注册

国家标准计划《信息技术服务 服务安全规范》由 TC28(全国信息技术标准化技术委员会)归口 ,主管部门为国家标准化管理委员会

主要起草单位 上海三零卫士信息安全有限公司中国电子技术标准化研究院等

目录

基础信息

计划号
20171070-T-469
制修订
制订
项目周期
24个月
下达日期
2017-07-21
申报日期
2016-01-12
公示开始日期
2017-04-24
公示截止日期
2017-05-11
标准类别
基础
国际标准分类号
35.080
35 信息技术、办公机械
35.080 软件开发和系统文件
归口单位
全国信息技术标准化技术委员会
执行单位
全国信息技术标准化技术委员会
主管部门
国家标准化管理委员会

起草单位

目的意义

从国内目前IT服务现状来看,IT服务(外包、融合、承载等)已成为信息化建设和信息技术产业的一种常态,随着云计算、物联网、移动互联网、大数据、智慧城市等信息技术和应用的发展趋势,将会出现越来越多的集约建设、一体运维、跨界应用、知识发现等新业态和新模式,这些对IT服务的依赖度会越来越强,IT服务的风险对组织业务的影响会越来越高。

一般来看,在IT服务过程中,服务提供方(服务接包方)可能会直接操作服务需求方(服务发包方)的IT基础设施和应用系统,也可能会处理或接触到服务需求方的大量信息数据和业务规划,还存在系统管理权限过大、服务团队人员不稳定、服务关键技术不交底、组织背景复杂或内部管理不规范等风险,而目前在IT服务领域,普遍缺乏服务安全的规范,以及相应的技术和管理控制措施。

如何确保服务需求方的信息保密性?如何确保服务需求方的系统可用性和业务连续性?如何确保服务提供方能持续稳定地提供服务?需方和供方各自如何管控服务过程?无论是哪种类型的IT服务都需要回答以上问题,即对IT服务安全管控的需求。

IT服务安全规范既关注服务对象的信息安全(Information Security),又关注服务要素的可信可靠可控(Service Safety)。

本标准的目标是为了规范和引导IT服务行业的发展,支持解决IT服务中的信息安全和服务可信可靠可控问题,不因服务提供方相关服务要素的介入,以及供需双方的交互,导致对服务需求方的业务、资产、系统等造成损害。

范围和主要技术内容

本标准以IT服务的基本过程(设计、准备、实施、收尾)为线索,围绕IT服务过程中的服务要素(人员、流程、工具、资源),以IT服务提供方为标靶,通过对IT服务各阶段的安全管控进行要求规定,形成一套IT服务的安全管控规范或标准。 本标准适用于IT服务供方规范和改进服务过程中的安全管控能力,适用于IT服务需方评估IT服务外包可能带来的服务风险,并在选择IT服务供方时明确服务安全管控要求,也可作为IT服务评估机构和监管部门对IT服务提供方进行能力评估和监督管理。