标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB/T 39770-2021 信息技术服务 服务安全要求.pdf服务提供方根据服务设计方案进行实现部署,识别和控制服务实现安全风险,要求包括: )确保实现结果和服务设计保持一致并能满足安全需求: 进行测试或者试运行,减少过程风险和对生产运营环境的影响,如进行压力测试、用户测试等; c)识别服务部署、移交过程中的风险,并制定合理的应对措施
服务协议到期或终止时,为确保服务顺利退出,服务双方通过沟通并选择适当的退出策略,识别利 控制服务退出安全风险,要求包括: a)制定服务终止计划,识别服务终止的风险,采取相应风险控制措施; b)在确保业务连续性的前提下,对服务中投入的设备设施、信息资源、人员等进行回收确认; c)对服务相关资料进行移交、保存或销毁
服务协议到期或终止时,为确保服务顺利退出,服务双方通过沟通并选择适当的退出策略,识别利 控制服务退出安全风险,要求包括: a)制定服务终止计划SF/T 0087-2021 社区矫正中心建设规范,识别服务终止的风险,采取相应风险控制措施; b)在确保业务连续性的前提下,对服务中投入的设备设施、信息资源、人员等进行回收确认; c)对服务相关资料进行移交、保存或销毁
d)对服务授权和敏感信息进行安全审查
7服务能力要素安全要求
根据服务安全需求对人员进行选择,要求包括: a) 识别和定义服务岗位的安全要求; b) 对重要岗位服务人员进行背景调查; c 为服务人员分配唯一的身份标识; d 基于职责分离和最小授权的原则为服务人员分配权限: e)对涉及敏感信息的服务人员,明确其保密义务并签订保密协议。
按服务安全需求对人员进行培训,要求包括: 在上岗前,对人员开展服务安全培训,培训内容包括但不限于:相关法律法规、安全制度和规 范、安全意识、从事服务所需的必要安全技能等; 有特殊安全要求的岗位人员,应具备相关的资质认证; c)服务过程中,定期对人员开展服务安全培训
服务安全需求对人员进行考核,要求包括: 在上岗前,对人员开展信息安全考核,考核不通过的人员不予上岗: 服务过程中,定期开展信息安全考核,考核不通过的人员加强培训或进行更换; 对违反安全规定的责任人员记录考核绩效,造成不利影响的责任人员应承担相应责任
按服务安全需求对人员进行考核,要求包括: )在上岗前,对人员开展信息安全考核,考核不通过的人员不予上岗; 6)服务过程中,定期开展信息安全考核,考核不通过的人员加强培训或进行更换; c)对违反安全规定的责任人员记录考核绩效,造成不利影响的责任人员应承担相应责任
发生人员变更需要进行有效安全管控,要求包括: a 人员变更前,服务提供方提前告知服务需求方并提交变更方案,经双方确认后,在确保业务连 续性的情况下实施变更; b 变更确认后,收回离场人员所有信息资产,撤销离场人员相关权限,并进行书面确认; c) 变更结束后,以书面形式对离场人员重申保密义务,离场人员接受道溯审计
过程定义安全应明确服务过程定义和安全责任,要求包括: a)定义服务标准作业过程和服务监督管理过程; b)识别过程所有权,明确过程活动安全权责; c)明确过程及其相关文档版本控制; d)对服务过程进行定期评审。
a)按照过程定义,配备人员和资源,采取约定的技术执行服务; b)落实服务过程安全控制措施: c)持续进行服务安全风险监控
过程记录安全应明确服务过程记录的存储和访问控制,要求包括: a)确保所有的服务过程和服务活动都形成记录; b)确保服务过程记录不被非授权访问; c)对服务过程记录进行存储和备份,保存期限应满足合规要求。
过程变更安全应明确服务过程变更需要的安全控制,要求包括: a)严格按照变更管理制度实施过程变更,确保变更过程获得审批; b)评审变更过程的合理性和正确性,充分评估变更安全风险; c)在受控的环境下对变更进行充分测试; d)记录并保留变更过程和结果
技术获取安全应确保以合理的方式获得安全合规的技术,要求包括: a)选择安全合规的技术提供方,并满足所提供技术的安全支持能力; b)确保获得的技术是完整、安全和可靠的; c)在技术许可协议中,明确与技术安全有关的参数; d)论证和审定技术获取过程的合理性和正确性: e)记录并保留技术获取的方法和理由
技术实施安全应确保所实施技术的安全性,要求包括: 提供交付清单并进行核实,如技术设备、工具、文档等 提供技术培训如技术原理、技术使用、安全风险等: c)针对技术实施在受控环境下进行充分测试; 1 论证和审定技术实施过程的合理性和正确性; e)记录并保留技术实施的过程和结果,
技术维护安全应确保技术可以持续满足服务协议,要求包括: a)监控技术运行状况,持续评估技术是否满足服务协议; b)根据服务需求和技术进步及时调整相应技术,包括技术引入、技术升级、技术退出等,并评估 风险:
c)记录并保留技术维护的过程和结果
7.4.1资源分类分级
识别资源的安全需求和敏感程度,对资源进行分类分级管理
Z.4.2资源安全责任
并定义资源安全的不同角色,明确每种角色的安全
7.4.3资源合理使用
7.4.3.1资源获取
资源获取安全应确保资源合法获取和可用,要求包括: )确保服务资源的可用性; 6)确保服务资源获取的合法性
7.4.3.2资源利用
资源利用安全应确保服务过程中资源的合理使用,要求包括: a)确保服务资源仅用于服务的预定目的QCR 9225-2015 铁路桥梁工程施工机械配置技术规程,防止非授权访问; b)制定资源利用规则和过程,避免资源滥用; c)保留资源使用记录和日志
7.4.3.3资源回收
资源回收安全应确保服务结束后资源进行安全回收,要求包括: a)服务结束后及时释放资源,进行服务资源回收; b 评估资源回收的访问权限残留风险,及时回收各类访问账号和权限 c)评估资源回收的数据残留风险,按照要求进行有效的风险处置。
附录A (资料性附录) 信息技术服务安全风险评估
(资料性附录) 信息技术服务安全风险评估
表A.1安全风险评估对象和评估内容
附录B (资料性附录 服务安全角色和职 信息技术服务安全相关的角色和职责示例见表B.1。
GB 28654-2012 工业三氯氢硅表B.1服务安全角色和职责示例