DB37T 1364-2009信息技术外包服务 信息安全服务规范.pdf

1CS 03. 080. 99A 10DB37山东省地方标准DB37/T1364—2009信息技术外包服务信息安全服务规范2009-XX-XX发布2009-XX-XX实施山东省质量技术监督局发布 DB37/T标准附录A为资料性附录。本标准由山东省服务标准化技术委员会归口。本标准起草单位：山东省标准化研究院、北京神州绿盟科技有限公司、浪潮集团有限公司。本标准主要起草人：王曙光、晚玉凯、朱瑞融虹、张媛、曲发川、宫平、张敏、刘帅、孙大军、周水波、宋桂香、曲毅。 DB37/T 1364—2009参照服务级别协议（SLA），定期对服务提供方进行服务评定。A8.2变更控制服务范围和内容的变更控制贯穿整个服务过程，各项变更请求均经过双方项目负责人批准，同时评估各项变史对服务级别的影响，详细记录变史内容和实施过程。A8.3中期质量评估对服务提供方中期交付服务双方确认，意见讨论，双方对前期项目执行进行满意度沟通，协调最优资源对评估发现的安全风险确定处理方式。A8.4会议和工作报告会议包括每周例会和里程碑会议。工作报告主要分为周报、月报、季报和年报。报告内容应包括：项目进展情况、关键事项和问题关键决策、变史情况和下阶段工作计划。A8.5服务改进服务提供方质量审核员在每个项目阶段的质量审核完成后，对已经完成实施的服务进行评价，对服务质量进行评级，并将把评级结果通知项目负责人。对服务的质量评价采用优秀、良好、一般、差四级评定。依据服务质量评价结果制定服务改进计划并实施。.9 DB37/T考文献[]《信息安全服务资质认证要求》国家信息安全测评认证中心[2]《信息安全灾难恢复服务能力评估准则》，国家信息安全测评认证中心[3] Outsourcing Managed Security Services, Carnegie Mellon Unive rsity- January 2003 DB37/T息技术外包服务信息安全服务规范1范围本标准规定了信息安全外包服务的基本要求、服务要求、服务质量控制，附录是安全服务实例。本标准适用于在山东省行政区域内从事信息安全外包服务的组织。本标准也可作为信息安全外包服务需求方对服务提供方的选择依据，2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的写用文件，其最新版本适用于本标准。GB/T5271.8信息技术词汇第8部分：安全GB/T19001质量管理体系要求GB/T 209842007信息安全技术信息安全风险评估规范池GB/T 22080-2008信息技术安全技术信息安全管理体系要求GB/T 220812008信息技术安全技术信息安全管理实用规则GB/T 222392008信息安全技术信息系统安全等级保护基本要求GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南DB31/T 4302009信息服务外包企业技术与管理规范IS0/IEC 20000-12005信息技术服务管理第一部分规范3术语和缩略语下列术语和定义适用于本标准。3.1外包outsourcing指组织将价值链中原本由自身提供的具有基础性的、共性的、非核心的信息技术业务和基于信息技术的业务流程剥离出来后，交给服务提供方来完成的活动。3.2信息技术外包（ITo）information technologyoutsourcing（ITO）指组织委托服务提供方向其提供部分或全部信息技术服务的活动。3.3信息安全外包服务information security outsourcing service是指由外包服务提供方所提供的信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动。3.4项目project由一组有起始日期、相互协调的受控活动组成的独特过程，该过程达到符合包括时间、成本和资源的约束条件在内的规定要求的目标。注：(B/T19000-2000，术语和定义3.4.4（不包括注）本标准中指信息安全外包服务项目。3.51 DB37/务提供方（接包方）serviceprovider向一个或多个客户提供服务的组织。3. 6服务需求方（发包方、客户）buyer购买服务的组织。3.7服务级别协议（SLA）servicelevelagreement（SLA）服务提供方与客户之间签署的、描述服务和约定服务级别的协议。注：参见 IS0/IEC 200001:2005。3.8攻击attack在IT系统中，对系统或信息进行破坏、泄露、更改或使其丧失功能的尝试（包括窃取数据）。3.