国家标准计划《信息技术服务 服务安全规范》由 TC28（全国信息技术标准化技术委员会）归口 ，主管部门为国家标准化管理委员会。

主要起草单位 上海三零卫士信息安全有限公司 、中国电子技术标准化研究院等 。

从国内目前IT服务现状来看，IT服务（外包、融合、承载等）已成为信息化建设和信息技术产业的一种常态，随着云计算、物联网、移动互联网、大数据、智慧城市等信息技术和应用的发展趋势，将会出现越来越多的集约建设、一体运维、跨界应用、知识发现等新业态和新模式，这些对IT服务的依赖度会越来越强，IT服务的风险对组织业务的影响会越来越高。

一般来看，在IT服务过程中，服务提供方（服务接包方）可能会直接操作服务需求方（服务发包方）的IT基础设施和应用系统，也可能会处理或接触到服务需求方的大量信息数据和业务规划，还存在系统管理权限过大、服务团队人员不稳定、服务关键技术不交底、组织背景复杂或内部管理不规范等风险，而目前在IT服务领域，普遍缺乏服务安全的规范，以及相应的技术和管理控制措施。

如何确保服务需求方的信息保密性？如何确保服务需求方的系统可用性和业务连续性？如何确保服务提供方能持续稳定地提供服务？需方和供方各自如何管控服务过程？无论是哪种类型的IT服务都需要回答以上问题，即对IT服务安全管控的需求。

IT服务安全规范既关注服务对象的信息安全（Information Security），又关注服务要素的可信可靠可控（Service Safety）。

本标准的目标是为了规范和引导IT服务行业的发展，支持解决IT服务中的信息安全和服务可信可靠可控问题，不因服务提供方相关服务要素的介入，以及供需双方的交互，导致对服务需求方的业务、资产、系统等造成损害。

本标准以IT服务的基本过程（设计、准备、实施、收尾）为线索，围绕IT服务过程中的服务要素（人员、流程、工具、资源），以IT服务提供方为标靶，通过对IT服务各阶段的安全管控进行要求规定，形成一套IT服务的安全管控规范或标准。 本标准适用于IT服务供方规范和改进服务过程中的安全管控能力，适用于IT服务需方评估IT服务外包可能带来的服务风险，并在选择IT服务供方时明确服务安全管控要求，也可作为IT服务评估机构和监管部门对IT服务提供方进行能力评估和监督管理。