服务提供方根据服务设计方案进行实现部署，识别和控制服务实现安全风险，要求包括： ）确保实现结果和服务设计保持一致并能满足安全需求： 进行测试或者试运行，减少过程风险和对生产运营环境的影响，如进行压力测试、用户测试等； c）识别服务部署、移交过程中的风险，并制定合理的应对措施

服务需求方对服务提供方所提供的服务进行监控，识别和控制服务运营安全风险，要求包括： a 建立服务过程，确保服务过程的有效执行，并形成记录： 备份并要善保管服务过程中产生的服务数据（如方案、报告、记录等）； 定期审核服务安全管控的执行情况，对异常情况及时采取处置措施； d 制定、更新服务安全应急预案，并组织演练和评估； 动态监控服务安全风险，制定风险处置策略，及时采取风险处置措施； 针对服务过程中关键业务和关键资产的变更、重大事件或重要时期等，加强对服务风险监控和 预警，做好应急协同准备； g）对服务过程所涉及的设施、数据、事件、问题、配置等敏感信息进行保密； h）安全合理地使用服务过程中所产生的信息资料，确保不在服务范围以外使用

服务需求方对服务提供方所提供的服务进行监控，识别和控制服务运营安全风险，要求包括： a） 建立服务过程锅炉标准，确保服务过程的有效执行，并形成记录： b 备份并要善保管服务过程中产生的服务数据（如方案、报告、记录等）； C 定期审核服务安全管控的执行情况，对异常情况及时采取处置措施； d 制定、更新服务安全应急预案，并组织演练和评估； 动态监控服务安全风险，制定风险处置策略，及时采取风险处置措施； f 针对服务过程中关键业务和关键资产的变更、重大事件或重要时期等，加强对服务风险监控和 预警，做好应急协同准备； g） 对服务过程所涉及的设施、数据、事件、问题、配置等敏感信息进行保密； h）安全合理地使用服务过程中所产生的信息资料，确保不在服务范围以外使用

服务协议到期或终止时，为确保服务顺利退出，服务双方通过沟通并选择适当的退出策略，识别利 控制服务退出安全风险，要求包括： a）制定服务终止计划，识别服务终止的风险，采取相应风险控制措施； b）在确保业务连续性的前提下，对服务中投入的设备设施、信息资源、人员等进行回收确认； c）对服务相关资料进行移交、保存或销毁

服务协议到期或终止时，为确保服务顺利退出，服务双方通过沟通并选择适当的退出策略，识别利 控制服务退出安全风险，要求包括： a）制定服务终止计划，识别服务终止的风险，采取相应风险控制措施； b）在确保业务连续性的前提下，对服务中投入的设备设施、信息资源、人员等进行回收确认； c）对服务相关资料进行移交、保存或销毁

d）对服务授权和敏感信息进行安全审查

7服务能力要素安全要求

根据服务安全需求对人员进行选择，要求包括： a） 识别和定义服务岗位的安全要求； b) 对重要岗位服务人员进行背景调查； c 为服务人员分配唯一的身份标识； d 基于职责分离和最小授权的原则为服务人员分配权限： e）对涉及敏感信息的服务人员，明确其保密义务并签订保密协议。

按服务安全需求对人员进行培训，要求包括： 在上岗前，对人员开展服务安全培训，培训内容包括但不限于：相关法律法规、安全制度和规 范、安全意识、从事服务所需的必要安全技能等； 有特殊安全要求的岗位人员，应具备相关的资质认证； c）服务过程中，定期对人员开展服务安全培训

服务安全需求对人员进行考核，要求包括： 在上岗前，对人员开展信息安全考核，考核不通过的人员不予上岗： 服务过程中，定期开展信息安全考核，考核不通过的人员加强培训或进行更换； 对违反安全规定的责任人员记录考核绩效，造成不利影响的责任人员应承担相应责任

按服务安全需求对人员进行考核，要求包括： ）在上岗前，对人员开展信息安全考核，考核不通过的人员不予上岗； 6）服务过程中，定期开展信息安全考核，考核不通过的人员加强培训或进行更换； c）对违反安全规定的责任人员记录考核绩效，造成不利影响的责任人员应承担相应责任

发生人员变更需要进行有效安全管控，要求包括： a 人员变更前，服务提供方提前告知服务需求方并提交变更方案，经双方确认后，在确保业务连 续性的情况下实施变更； b 变更确认后，收回离场人员所有信息资产，撤销离场人员相关权限，并进行书面确认； c） 变更结束后，以书面形式对离场人员重申保密义务，离场人员接受道溯审计

过程定义安全应明确服务过程定义和安全责任，要求包括： a）定义服务标准作业过程和服务监督管理过程； b）识别过程所有权，明确过程活动安全权责； c）明确过程及其相关文档版本控制； d）对服务过程进行定期评审。

a）按照过程定义，配备人员和资源，采取约定的技术执行服务； b）落实服务过程安全控制措施： c）持续进行服务安全风险监控

过程记录安全应明确服务过程记录的存储和访问控制，要求包括： a）确保所有的服务过程和服务活动都形成记录； b）确保服务过程记录不被非授权访问； c）对服务过程记录进行存储和备份，保存期限应满足合规要求。

过程变更安全应明确服务过程变更需要的安全控制，要求包括： a）严格按照变更管理制度实施过程变更，确保变更过程获得审批； b）评审变更过程的合理性和正确性，充分评估变更安全风险； c）在受控的环境下对变更进行充分测试； d）记录并保留变更过程和结果

技术获取安全应确保以合理的方式获得安全合规的技术，要求包括： a）选择安全合规的技术提供方，并满足所提供技术的安全支持能力； b）确保获得的技术是完整、安全和可靠的； c）在技术许可协议中，明确与技术安全有关的参数； d）论证和审定技术获取过程的合理性和正确性： e）记录并保留技术获取的方法和理由

技术实施安全应确保所实施技术的安全性，要求包括： 提供交付清单并进行核实，如技术设备、工具、文档等 提供技术培训如技术原理、技术使用、安全风险等： c）针对技术实施在受控环境下进行充分测试； 1 论证和审定技术实施过程的合理性和正确性； e）记录并保留技术实施的过程和结果，

技术维护安全应确保技术可以持续满足服务协议，要求包括： a）监控技术运行状况，持续评估技术是否满足服务协议； b）根据服务需求和技术进步及时调整相应技术，包括技术引入、技术升级、技术退出等，并评估 风险：

c）记录并保留技术维护的过程和结果

7.4.1资源分类分级

识别资源的安全需求和敏感程度，对资源进行分类分级管理

Z.4.2资源安全责任

并定义资源安全的不同角色，明确每种角色的安全

7.4.3资源合理使用

7.4.3.1资源获取

资源获取安全应确保资源合法获取和可用，要求包括： ）确保服务资源的可用性； 6）确保服务资源获取的合法性

上海标准规范范本7.4.3.2资源利用

资源利用安全应确保服务过程中资源的合理使用，要求包括： a）确保服务资源仅用于服务的预定目的，防止非授权访问； b）制定资源利用规则和过程，避免资源滥用； c）保留资源使用记录和日志

7.4.3.3资源回收

资源回收安全应确保服务结束后资源进行安全回收，要求包括： a）服务结束后及时释放资源，进行服务资源回收； b 评估资源回收的访问权限残留风险，及时回收各类访问账号和权限 c）评估资源回收的数据残留风险，按照要求进行有效的风险处置。

附录A （资料性附录） 信息技术服务安全风险评估

（资料性附录） 信息技术服务安全风险评估

道路标准规范范本表A.1安全风险评估对象和评估内容

附录B （资料性附录 服务安全角色和职 信息技术服务安全相关的角色和职责示例见表B.1。

表B.1服务安全角色和职责示例