1. 当前位置:
  2. 首页 >
  3. 国家级标准 >
  4. GB/T 32914-2016

GB/T 32914-2016 信息安全技术 信息安全服务提供方管理要求

GB/T 32914-2016 Information security technology—Information security service provider management requirements

国家标准 中文简体 被代替 已被新标准代替,建议下载标准 GB/T 32914-2023 | 页数:10页 | 格式:PDF

基本信息

标准号
GB/T 32914-2016
相关服务
商用授权
标准类型
国家标准
标准状态
被代替
中国标准分类号(CCS)
L80 数据加密
国际标准分类号(ICS)
35.040 字符集和信息编码
发布日期
2016-08-29
实施日期
2017-03-01
发布单位/组织
中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会
归口单位
全国信息安全标准化技术委员会(SAC/TC 260)
适用范围
本标准规定了信息安全服务提供的术语和定义、信息安全服务原则、信息安全服务组织级管理和信息安全服务项目级管理的要求。本标准适用于信息安全服务提供方对其服务要素和服务风险进行管控,对信息安全服务需求方、评价机构和监管部门具有参考意义。

发布历史

文前页预览

GB/T 32914-2016 信息安全技术 信息安全服务提供方管理要求-第1页
GB/T 32914-2016 信息安全技术 信息安全服务提供方管理要求-第2页
GB/T 32914-2016 信息安全技术 信息安全服务提供方管理要求-第3页
GB/T 32914-2016 信息安全技术 信息安全服务提供方管理要求-第4页

研制信息

起草单位:
中国信息安全认证中心、上海三零卫士信息安全有限公司、中国电子技术标准化研究院等
起草人:
翟亚红、陈晓桦、邬敏华、上官晓丽、张剑、严妍、贾雪飞、张斌、张志军、路明、张建军
出版信息:
页数:10页 | 字数:18 千字 | 开本: 大16开

内容描述

ICS35.040

L80OB

中华人民共和国国彖标准

GB/T32914—2016

信息安全技术

信息安全服务提供方管理要求

Informationsecuritytechnology—

Informationsecurityserviceprovidermanagementrequirements

2016-08-29发布2017-03-01实施

GB/T32914—2016

■ir■■i

本标准按照GB/T1.1—2009给出的规则起草。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准主要起草单位:中国信息安全认证中心、上海三零卫士信息安全有限公司、中国电子技术标

准化研究院等。

本标准主要起草人:翟亚红、陈晓桦、郭敏华、上官晓丽、张剑、严妍、贾雪飞、张斌、张志军、路明、

张建军。

T

GB/T32914—2016

信息安全技术

信息安全服务提供方管理要求

1范围

本标准规定了信息安全服务提供的术语和定义、信息安全服务原则、信息安全服务组织级管理和信

息安全服务项目级管理的要求。

本标准适用于信息安全服务提供方对其服务要素和服务风险进行管控,对信息安全服务需求方、评

价机构和监管部门具有参考意义。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T22080—2008信息技术安全技术信息安全管理体系要求

GB/T24405.1—2009信息技术服务管理第1部分:规范

GB/T30283—2013信息安全技术信息安全服务分类

3术语和定义

GB/T30283—2013界定的以及下列术语和定义适用于本文件。

3.1

信息安全服务informationsecurityservice

面向组织或个人的各类信息安全需求和信息安全保障需求,由服务提供方按照服务协议所执行的

一个信息安全过程或任务。

注1:信息安全服务通常是基于信息安全技术、产品或管理体系的,通过外包的形式,由专业信息安全人员所提供的

支持和帮助。

注2:信息安全服务通常以信息安全服务提供方和信息安全服务需求方之间的服务项目形式进行。

3.2

信息安全服务需求方informationsecurityserviceacquirer

获取外部所提供的信息安全服务,以满足信息安全需求和信息安全保障需求,实现自身业务目标的

组织(或个人用户)。

3.3

信息安全服务提供方informationsecurityserviceprovider

按照服务协议,通过专业的信息安全人员提供信息安全服务的组织。

3.4

服务协议serviceagreement

服务需求方和服务提供方在服务开始前共同签署的约定,并在服务过程中共同遵守。

注:通常包含服务原则、服务内容、服务形式、服务级别、服务价格、服务交付成果、服务安全要求等,在形式上可以

是服务合同及其附属的工作说明书。

1

GB/T32914—2016

3.5

服务级别servicelevel

在服务协议中对服务交付成果明确约定、可测量和文档化的一系列服务指标。

3.6

服务目录servicecatalogue

在服务协议中明确展示服务内容、服务形式、服务价格、服务交付成果和服务级别等的一份列表。

3.7

服务组合serviceportfolio

多个服务类别或服务项目以及其他丁作的集合。

3.8

供应链sulychain

通过多个资源和过程联系在一起的一系列组织,根据由服务协议或其他采购协议建立连续的供应

关系,每个组织充当一个需求方、提供方或双重角色。

3.9

可视性visibility

系统或过程所具备的可以对系统元素和过程进行记录、监视和检查的属性。

3.10

服务要素servicefactors

设计和实施服务的关键要素,包括服务人员、服务流程、服务T-具、规章,以及其他服务所需的资源。

3.11

服务方案serviceplans

基于服务目标,对服务各阶段中所需执行的过程、任务、活动以及相关服务要素、服务级别进行详细

描述的文档。

3.12

服务工具servicetools

为达成服务目标或提高服务质量和效率所需要的设备、软件、模板、知识库等。

3.13

服务变更servicechange

任何可能对服务产生影响的新增、修改或解除的活动。

注:服务变更可能涉及服务的范围、人员、内容、形式、价格、时间、方案、流程、T-具、服务级别等。

4信息安全服务原则

4.1合规性

遵循国家和行业关于信息安全服务的要求,基于明确的信息安全保障需求和信息安全服务目标。

具体原则如下:

a)应符合国家信息安全法律法规和政策、国家和行业相关信息安全标准的要求;

b)应遵循服务要素可视性、服务行为预先告知、服务和产品中立、资产保护等信息安全服务原则;

c)应根据信息安全服务类别,通过需求调研、风险评估等手段,提取信息安全保障需求;

定制服务

    推荐标准

    关联标准

    引用标准
    GB/T 22080-2008
    GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求
    被代替
    GB/T 24405.1-2009
    GB/T 24405.1-2009 信息技术 服务管理 第1部分:规范
    现行
    GB/T 30283-2013
    GB/T 30283-2013 信息安全技术 信息安全服务 分类
    被代替
    被以下标准替代
    GB/T 32914-2023
    GB/T 32914-2023 信息安全技术 网络安全服务能力要求
    现行

    相似标准推荐

    更多>