国家标准 GB/T39770一2021 信息技术服务服务安全要求 Informationtechnologservice一Servicesecurityrequirements 2021-03-09发布 2021-10-01实施国家市场监督管理总局发布国家标涯花管理委员会国家标准
GB/T39770一2021 次目前言范围 2 规范性引用文件 3 术语和定义服务安全模型服务安全总则 5.1服务安全目标 5.2服务安全原则 5.3安全风险评估 5.4服务需求方 5.5服务提供方服务生存周期安全要求 6.l需求设计 6.2 实现 6.3 6.4运营 6.5退出服务能力要素安全要求 7.1人员 7.2过程 7.3技术 7.！资源附录A(资料性附录)信息技术服务安全风险评估附录B资料性附录服务安全角色和职责示例参考文献 10
GB/39770一2021 前言本标准按照GB/T1.1一2009给出的规则起草本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口本标准起草单位:上海三零卫士信息安全有限公司、电子技术标准化研究院、北京护航科技股份有限公司,北京德信永道信息技术服务有限公司、电子科技网络信息安全有限公司、电信集团有限公司、北京银信长远科技股份有限公司成都市人力资源社会保障信息中心、四川久远银海软件股份有限公司、成都信息化技术应用发展中心,北京伟仕佳杰信息技术服务有限公司、上海北宙企业管理咨询有限公司、上海安言信息技术有限公司,金税信息技术服务股份有限公司、成都清华永新网络科技有限公司、兴业数字金融服务(上海)股份有限公司、石家庄学院、平安科技(深圳)有限公司、南方电网广东佛山供电局、浙江大华技术股份有限公司、湖北工业职业技术学院、吉林省电子信息产品检验研究院、首都信息发展股份有限公司、江苏思特瑞信息技术有限公司、国网信通亿力科技有限责任公司本标准主要起草人干露,查海平、张毅、张树玲、于造、杨泉、董贵山,蒋涛,陈剑锋、张静、何昆黄玉变、陈杨、岳彩云.孙佩、付华茂、杨海涛、白璐、尹正茹、刘题、钱伟峰、熊健淞,李霞,许志恒、李俊玲李洋,沈勇,王晶,王晓清、干国胜,王丽明,吴芸、孙宇明,陈武
GB/39770一2021 信息技术服务服务安全要求范围本标准提出了信息技术服务安全模型,规定了安全总则,生存周期和能力要素的安全要求本标准适用于信息技术服务提供方、服务需求方和第三方规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T25069信息安全技术术语术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件 3.1 信息技术服务informationtechnologyservice 服务提供方为服务需求方开发,应用信息技术的服务,以及服务提供方以信息技术为手段提供支持服务需求方业务活动的服务注1;常见服务内容包括软件服务,硬件服务以及其他相关的服务注2;常见服务形态有信息技术咨询服务,设计与开发服务,信息系统集成实施服务,运行维护服务,数据处理和存储服务,运营服务、数字内容服务,呼叫中心服务及其他信息技术服务 [[GB/T292642012,定义2.1] 3.2 服务需求方serviceacquirer 需要信息技术服务的组织机构或个人 3.3 服务提供方sericeproider 提供信息技术服务的组织机构或个人 3.4 服务安全servicesecurity 不因服务提供方相关服务要素的介人,以及供需双方的交互,导致对服务需求方的业务、资产、系统等造成损害的特性 3.5 服务人员servieepeople 提供信息技术服务所需的人员 3.6 服务过程serieeprwes 提供信息技术服务时,合理利用必要的资源,将输人转化为输出的一组相互关联和结构化的活动
GB/T39770一2021 3.7 服务技术servieteehnology 交付满足质量要求的信息技术服务应使用的技术和应具备的技术能力 3.8 服务资源servieeresouree 提供信息技术服务所依存和产生的有形及无形资产服务安全模型本标准提出的信息技术服务安全模型,是以服务安全风险评估为基础,遵循服务安全原则,对服务需求方、服务提供方,服务生存周期、服务能力要素提出安全要求达成服务安全目标其中服务生存厕期包括需求、设计、实现、运营、退出五个阶段,服务能力要素包括服务人员(简称人员、服务过程(简称过程、服务技术(简称技术),服务资源(简称资源),模型如图1所示服务安全目标服务安全原则服务生存周期退出需求服务能力要素服务需求方服务务服务提供方人员过程运营设计资议技术实现服务安全风险评估图1 信息技术服务安全模型 5 服务安全总则 5.1服务安全目标根据信息技术服务需求和内外部环境,制定信息技术服务安全战略,通过实施技术和管理的安全控制措施,确保安全目标达成服务安全目标包括: 满足法律法规和相关标准规范要求; a b 满足合同要求; 满足服务需求方安全制度要求; c
GB/39770一2021 d 满足服务过程中资产保密性,完整性和可用性要求 5.2服务安全原则服务提供方和服务需求方在服务提供过程中应遵循以下安全原则合规原则 a 以符合网络安全有关的法律、法规和标准规范为原则 b 关业务原则以优先保障服务需求方关键业务安全为原则; 最小影响原则以对服务需求方业务运行影响最小为原则 d)合作原则以服务需求方和服务提供方通力合作,共同保障服务安全为原则 5.3安全风险评估应对服务提供方,服务生存周期服务能力要素进行安全风险评估,有针对性的落实服务安全要求，实现信息技术服务安全风险的有效控制,评估内容参见附录A 5.4服务需求方服务需求方从服务安全目标出发,提出服务安全需求,落实服务安全管控措施,要求包括加强服务安全建设,完善服务安全管理制度; b明确服务安全需求,将需求传达到服务提供方; c 为服务提供方提供必要的资源支持; 开展服务安全监督,配合服务提供方不断提升服务安全水平 d 5.5服务提供方 5.5.1组织架构服务提供方应建立服务安全组织机构和定义服务安全职责,要求包括具备与信息技术服务相符合的人力资源规模,建立服务安全组织机构: a 定义相关服务安全岗位,明确安全职责 b 注:服务安全角色和职责定义示例参见附录B 5.5.2管理制度服务提供方应建立服务安全管理制度,要求包括: 建立服务安全管理制度,满足所提供的信息技术服务需求 a 注建立信息安全管理制度时参见GB/T24405.l一2009和GB/T22080一2016. 保持与服务需求方的安全管理要求一致; b 持续开展制度执行情况的内部检查和改进 c 定期评审服务安全管理制度的有效性 d 5.5.3供应链安全服务提供方应确保服务供应链安全,提升服务连续性,要求包括明确服务项目涉及的外部供应链及其支撑关系,并得到服务需求方确认 a b 选用可替代的服务和产品,减少单一供应商依赖;
GB/T39770一2021 将服务安全目标、原则和相关安全要求有效传递到外部供应链; c d 与外部供应商签订服务协议或采购协议,并对协议执行情况进行有效的监督服务生存周期安全要求 6.1需求服务提供方通过对服务需求进行调研分析,识别和控制服务需求安全风险,要求包括评估服务提供方的服务能力、资质,服务体系、安全管理和保障能力,选择可靠的服务提供方 a b) 分析服务安全需求,包括明确需求(如;协议要求、业务要求)和隐含需求(如;法律法规要求、服务需求方期望),形成服务需求文档; 评审服务需求,确保供需双方达成共识 c d 签订服务合同或服务协议,确保包含服务安全和保密义务条款 6.2设计服务提供方根据服务需求方的安全需求进行服务设计,识别和控制服务设计安全风险,要求包括编制服务设计方案,确定服务所需的组件和要素,满足服务安全需求 a 制定服务安全管理、评价和改进计划,保障服务所需的资源和预算,确保符合整体安全目标; b c 评审新的或变更的服务对现有服务的风险及应对措施,并保留过程记录 6.3实现服务提供方根据服务设计方案进行实现部署,识别和控制服务实现安全风险,要求包括确保实现结果和服务设计保持一致并能满足安全需求， a) b) 进行测试或者试运行,减少过程风险和对生产运营环境的影响,如进行压力测试、用户测试等，识别服务部署、移交过程中的风险,并制定合理的应对措施 c 6.4运营服务需求方对服务提供方所提供的服务进行监控,识别和控制服务运营安全风险,要求包括: 建立服务过程,确保服务过程的有效执行,并形成记录; a b 备份并妥善保管服务过程中产生的服务数据(如方案、报告、记录等); 定期审核服务安全管控的执行情况,对异常情况及时采取处置措施; c d 制定,更新服务安全应急预案,并组织演练和评估动态监控服务安全风险,制定风险处置策略,及时采取风险处置措施针对服务过程中关键业务和关键资产的变更重大事件或重要时期等,加强对服务风险监控和预警,散好应急协同准备; 对服务过程所涉及的设施、数据、事件,问题、配置等敏感信息进行保密 g h)安全合理地使用服务过程中所产生的信息资料,确保不在服务范围以外使用 6.5退出服务协议到期或终止时,为确保服务顺利退出,服务双方通过沟通并选择适当的退出策略,识别和控制服务退出安全风险,要求包括 a)制定服务终止计划,识别服务终止的风险,采取相应风险控制措施在确保业务连续性的前提下,对服务中投人的设备设施、信息资源、人员等进行回收确认 b 对服务相关资料进行移交、保存或销毁 c
GB/39770一2021 d 对服务授权和敏感信息进行安全审查服务能力要素安全要求 7.1人员 7.1.1人员选择根据服务安全需求对人员进行选择,要求包括识别和定义服务岗位的安全要求 a 对重要岗位服务人员进行背景调查; b 为服务人员分配唯一的身份标识 c d)基于职责分离和最小授权的原则为服务人员分配权限对涉及敏感信息的服务人员,明确其保密义务并签订保密协议 7.1.2人员培训按服务安全需求对人员进行培训,要求包括: 在上岗前,对人员开展服务安全培训,培训内容包括但不限于;相关法律法规、安全制度和规 a 范、安全意识从事服务所需的必要安全技能等; 有特殊安全要求的岗位人员,应具备相关的资质认证 b 服务过程中,定期对人员开展服务安全培训 7.1.3人员考核按服务安全需求对人员进行考核,要求包括在上岗前,对人员开展信息安全考核,考核不通过的人员不予上岗 b)服务过程中,定期开展信息安全考核,考核不通过的人员加强培训或进行更换; c 对违反安全规定的责任人员记录考核绩效,造成不利影响的责任人员应承担相应责任 7.1.4人员变更发生人员变更需要进行有效安全管控,要求包括人员变更前,服务提供方提前告知服务需求方并提交变更方案,经双方确认后,在确保业务连 a 续性的情况下实施变更; b 变更确认后,收回离场人员所有信息资产,撤销离场人员相关权限,并进行书面确认变更结束后,以书面形式对离场人员重申保密义务,离场人员接受追溯审计 7.2过程 7.2.1过程定义过程定义安全应明确服务过程定义和安全责任,要求包括定义服务标准作业过程和服务监督管理过程 a 识别过程所有权,明确过程活动安全权责; b 明确过程及其相关文档版本控制 c d 对服务过程进行定期评审
GB/T39770一2021 7.2.2过程执行过程执行安全应明确服务过程安全执行并持续监控安全风险,要求包括按照过程定义,配备人员和资源,采取约定的技术执行服务; a 落实服务过程安全控制措施 b) 持续进行服务安全风险监控 c 7.2.3过程记录过程记录安全应明确服务过程记录的存储和访问控制,要求包括: 确保所有的服务过程和服务活动都形成记录; a b) 确保服务过程记录不被非授权访问; 对服务过程记录进行存储和备份,保存期限应满足合规要求 c 7.2.4过程变更过程变更安全应明确服务过程变更需要的安全控制,要求包括严格按照变更管理制度实施过程变更,确保变更过程获得审批 a b 评审变更过程的合理性和正确性,充分评估变更安全风险; 在受控的环境下对变更进行充分测试; c d 记录并保留变更过程和结果 7.3技术 7.3.1技术获取技术获取安全应确保以合理的方式获得安全合规的技术,要求包括选择安全合规的技术提供方,并满足所提供技术的安全支持能力 a b) 确保获得的技术是完整、安全和可靠的在技术许可协议中,明确与技术安全有关的参数 c 论证和审定技术获取过程的合理性和正确性; d e 记录并保留技术获取的方法和理由 7.3.2技术实施技术实施安全应确保所实施技术的安全性,要求包括提供交付清单并进行核实,如技术设备、工具、文档等 a b) 提供技术培训,如技术原理、技术使用、安全风险等; 针对技术实施在受控环境下进行充分测试; c 论证和审定技术实施过程的合理性和正确性; d 记录并保留技术实施的过程和结果 7.3.3技术维护技术维护安全应确保技术可以持续满足服务协议,要求包括监控技术运行状况,持续评估技术是否满足服务协议 a b)根据服务需求和技术进步及时调整相应技术,包括技术引人、技术升级、技术退出等,并评估风险;
GB/39770一2021 记录并保留技术维护的过程和结果 7.4资源 7.4.1资源分类分级识别资源的安全需求和敏感程度,对资源进行分类分级管理 7.4.2资源安全责任识别并定义资源安全的不同角色,明确每种角色的安全责任 7.4.3资源合理使用 7.4.3.1 资源获取资源获取安全应确保资源合法获取和可用,要求包括确保服务资源的可用性; 确保服务资源获取的合法性 b 7.4.3.2资源利用资源利用安全应确保服务过程中资源的合理使用,要求包括确保服务资源仅用于服务的预定目的,防止非授权访问 a b)制定资源利用规则和过程,避免资源滥用; 保留资源使用记录和日志 c 7.4.3.3资源回收资源回收安全应确保服务结束后资源进行安全回收,要求包括服务结束后及时释放资源,进行服务资源回收; aa b)评估资源回收的访问权限残留风险,及时回收各类访问账号和权限评估资源回收的数据残留风险,按照要求进行有效的风险处置 c
GB/T39770一2021 附录 A 资料性附录) 信息技术服务安全风险评估信息技术服务安全风险评估对象包括服务提供方、服务生存周期和服务能力要素,评估内容见表A.1 所示表A.1安全风险评估对象和评估内容评估对象评估内容对服务提供方的安全风险评估内容包括经营资质; 财务状况 2 服务提供方 3) 服务能力; 4 服务安全保障能力; 5 供应链安全等对服务生存周期的安全风险评估内容包括服务需求阶段风险,如服务合同和服务协议服务设计阶段风险,如服务变更 2 服务生存周期 33 服务实现阶段风险,如服务部署; 服务运营阶段风险,如安全事件; 4 服务退出阶段风险,如资料移交对服务能力要素的安全风险评估内容包括服务人员风险评估,如人员培训服务能力要素服务过程风险评估,如过程变更; 服务技术风险评估,如技术授权服务资源风险评估,如资源安全责任
GB/39770一2021 附录 B 资料性附录服务安全角色和职责示例信息技术服务安全相关的角色和职责示例见表B.1 表B.1服务安全角色和职责示例角色职责的简要描述高级管理者(例如首席安全官负责愿景、战略决策和协调活动,建立信息技术服务相符合的信息安全治理架构或承担信息安全管理职责的其和安全管理制度,为服务安全提供人员、资金等支持他高级管理者服务项目中的项目负责人具体工作职责包括根据项目情况组建服务团队; 2 确定服务对象和服务范围,并指导团队进行风险评估工作项目组长牵头编写服务部署计划以及规范服务过程; 3 监督、协调和控制服务过程安全与相关方及时进行沟通交流,针对可能发生的问题进行研讨 5 服务完成后,提请相关方进行服务验收负责服务过程中安全管理工作的实施人员具体工作职责包括: 负责服务实施过程,相关文档的把控,并参与编写服务文档; 安全管理人员向相关方解答关于服务项目中涉及的管理性细节问题服务项目中的服务实施人员具体工作职责包括根据服务目标以及服务范围,参与调研,参与资产风险评估; 2 参与编写《风险处置计划》和《服务部署方案》信息技术服务人员遵照《服务部署方案》实施具体的技术性服务; 对服务过程中遇到的问题及时向项目组长汇报,并提出需要协调的资源; 将过程中的技术性服务工作成果汇总,提交服务交付物; 5 解答关于服务项目中涉及的技术性细节问题信息系统安全管理员确保信息系统在整个服务过程中的安全
GB/T39770一2021 参考文献 [1]GB/T20984一2007信息安全技术信息安全风险评估规范 [7 GB/T22080一2016信息技术安全技术信息安全管理体系要求 [时 GB/T24405.1一2009信息技术服务管理第1部分:规范 [打 GB/T24405.2一2010信息技术服务管理第2部分:实践规则 [时 GB/T29264一2012信息技术服务分类与代码 [a ISO31000:2018RiskMan Guidelines anagememt [7]NIsTsP800-35,2003Gudetonformation Tehmology SecurityServices [灯NIsTsP00-39.;201MhanegingInormationsecurityRisk.Organiation.Mision.andm formmationSystemView [9]NISTSP800-53Rev,4:;2015SeeurityandPrivacyControl、forInformationSystemsand Organizations 0

GB/T39770-2021信息技术服务安全要求

随着信息技术的快速发展，越来越多的企业开始依赖于信息技术服务。然而，这种依赖同时也带来了许多风险，如个人信息泄露、网络攻击等。因此，GB/T39770-2021信息技术服务安全要求的发布对于保护企业信息和用户个人信息至关重要。

什么是信息技术服务安全要求？

GB/T39770-2021信息技术服务安全要求是由国家标准化管理委员会发布的标准，旨在规范信息技术服务提供商的安全管理要求。该标准适用于各类信息技术服务提供商，包括但不限于云计算、大数据、物联网等领域。

信息技术服务安全要求的内容

信息技术服务安全要求主要分为三个方面：

服务管理安全要求

服务管理安全要求包括：安全政策、组织与人员、资产管理、访问控制、应急管理、物理环境安全、通信管理、系统运维管理和供应商管理等九个方面，旨在规范信息技术服务提供商的服务管理流程。

服务技术安全要求

服务技术安全要求包括：身份认证与授权、数据加密、网络安全、移动设备安全、应用程序安全和系统安全等六个方面，旨在规范信息技术服务提供商的服务技术实现过程。

服务合规安全要求

服务合规安全要求包括：法律法规、行业标准和客户要求等三个方面，旨在规范信息技术服务提供商的合规性要求。

信息技术服务安全要求的意义

GB/T39770-2021信息技术服务安全要求的发布，对于保护企业信息和用户个人信息具有重要意义。通过规范信息技术服务提供商的安全管理要求，可以有效防止个人信息泄露和网络攻击等风险。同时，也能够促进信息技术服务提供商的健康发展，提高服务质量和水平。

结论

总之，GB/T39770-2021信息技术服务安全要求是保护企业信息和用户个人信息的重要标准。各类信息技术服务提供商应当认真遵守该标准，规范服务管理、技术实现和合规性要求，以确保信息技术服务的安全可靠性和可持续性发展。