GB/T 39770-2021信息技术服务服务安全要求

ICS35080

L77.

中华人民共和国国家标准

GB/T39770—2021

信息技术服务服务安全要求

Informationtechnologyservice—Servicesecurityrequirements

2021-03-09发布2021-10-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T39770—2021

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

服务安全模型

4……………2

服务安全总则

5……………2

服务安全目标

5.1………………………2

服务安全原则

5.2………………………3

安全风险评估

5.3………………………3

服务需求方

5.4…………………………3

服务提供方

5.5…………………………3

服务生存周期安全要求

6…………………4

需求

6.1…………………4

设计

6.2…………………4

实现

6.3…………………4

运营

6.4…………………4

退出

6.5…………………4

服务能力要素安全要求

7…………………5

人员

7.1…………………5

过程

7.2…………………5

技术

7.3…………………6

资源

7.4…………………7

附录资料性附录信息技术服务安全风险评估

A()……………………8

附录资料性附录服务安全角色和职责示例

B()………9

参考文献

……………………10

GB/T39770—2021

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息技术标准化技术委员会提出并归口

(SAC/TC28)。

本标准起草单位上海三零卫士信息安全有限公司中国电子技术标准化研究院北京护航科技股

:、、

份有限公司北京德信永道信息技术服务有限公司中国电子科技网络信息安全有限公司中国电信集

、、、

团有限公司北京银信长远科技股份有限公司成都市人力资源社会保障信息中心四川久远银海软件

、、、

股份有限公司成都信息化技术应用发展中心北京伟仕佳杰信息技术服务有限公司上海北宙企业管

、、、

理咨询有限公司上海安言信息技术有限公司金税信息技术服务股份有限公司成都清华永新网络科

、、、

技有限公司兴业数字金融服务上海股份有限公司石家庄学院平安科技深圳有限公司南方电网

、()、、()、

广东佛山供电局浙江大华技术股份有限公司湖北工业职业技术学院吉林省电子信息产品检验研究

、、、

院首都信息发展股份有限公司江苏思特瑞信息技术有限公司国网信通亿力科技有限责任公司

、、、。

本标准主要起草人干露查海平张毅张树玲于浩杨泉董贵山蒋涛陈剑锋张静何昆

:、、、、、、、、、、、

黄玉娈陈杨岳彩云孙佩付华茂杨海涛白璐尹正茹刘頲钱伟峰熊健淞李霞许志恒李俊玲

、、、、、、、、、、、、、、

李洋沈勇王晶王晓清干国胜王丽明吴芸孙宇明陈武

、、、、、、、、。

Ⅰ

GB/T39770—2021

信息技术服务服务安全要求

1范围

本标准提出了信息技术服务安全模型规定了安全总则生存周期和能力要素的安全要求

,、。

本标准适用于信息技术服务提供方服务需求方和第三方

、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069。

31

.

信息技术服务informationtechnologyservice

服务提供方为服务需求方开发应用信息技术的服务以及服务提供方以信息技术为手段提供支持

、,

服务需求方业务活动的服务

。

注1常见服务内容包括软件服务硬件服务以及其他相关的服务

:、。

注2常见服务形态有信息技术咨询服务设计与开发服务信息系统集成实施服务运行维护服务数据处理和存

:、、、、

储服务运营服务数字内容服务呼叫中心服务及其他信息技术服务

、、、。

定义

[GB/T29264—2012,2.1]

32

.

服务需求方serviceacquirer

需要信息技术服务的组织机构或个人