ICS35080

L77.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T39770—2021

信息技術(shù)服務(wù)服務(wù)安全要求

Informationtechnologyservice—Servicesecurityrequirements

2021-03-09發(fā)布2021-10-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T39770—2021

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

服務(wù)安全模型

4……………2

服務(wù)安全總則

5……………2

服務(wù)安全目標(biāo)

5.1………………………2

服務(wù)安全原則

5.2………………………3

安全風(fēng)險(xiǎn)評(píng)估

5.3………………………3

服務(wù)需求方

5.4…………………………3

服務(wù)提供方

5.5…………………………3

服務(wù)生存周期安全要求

6…………………4

需求

6.1…………………4

設(shè)計(jì)

6.2…………………4

實(shí)現(xiàn)

6.3…………………4

運(yùn)營(yíng)

6.4…………………4

退出

6.5…………………4

服務(wù)能力要素安全要求

7…………………5

人員

7.1…………………5

過(guò)程

7.2…………………5

技術(shù)

7.3…………………6

資源

7.4…………………7

附錄資料性附錄信息技術(shù)服務(wù)安全風(fēng)險(xiǎn)評(píng)估

A()……………………8

附錄資料性附錄服務(wù)安全角色和職責(zé)示例

B()………9

參考文獻(xiàn)

……………………10

GB/T39770—2021

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC28)。

本標(biāo)準(zhǔn)起草單位上海三零衛(wèi)士信息安全有限公司中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院北京護(hù)航科技股

:、、

份有限公司北京德信永道信息技術(shù)服務(wù)有限公司中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司中國(guó)電信集

、、、

團(tuán)有限公司北京銀信長(zhǎng)遠(yuǎn)科技股份有限公司成都市人力資源社會(huì)保障信息中心四川久遠(yuǎn)銀海軟件

、、、

股份有限公司成都信息化技術(shù)應(yīng)用發(fā)展中心北京偉仕佳杰信息技術(shù)服務(wù)有限公司上海北宙企業(yè)管

、、、

理咨詢有限公司上海安言信息技術(shù)有限公司金稅信息技術(shù)服務(wù)股份有限公司成都清華永新網(wǎng)絡(luò)科

、、、

技有限公司興業(yè)數(shù)字金融服務(wù)上海股份有限公司石家莊學(xué)院平安科技深圳有限公司南方電網(wǎng)

、()、、()、

廣東佛山供電局浙江大華技術(shù)股份有限公司湖北工業(yè)職業(yè)技術(shù)學(xué)院吉林省電子信息產(chǎn)品檢驗(yàn)研究

、、、

院首都信息發(fā)展股份有限公司江蘇思特瑞信息技術(shù)有限公司國(guó)網(wǎng)信通億力科技有限責(zé)任公司

、、、。

本標(biāo)準(zhǔn)主要起草人干露查海平張毅張樹玲于浩楊泉董貴山蔣濤陳劍鋒張靜何昆

:、、、、、、、、、、、

黃玉孌陳楊岳彩云孫佩付華茂楊海濤白璐尹正茹劉頲錢偉峰熊健淞李霞許志恒李俊玲

、、、、、、、、、、、、、、

李洋沈勇王晶王曉清干國(guó)勝王麗明吳蕓孫宇明陳武

、、、、、、、、。

Ⅰ

GB/T39770—2021

信息技術(shù)服務(wù)服務(wù)安全要求

1范圍

本標(biāo)準(zhǔn)提出了信息技術(shù)服務(wù)安全模型規(guī)定了安全總則生存周期和能力要素的安全要求

,、。

本標(biāo)準(zhǔn)適用于信息技術(shù)服務(wù)提供方服務(wù)需求方和第三方

、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069。

31

.

信息技術(shù)服務(wù)informationtechnologyservice

服務(wù)提供方為服務(wù)需求方開發(fā)應(yīng)用信息技術(shù)的服務(wù)以及服務(wù)提供方以信息技術(shù)為手段提供支持

、,

服務(wù)需求方業(yè)務(wù)活動(dòng)的服務(wù)

。

注1常見服務(wù)內(nèi)容包括軟件服務(wù)硬件服務(wù)以及其他相關(guān)的服務(wù)

:、。

注2常見服務(wù)形態(tài)有信息技術(shù)咨詢服務(wù)設(shè)計(jì)與開發(fā)服務(wù)信息系統(tǒng)集成實(shí)施服務(wù)運(yùn)行維護(hù)服務(wù)數(shù)據(jù)處理和存

:、、、、

儲(chǔ)服務(wù)運(yùn)營(yíng)服務(wù)數(shù)字內(nèi)容服務(wù)呼叫中心服務(wù)及其他信息技術(shù)服務(wù)

、、、。

定義

[GB/T29264—2012,2.1]

32

.

服務(wù)需求方serviceacquirer

需要信息技術(shù)服務(wù)的組織機(jī)構(gòu)或個(gè)人