GB/T 32914-2016信息安全技术　信息安全服务提供方管理要求.pdf

ICS 35.040 L 80 OB 中华人 民共和 国 国彖标准 GB/T 32914—2016 信息安全技术 信息安全服务提供方管理要求 Information security technology — Information security service provider management requirements 2016-08-29 发布 2017-03-01 实施 GB/T 32914—2016 ■ i r ■ ■ i 刖 本标准按照GB/T 1.1—2009给出的规则起草。 本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。 本标准主要起草单位：中国信息安全认证中心、上海三零卫士信息安全有限公司、中国电子技术标 准化研究院等。 本标准主要起草人:翟亚红、陈晓桦、郭敏华、上官晓丽、张剑、严妍、贾雪飞、张斌、张志军、路明、 张建军。 T GB/T 32914—2016 信息安全技术 信息安全服务提供方管理要求 1范围 本标准规定了信息安全服务提供的术语和定义、信息安全服务原则、信息安全服务组织级管理和信 息安全服务项目级管理的要求。 本标准适用于信息安全服务提供方对其服务要素和服务风险进行管控，对信息安全服务需求方、评 价机构和监管部门具有参考意义。 2规范性引用文件 下列文件对于本文件的应用是必不可少的 。凡是注日期的引用文件,仅注日期的版本适用于本文 件 。凡是不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本文件。 GB/T 22080—2008信息技术安全技术信息安全管理体系要求 GB/T 24405.1—2009信息技术 服务管理 第1部分:规范 GB/T 30283—2013信息安全技术信息安全服务分类 3术语和定义 GB/T 30283—2013界定的以及下列术语和定义适用于本文件。 3.1 信息安全服务 information security service 面向组织或个人的各类信息安全需求和信息安全保障需求 ，由服务提供方按照服务协议所执行的 一个信息安全过程或任务。 注1 ：信息安全服务通常是基于信息安全技术、产品或管理体系的，通过外包的形式，由专业信息安全人员所提供的 支持和帮助。 注2 ：信息安全服务通常以信息安全服务提供方和信息安全服务需求方之间的服务项目形式进行。 3.2 信息安全服务需求方 information security service acquirer 获取外部所提供的信息安全服务，以满足信息安全需求和信息安全保障需求，实现自身业务目标的 组织 （或个人用户）。 3.3 信息安全服务提供方 information security service provider 按照服务协议，通过专业的信息安全人员提供信息安全服务的组织。 3.4 服务协议 service agreement 服务需求方和服务提供方在服务开始前共同签署的约定