信息安全服务提供方管理要求.pdf

信息安全服务提供方管理要求--第1页

信息安全服务提供方管理要求

1范围

本标准规定了信息安全服务提供方，提出了术语和定义、信息安全服务原则、信息安全服务组织级

管理和信息安全服务项目级管理的要求。

本标准适用于信息安全服务提供方对其服务要素和服务风险进行管控，对信息安全服务需求方、评

价机构和监管部门具有参考意义。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22080-2008信息技术安全技术信息安全管理体系要求

GB/T24405.1-2009信息技术服务管理第1部分：规范

GB/T30283-2013信息安全技术信息安全服务分类

3术语和定义

GB/T30283-2013界定的术语和定义以及下列术语和定义适用于本文件。

3.1

信息安全服务informationsecurityservice

面向组织或个人的各类信息安全需求和信息安全保障需求，由服务提供方按照服务协议所执行的一

个信息安全过程或任务。

注1：信息安全服务通常是基于信息安全技术、产品或管理体系的，通过外包的形式，由专业信息

安全人员所提供的支持和帮助。

注2：信息安全服务通常以信息安全服务提供方和信息安全服务需求方之间的服务项目形式进行。

3.2

信息安全服务需求方informationsecurityserviceacquirer

获取外部所提供的信息安全服务，以满足信息安全需求和信息安全保障需求，实现自身业务目标的

组织（或个人用户）。

3.3

信息安全服务提供方informationsecurityserviceprovider

按照服务协议，通过专业的信息安全人员提供信息安全服务的组织。

3.4

服务协议serviceagreement

服务需求方和服务提供方在服务开始前共同签署的约定，并在服务过程中共同遵守。

注：通常包含服务原则、服务内容、服务形式、服务级别、服务价格、服务交付成果、服务安全要

求等，在形式上可以是服务合同及其附属的工作说明书。

1

信息安全服务提供方管理要求--第1页

信息安全服务提供方管理要求--第2页

3.5

服务级别servicelevel

在服务协议中对服务交付成果明确约定、可测量和文档化的一系列服务指标。

3.6

服务目录servicecatalogue

在服务协议中明确展示服务内容、服务形式、服务价格、服务交付成果和服务级别等的一份列表。

3.7

服务组合serviceportfolio

多个服务类别或服务项目以及其他工作的集合。

3.8

供应链supplychain

通过多个资源和过程联系在一起的一系列组织，根据由服务协议或其他采购协议建立连续的供应关

系，每个组织充当一个需求方、提供方或双重角色。

3.9

可视性visibility

系统或过程所具备的可以对系统元素和过程进行记录、监视和检查的属性。

3.10

服务要素servicefactors

设计和实施服务的关键要素，包括服务人员、服务流程、服务工具、规章，以及其他服务所需的资

源。

3.11

服务方案serviceplans

基于服务目标，对服务各阶段中所需执行的过程、任务、活动以及相关服务要素、服务级别进行详

细描述的文