信息安全服务项目所需的人员和团队
具体要求如下 a)应建立相关机制保障服务人员及相关工作人员仅限于公民 b)应对服务项目确定信息安全第一责任人; 应对服务项目清晰定义服务实施团队中所有服务人员的角色和职责,并对其进行身份和权限 管理; 应确保服务实随人员具备能满足服务项目所需的专业知识、.技能和经验,具备相关的信息安全 专业资质; 应保证服务实施团队的整体稳定和可用,定期开展与信息安全服务相关的各类教育培训,宜建 立层次化的服务组织结构(例如;多线支持、专家团队等)
6.3服务过程 明确在信息安全服务项目服务过程中的日常管理和应急管理
具体要求如下: a)应保证服务过程遵循相关的标准,规范或最佳实践(例如;系统安全工程能力成熟度模型、信息 系统安全等级保护基本要求、信息安全管理体系要求等),并主动告知需求方; b 应对需要进行服务交接或服务导人的信息安全服务,做好服务实施前的准备工作(例如;资产 识别、信息分类、技术交底、业务培训等),并在通过需求方确认后,才能正式实施服务;
GB/T32914一2016 应落实并保证该服务项目所需的所有服务要素例如:人员、流程、工具和资源等)在服务实施 过程中,符合服务协议和服务方案中的约定; D 应建立并执行项目管理制度,保证在每一个具体的服务过程,任务.活动,均严格按照服务方案 和管理制度进行,形成记录,定期检查和评审,并采取改进措施; 应及时响应并妥善解决在服务实施过程中产生的事件,并对其潜在的原因进行问题管理(例 如;识别和消除). 针对信息安全实施服务,应建立与该服务项目相关的应急预案,并保障应急处置所需的相关 资源
6.4服务工具和平台 具备并保障满足信息安全服务项目所需的工具和平台
具体要求如下 a)应具备能满足服务项目所需的服务工具或服务平台,保证其合法版权,并充分考虑其适用性; b)应保证服务工具或服务平台仅用于达成该服务项目的服务目标,不会因引人新的安全隐患或 因不当操作对业务造成影响或损害; 应保证服务工具或服务平台在多个服务项目之间的共享环境安全(例如;信息传输和处理的隔 离等); 应主动就服务所使用的服务工具或服务平台,与需求方进行事先说明、技术培训和必要的功能 性能测试,并得到其确认:; 服务工具或服务平台宜通过国家认可的第三方机构的安全测评或认证
6.5服务风险 对信息安全服务项目服务过程中的各类风险(不仅是信息安全风险)进行评估和控制
具体要求 如下; a)在服务实施之前,应从服务要素例如:人员,流程、工具和资源等)各方面,识别服务实施过程 中可能产生的各类风险; b)对已识别的风险进行评估,应采取适当的风险控制措施,并对实际效果进行跟踪确认; 应与需求方就风险及其控制措施进行充分的沟通,并取得必要的确认例如:授权、现场监督 等); d)应针对服务实施过程中的重大业务变更、IT资产变更,服务要素变更,以及服务实施的重要时 期和关键节点等,加强对风险的监控和预警,并及时提供风险提示报告
6.6服务变更 制定信息安全服务项目变更管理流程,确保变更受控
具体要求如下 应保证服务变更(例如;范围人员、内容、形式,价格、时间,方案、服务级别等)不能影响既定的 服务原则和服务目标; 应制定服务项目变更管理流程,与需求方就服务变更进行主动沟通,确保服务变更以受控的方 式得到评估,批准,实施和评审; 应跟踪变更后对服务原则、服务目标、服务质量和效率、需求方信息系统和业务造成的影响,并 进行针对性的改进、补救或恢复 应确保未经需求方许可,不得进行超出服务协议范围的操作,不得擅自对系统或数据进行 D 变更 服务沟通 建立并施行满足信息安全服务项目所需的沟通机制
具体要求如下:
GB/T32914一2016 应与需求方共同确定各自的项目负责人和沟通接口人,建立项目沟通机制; a b)在服务准备、计划、实施、终止各阶段,应与需求方其他利益相关方,均保持畅通和良好的 沟通; 应主动将管理制度或管理体系,保密管理制度等告知需求方; d)应通过通知,会议,报告等多种形式进行正式沟通,并就沟通内容和结论进行记录; 针对服务实施过程中产生的客户投诉或争议,应事先与需求方确定处理流程并形成过程记录, 在实际处理中应有明确的沟通结论和解决方案,并得到需求方的确认
6.8服务交付 以服务交付的方式对信息安全服务项目进行确认和验收
具体要求如下 应按服务协议中所规定的关键节点,正式提交服务交付成果(例如服务方案、服务过程记录、 服务阶段报告、服务验收总结等,并得到需求方的确认; 应保证所有服务交付成果的完整性和详实性,均能清晰阐明其目的、依据,组成、结论,措施、数 据来源及支撑材料等内容 针对信息安全实施服务,应按行业或需求方的要求,接受安全监理风险评估等方式对服务交 付成果进行检查,评审和验收; D 在服务阶段交付之后,宜进行服务管理的改进,在服务完全交付之后宜进行服务满意度调查 应对所有服务交付成果建立服务档案,按相关规定的期限和要求进行妥善保管
GB/T32914一2016 参 考 文 献 []cB/T2021一2008信息技术系统安全工程能力成熟度模型 [21 GB/T28827.1一2012信息技术服务运行维护第1部分;通用要求 GB/T24405.2一2010信息技术服务管理第2部分:实践规则 GB/T22081一2008信息技术安全技术信息安全管理实用规则 [S YD/T1621一2007网络与信息安全服务资质评估准则 [G7 sO/IECDIS27036-1信息技术安全技术供应链关系信息安全第1部分:概述和 概念 [7]IsO/IECDIs27036-2信息技术安全技术供应链关系信息安全第2部分;通用要求 [8 NISTSP800-35信息技术安全服务指南 [9 gManagedscurity CMU/SEIO)MSS(Outsourcin Services)可管理安全服务外包 AG
深入了解信息安全服务提供方管理要求GB/T32914-2016
什么是信息安全服务提供方管理要求?
信息安全服务提供方管理要求是由中国国家标准化管理委员会发布的一项标准,其编号为GB/T32914-2016。该标准旨在规范信息安全服务提供方的行为和管理,确保其能够为用户提供高质量、可靠的信息安全服务。
GB/T32914-2016的主要内容
GB/T32914-2016包含以下主要内容:
- 术语和定义:该部分明确了与本标准相关的定义和术语,以便正确理解和运用本标准。
- 信息安全服务提供方的组织结构和管理要求:该部分从组织结构和管理制度两个方面,对信息安全服务提供方的管理要求进行了详细描述。
- 信息安全服务提供方的服务流程和要求:该部分对信息安全服务提供方从服务需求确认、服务实施、服务交付到服务后续支持等方面进行了规范。
- 信息安全服务提供方的人员管理和培训要求:该部分从信息安全服务提供方人员招聘、培训、考核等方面,对其人员管理要求进行了详细说明。
GB/T32914-2016的应用价值
GB/T32914-2016作为一项信息安全服务提供方管理标准,具有以下应用价值:
- 指导信息安全服务提供方合规经营:该标准规范了信息安全服务提供方的组织结构、管理制度、服务流程等方面的要求,可以指导信息安全服务提供方开展合规经营活动。
- 提高信息安全服务提供方服务质量:该标准要求信息安全服务提供方遵循一定的服务流程和质量要求,可以帮助信息安全服务提供方提高其服务质量和用户满意度。
- 促进信息安全服务市场健康发展:该标准为信息安全服务提供方的规范化管理提供了标准依据,可以促进信息安全服务市场的健康发展。
总结
GB/T32914-2016是一项为规范信息安全服务提供方行为和管理而发布的标准,其内容涵盖了组织结构、管理制度、服务流程、人员管理和培训等方面的要求。遵循该标准可以帮助信息安全服务提供方开展合规经营活动,提高服务质量,促进信息安全服务市场的健康发展。
