2025信息技術(shù)服務(wù)安全要求

信息技術(shù)服務(wù)服務(wù)安全要求 前 范 規(guī)范性引用文 術(shù)語(yǔ)和定 服務(wù)安全模 服務(wù)安全總 服務(wù)安全目 服務(wù)安全原 安全風(fēng)險(xiǎn)評(píng) 服務(wù)需求 服務(wù)提供 服務(wù)生存周期安全要 需 設(shè) 實(shí) 運(yùn) 退 服務(wù)能力要素安全要 人 過 技 資 GB/T 信息安全技術(shù)術(shù)語(yǔ)[GB/T29264—2012,定義2 圖1信息技術(shù)服務(wù)安全模型安全風(fēng)險(xiǎn)評(píng)估服務(wù)提供方保持與服務(wù)需求方的安全管理要求一致；持續(xù)開展制度執(zhí)行情況的內(nèi)部檢查和改進(jìn)；定期評(píng)審服務(wù)安全管理制度的有效性。服務(wù)提供方應(yīng)確保服務(wù)供應(yīng)鏈安全，提升服務(wù)連續(xù)性，要求包括：明確服務(wù)項(xiàng)目涉及的外部供應(yīng)鏈及其支撐關(guān)系，并得到服務(wù)需求方確認(rèn)；選用可替代的服務(wù)和產(chǎn)品，減少單一供應(yīng)商依賴；將服務(wù)安全目標(biāo)、原則和相關(guān)安全要求有效傳遞到外部供應(yīng)鏈；與外部供應(yīng)商簽訂服務(wù)協(xié)議或采購(gòu)協(xié)議，并對(duì)協(xié)議執(zhí)行情況進(jìn)行有效的監(jiān)督。需求服務(wù)提供方通過對(duì)服務(wù)需求進(jìn)行調(diào)研分析，識(shí)別和控制服務(wù)需求安全風(fēng)險(xiǎn)，要求包括：評(píng)估服務(wù)提供方的服務(wù)能力、資質(zhì)、服務(wù)體系、安全管理和保障能力，選擇可靠的服務(wù)提供方；分析服務(wù)安全需求，包括明確需求(如：協(xié)議要求、業(yè)務(wù)要水)和隱含需求(如：法律法規(guī)要求、服務(wù)需求方期望)，形成服務(wù)需求文檔；評(píng)審服務(wù)需求，確保供需雙方達(dá)成共識(shí)；簽訂服務(wù)合同或服務(wù)協(xié)議，確保包含服務(wù)安全和保密義務(wù)條款。設(shè)計(jì)服務(wù)提供方根據(jù)服務(wù)需求方的安全需求進(jìn)行服務(wù)設(shè)計(jì)，識(shí)別和控制服務(wù)設(shè)計(jì)安全風(fēng)險(xiǎn)，要求包括：編制服務(wù)設(shè)計(jì)方案，確定服務(wù)所需的組件和要素，滿足服務(wù)安全需求；制定服務(wù)安全管理、評(píng)價(jià)和改進(jìn)計(jì)劃.保障服務(wù)所需的資源和預(yù)算，確保符合整體安全目標(biāo)；評(píng)審新的或變更的服務(wù)對(duì)現(xiàn)有服務(wù)的風(fēng)險(xiǎn)及應(yīng)對(duì)措施，并保留過程記錄。實(shí)現(xiàn)服務(wù)提供方根據(jù)服務(wù)設(shè)計(jì)方案進(jìn)行實(shí)現(xiàn)部署，識(shí)別和控制服務(wù)實(shí)現(xiàn)安全風(fēng)險(xiǎn)，要求包括：確保實(shí)現(xiàn)結(jié)果和服務(wù)設(shè)計(jì)保持一致并能滿足安全需求；進(jìn)行測(cè)試或者試運(yùn)行·減少過程風(fēng)險(xiǎn)和對(duì)生產(chǎn)運(yùn)營(yíng)環(huán)境的影響，如進(jìn)行壓力測(cè)試、用戶測(cè)試等；識(shí)別服務(wù)部署、移交過程中的風(fēng)險(xiǎn)，并制定合理的應(yīng)對(duì)措施。運(yùn)營(yíng)服務(wù)需求方對(duì)服務(wù)提供方所提供的服務(wù)進(jìn)行監(jiān)控，識(shí)別和控制服務(wù)運(yùn)營(yíng)安全風(fēng)險(xiǎn)，要求包括：建立服務(wù)過程，確保服務(wù)過程的有效執(zhí)行，并形成記錄；備份并妥善保管服務(wù)過程中產(chǎn)生的服務(wù)數(shù)據(jù)(如方案、報(bào)告、記錄等)；定期審核服務(wù)安全管控的執(zhí)行情況，對(duì)異常情況及時(shí)采取處置措施；制定、更新服務(wù)安全應(yīng)急預(yù)案，并組織演練和評(píng)估；動(dòng)態(tài)監(jiān)控服務(wù)安全風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)處置策略，及時(shí)采取風(fēng)險(xiǎn)處置措施；針對(duì)服務(wù)過程中關(guān)鍵業(yè)務(wù)和關(guān)鍵資產(chǎn)的變更、重大事件或重要時(shí)期等，加強(qiáng)對(duì)服務(wù)風(fēng)險(xiǎn)監(jiān)控和預(yù)警，做好應(yīng)急協(xié)同準(zhǔn)備；對(duì)服務(wù)過程所涉及的設(shè)施、數(shù)據(jù)、事件、問題、配置等敏感信息進(jìn)行保密；安全合理地使用服務(wù)過程中所產(chǎn)生的信息資料，確保不在服務(wù)范圍以外使用。退出服務(wù)協(xié)議到期或終止時(shí)，為確保服務(wù)順利退出，服務(wù)雙方通過溝通并選擇適當(dāng)?shù)耐顺霾呗?，識(shí)別和控制服務(wù)退出安全風(fēng)險(xiǎn)，要求包括：制定服務(wù)終止計(jì)劃，識(shí)別服務(wù)終止的風(fēng)險(xiǎn)，采取相應(yīng)風(fēng)險(xiǎn)控制措施；在確保業(yè)務(wù)連續(xù)性的前提下，對(duì)服務(wù)中投入的設(shè)備設(shè)施、信息資源、人員等進(jìn)行回收確認(rèn)；對(duì)服務(wù)相關(guān)資料進(jìn)行移交、保存或銷毀；對(duì)服務(wù)授權(quán)和敏感信息進(jìn)行安全審查。人員7.1.11人員選擇根據(jù)服務(wù)安全需求對(duì)人員進(jìn)行選擇，要求包括：識(shí)別和定義服務(wù)崗位的安全要求；對(duì)重要崗位服務(wù)人員進(jìn)行背景調(diào)查；為服務(wù)人員分配唯一的身份標(biāo)識(shí)；基于職責(zé)分離和最小授權(quán)的原則為服務(wù)人員分配權(quán)限；對(duì)涉及敏感信息的服務(wù)人員，明確其保密義務(wù)并簽訂保密協(xié)議。人員培訓(xùn)按服務(wù)安全需求對(duì)人員進(jìn)行培訓(xùn)。要求包括：在上崗前，對(duì)人員開展服務(wù)安全培訓(xùn)，培訓(xùn)內(nèi)容包括但不限于：相關(guān)法律法規(guī)、安全制度和規(guī)范、安全意識(shí)、從事服務(wù)所需的必要安全技能等；有特殊安全要求的崗位人員，應(yīng)具備相關(guān)的資質(zhì)認(rèn)證；服務(wù)過程中，定期對(duì)人員開展服務(wù)安全培訓(xùn)。人員考核按服務(wù)安全需求對(duì)人員進(jìn)行考核，要求包括：在上崗前，對(duì)人員開展信息安全考核.考核不通過的人員不予上崗；服務(wù)過程中，定期開展信息安全考核，考核不通過的人員加強(qiáng)培訓(xùn)或進(jìn)行更換；對(duì)違反安全規(guī)定的責(zé)任人員記錄考核績(jī)效，造成不利影響的責(zé)任人員應(yīng)承擔(dān)相應(yīng)責(zé)任。人員變更發(fā)生人員變更需要進(jìn)行有效安全管控，要求包括：人員變更前，服務(wù)提供方提前告知服務(wù)需求方并提交變更方案，經(jīng)雙方確認(rèn)后，在確保業(yè)務(wù)連續(xù)性的情況下實(shí)施變更；變更確認(rèn)后，收回離場(chǎng)人員所有信息資產(chǎn)，撤銷離場(chǎng)人員相關(guān)權(quán)限，并進(jìn)行書面確認(rèn)；變更結(jié)束后，以書面形式對(duì)離場(chǎng)人員重申保密義務(wù)，離場(chǎng)人員接受追溯審計(jì)。過程定義過程定義安全應(yīng)明確服務(wù)過程定義和安全責(zé)任，要求包括：定義服務(wù)標(biāo)準(zhǔn)作業(yè)過程和服務(wù)監(jiān)督管理過程；識(shí)別過程所有權(quán)，明確過程活動(dòng)安全權(quán)責(zé)；明確過程及其相關(guān)文檔版本控制；對(duì)服務(wù)過程進(jìn)行定期評(píng)審。過程執(zhí)行過程記錄過程變更技術(shù)獲取技術(shù)實(shí)施技術(shù)維護(hù)資源分類分級(jí)資源安全責(zé)任識(shí)別并定義資源安全的不同角色，明確每種角色的安全責(zé)任。資源合理使用資源獲取資源獲取安全應(yīng)確保資源合法獲取和可用，要求包括：確保服務(wù)資源的可用性；確保服務(wù)資源獲取的合法性。資源利用資源利用安全應(yīng)確保服務(wù)過程中資源的合理使用，要求包括：確保服務(wù)資源僅用于服務(wù)的預(yù)定目的，防止非授權(quán)訪問；制定資源利用規(guī)則和過程，避免資源濫用；保留資源使用記錄和日志。資源回收資源回收安全應(yīng)確保服務(wù)結(jié)束后資源進(jìn)行安全回收，要求包括：服務(wù)結(jié)束后及時(shí)釋放資源，進(jìn)行服務(wù)資源同收；評(píng)估資源回收的訪問權(quán)限殘留風(fēng)險(xiǎn)，及時(shí)回收各類訪問賬號(hào)和權(quán)限；評(píng)估資源回收的數(shù)據(jù)殘留風(fēng)險(xiǎn)，按照要求進(jìn)行有效的風(fēng)險(xiǎn)處置。附錄(資料性附錄)信息技術(shù)服務(wù)安全風(fēng)險(xiǎn)評(píng)估信息技術(shù)服務(wù)安全風(fēng)險(xiǎn)評(píng)估對(duì)象包括服務(wù)提供方、服務(wù)生存周期和服務(wù)能力要素，評(píng)估內(nèi)容見表A.1所示。A1安全風(fēng)險(xiǎn)評(píng)估對(duì)象和評(píng)估內(nèi)容服務(wù)能力；服務(wù)設(shè)計(jì)階段風(fēng)險(xiǎn)，如服務(wù)變更；附錄B信息技術(shù)服務(wù)安全相關(guān)的角色和職責(zé)示例見表B.1表B 服務(wù)安全角色和職責(zé)示職資的簡(jiǎn)要描述高級(jí)管理者(例如首席安全的其他高級(jí)管理者)負(fù)資愿景、戰(zhàn)略決策和協(xié)調(diào)活動(dòng)，建立信息技術(shù)服務(wù)相符合的信息安全治理架構(gòu)和安全管理制度，為服務(wù)安全提供人員、資金等服務(wù)項(xiàng)目中的項(xiàng)目負(fù)責(zé)人。具體工作職貴包括：根據(jù)項(xiàng)口情況組建服務(wù)團(tuán)隊(duì)；確定服務(wù)對(duì)象和服務(wù)范圍，并指導(dǎo)團(tuán)隊(duì)進(jìn)行風(fēng)險(xiǎn)