ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32914-2016 信息安全技术 信息安全服务提供方管理要求 Information security technology- Information security service provider management requirements 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T32914—2016 信息安全技术 信息安全服务提供方管理要求 1范围 本标准规定了信息安全服务提供的术语和定义、信息安全服务原则、信息安全服务组织级管理和信 息安全服务项目级管理的要求. 本标准适用于信息安全服务提供方对其服务要素和服务风险进行管控,对信息安全服务需求方、评 价机构和监管部门具有参考意义. 2规范性引用文件 下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文 件.凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件. GB/T22080一2008信息技术安全技术信息安全管理体系要求 GB/T24405.1一2009信息技术服务管理第1部分:规范 GB/T30283一2013信息安全技术信息安全服务分类 3术语和定义 GB/T30283一2013界定的以及下列术语和定义适用于本文件. 3.1 信息安全服务information security service 面向组织或个人的各类信息安全需求和信息安全保障需求,由服务提供方按照服务协议所执行的 一个信息安全过程或任务. 注1:信息安全服务通常是基于信息安全技术、产品或管理体系的,通过外包的形式,由专业信息安全人员所提供的 支持和帮助. 注2:信息安全服务通常以信息安全服务提供方和信息安全服务需求方之间的服务项目形式进行. 3.2 信息安全服务需求方information security service acquirer 获取外部所提供的信息安全服务,以满足信息安全需求和信息安全保障需求,实现自身业务目标的 组织(或个人用户). 3.3 信息安全服务提供方information security service provider 按照服务协议,通过专业的信息安全人员提供信息安全服务的组织. 3.4 服务协议service agreement 服务需求方和服务提供方在服务开始前共同签署的约定,并在服务过程中共同遵守. 注:通常包含服务原则、服务内容、服务形式、服务级别、服务价格、服务交付成果、服务安全要求等,在形式上可以 是服务合同及其附属的工作说明书. 1 GB/T32914—2016 3.5 服务级别service level 在服务协议中对服务交付成果明确约定、可测量和文档化的一系列服务指标. 3.6 服务目录service catalogue 在服务协议中明确展示服务内容、服务形式、服务价格、服务交付成果和服务级别等的一份列表. 3.7 服务组合service portfolio 多个服务类别或服务项目以及其他工作的集合. 3.8 供应链supply chain 通过多个资源和过程联系在一起的一系列组织,根据由服务协议或其他采购协议建立连续的供应 关系,每个组织充当一个需求方、提供方或双重角色. 3.9 可视性visibility 系统或过程所具备的可以对系统元素和过程进行记录、监视和检查的属性. 3.10 服务要素service factors 设计和实施服务的关键要素,包括服务人...
GB/T 32914-2016 信息安全技术 信息安全服务提供方管理要求.pdf
