《信息安全技术 信息安全服务管理规范》.docVIP

GB/TXXXX-XXXX

PAGEIIPAGEII

ICS?35.040

L80

中华人民共和国国家标准

GB/TFORMTEXTXXXX—FORMTEXTXXXX

FORMTEXT?????

信息安全技术

信息安全服务提供方管理要求

Informationsecuritytechnology–

Informationsecurityserviceprovidermanagementrequirements

FORMTEXT在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

（征求意见稿）

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

GB/TXXXX-XXXX

GB/TXXXXX—XXXX

PAGE6

PAGE5

GB/TXXXX-XXXX

PAGEIII

信息安全技术信息安全服务提供方管理要求

范围

本标准针对信息安全服务提供方，提出了组织级管理和项目级管理的要求。

本标准适用于信息安全服务提供方对其服务要素和服务风险进行管控，对信息安全服务需求方、评价机构和监管部门具有参考意义。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22080-2008（ISO/IEC27001:2005,IDT）信息技术安全技术信息安全管理体系要求

GB/T24405.1-2009（ISO/IEC20000-1:2005,IDT）信息技术服务管理第1部分：规范

GB/T30283-2013?信息安全技术信息安全服务分类

术语和定义

GB/T30283-2013中界定的以及下列术语和定义适用于本文件。

3.1

信息安全服务informationsecurityservice

面向组织或个人的各类信息安全需求和信息安全保障需求，由服务提供方按照服务协议所执行的一个信息安全过程或任务。

注1：信息安全服务通常是基于信息安全技术、产品或管理体系的，通过外包的形式，由专业信息安全人员所提供的支持和帮助。

注2：信息安全服务通常以信息安全服务提供方和信息安全服务需求方之间的服务项目形式进行。

3.2

信息安全服务需求方informationsecurityserviceacquirer

获取外部所提供的信息安全服务，以满足信息安全需求和信息安全保障需求，实现自身业务目标的组织（或个人用户）。

3.3

信息安全服务提供方informationsecurityserviceprovider

按照服务协议，通过专业的信息安全人员提供信息安全服务的组织。

3.4

服务协议serviceagreement

服务需求方和服务提供方在服务开始前共同签署的约定，并在服务过程中共同遵守。

注：通常包含服务原则、服务内容、服务形式、服务级别、服务价格、服务交付成果、服务安全要求等，在形式上可以是服务合同及其附属的工作说明书。

3.5

服务级别servicelevel

在服务协议中对服务交付成果明确约定、可测量和文档化的一系列服务指标。

3.6

服务目录servicecatalogue

在服务协议中明确展示服务内容、服务形式、服务价格、服务交付成果和服务级别等的一份列表。

3.7

服务组合serviceportfolio

多个服务类别或服务项目以及其他工作的集合。

3.8

供应链supplychain

通过多个资源和过程联系在一起的一系列组织，根据由服务协议或其他采购协议建立的供应链上下游关系，每个组织都充当一个需求方、提供方或双重角色。

3.9

可视性visibility

系统或过程所具备的可以对系统元素和过程进行记录、监视和检查的属性。

3.10

服务要素servicefactors

设计和实施服务的关键要素，包括服务人员、服务流程、服务工具，以及其他服务所需的资源。

3.11

服务方案serviceplans

基于服务目标，对服务各阶段中所需执行的过程、任务、活动以及相关服务要素、服务级别进行详细描述的文档。

3.12

服务工具servicetools

为达成服务目标或提高服务质量和效率所需要的设备、软件、模板、知识库等。

3.13

服务变更servicechange

任何可能对服务产生影响的新增、修改或解除的活动。

注：服务变更可能涉及服务的范围、人员、内容、形式、价格、时间、方案、流程、工具、服务级别等。

信息安全服务原则

合规