ICS35080

L77.

中華人民共和國國家標準

GB/T39770—2021

信息技術服務服務安全要求

Informationtechnologyservice—Servicesecurityrequirements

2021-03-09發布2021-10-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T39770—2021

目次

前言

…………………………Ⅰ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

服務安全模型

4……………2

服務安全總則

5……………2

服務安全目標

5.1………………………2

服務安全原則

5.2………………………3

安全風險評估

5.3………………………3

服務需求方

5.4…………………………3

服務提供方

5.5…………………………3

服務生存周期安全要求

6…………………4

需求

6.1…………………4

設計

6.2…………………4

實現

6.3…………………4

運營

6.4…………………4

退出

6.5…………………4

服務能力要素安全要求

7…………………5

人員

7.1…………………5

過程

7.2…………………5

技術

7.3…………………6

資源

7.4…………………7

附錄資料性附錄信息技術服務安全風險評估

A()……………………8

附錄資料性附錄服務安全角色和職責示例

B()………9

參考文獻

……………………10

GB/T39770—2021

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準由全國信息技術標準化技術委員會提出并歸口

(SAC/TC28)。

本標準起草單位上海三零衛士信息安全有限公司中國電子技術標準化研究院北京護航科技股

:、、

份有限公司北京德信永道信息技術服務有限公司中國電子科技網絡信息安全有限公司中國電信集

、、、

團有限公司北京銀信長遠科技股份有限公司成都市人力資源社會保障信息中心四川久遠銀海軟件

、、、

股份有限公司成都信息化技術應用發展中心北京偉仕佳杰信息技術服務有限公司上海北宙企業管

、、、

理咨詢有限公司上海安言信息技術有限公司金稅信息技術服務股份有限公司成都清華永新網絡科

、、、

技有限公司興業數字金融服務上海股份有限公司石家莊學院平安科技深圳有限公司南方電網

、()、、()、

廣東佛山供電局浙江大華技術股份有限公司湖北工業職業技術學院吉林省電子信息產品檢驗研究

、、、

院首都信息發展股份有限公司江蘇思特瑞信息技術有限公司國網信通億力科技有限責任公司

、、、。

本標準主要起草人干露查海平張毅張樹玲于浩楊泉董貴山蔣濤陳劍鋒張靜何昆

:、、、、、、、、、、、

黃玉孌陳楊岳彩云孫佩付華茂楊海濤白璐尹正茹劉頲錢偉峰熊健淞李霞許志恒李俊玲

、、、、、、、、、、、、、、

李洋沈勇王晶王曉清干國勝王麗明吳蕓孫宇明陳武

、、、、、、、、。

Ⅰ

GB/T39770—2021

信息技術服務服務安全要求

1范圍

本標準提出了信息技術服務安全模型規定了安全總則生存周期和能力要素的安全要求

,、。

本標準適用于信息技術服務提供方服務需求方和第三方

、。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術術語

GB/T25069

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T25069。

31

.

信息技術服務informationtechnologyservice

服務提供方為服務需求方開發應用信息技術的服務以及服務提供方以信息技術為手段提供支持

、,

服務需求方業務活動的服務

。

注1常見服務內容包括軟件服務硬件服務以及其他相關的服務

:、。

注2常見服務形態有信息技術咨詢服務設計與開發服務信息系統集成實施服務運行維護服務數據處理和存

:、、、、

儲服務運營服務數字內容服務呼叫中心服務及其他信息技術服務

、、、。

定義

[GB/T29264—2012,2.1]

32

.

服務需求方serviceacquirer

需要信息技術服務的組織機構或個人