2022信息安全服务企业能力评估标准

信息安全服务企业能力评估标准目次前 言 II引 言 III范围 1规性用件 1术和义 1信安服原则 3规性 3据业保护 4能评要求 4级力求 4级力求 5级力求 6级力求 8级力求 10附录A（料附）息安服类及应目级划分 13I信息安全服务企业能力评估标准范围本标准规定了对信息安全服务提供方的服务能力通用等级要求。GB/T32914-201630271-201330283-2013YD/T1621-2007GB/T32914-2016所界定的以及下列术语和定义适用于本文件。信息全务 informationsecurityservice信息安全服务通常以信息安全服务提供方和信息安全服务需求方之间的服务项目形式进行。信息安全服务需求方informationsecurityserviceacquirer。信息安全服务提供方informationsecurityserviceprovider按照服务协议，通过专业的信息安全人员提供信息安全服务的组织。服务协议serviceagreement服务需求方和服务提供方在服务开始前共同签署的约定，并在服务过程中共同遵守。1通常包含服务原则、服务内容、服务形式、服务级别、服务价格、服务交付成果、服务安全要求等，在形式上可以是服务合同及其附属的工作说明书。服务级别servicelevel在服务协议中对服务交付成果明确约定、可测量和文档化的一系列服务指标。服务目录servicecatalogue在服务协议中明确展示服务内容、服务形式、服务价格、服务交付成果和服务级别等的一份列表。服务组合serviceportfolio多个服务类别或服务项目以及其他工作的集合。供应链supplychain服务要素servicefactors服务方案serviceplans服务工具servicetools为达成服务目标或提高服务质量和效率所需要的设备、软件、模板、知识库等。服务变更servicechange任何可能对服务产生影响的新增、修改或解除的活动。服务变更可能涉及服务的范围、人员、内容、形式、价格、时间、方案、流程、工具、服务级别等。2信息安全风险评估informationsecurityriskassessment信息安全风险评估贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段。信息安全系统集成informationsecuritysystemintegration信息安全系统运维informationsecuritysystemoperationandmaintenance信息安全应急处理informationsecurityemergencytreatment针对各类信息安全事件，提供实施层面的应急响应和应急演练。信息安全服务能力级别informationsecurityservicelevel信息安全服务提供方在提供满足需求方的安全服务的组织、协调、技术水平和管理的能力成熟程度。合规性3数据和业务保护在信息安全服务实施过程中，对信息安全服务需求方的数据和业务进行保护。具体原则如下：IT例）。肆级能力要求综合要求制度和体系要求4人力资源要求1151叁级能力要求综合要求100100300制度和体系要求5a)150人力资源要求212105121102150万。贰级能力要求综合要求）6100010003000制度和体系要求（办公场所要求a)500人力资源要求4245020105527保密要求技术能力要求业绩要求21551500壹级能力要求综合要求）5000500038制度和体系要求GB/T24405.1或）办公场所要求a)1500人力资源要求535200100301025名，其中高级项目经理人数不少于10名。保密要求9技术能力要求325101.5亿。特级能力要求综合要求）111010制度和体系要求GB/T24405.1或）办公场所要求a)3000人力资源要求848400200602050名，其中高级项目经理人数不少于20名。保密要求11技术能力要求440155亿。12附录A（资料性附录）信息安全服务类别及对应项目级别划分信息安全服务类别与服务项目级别对应关系见表A.1。表A.1信息安全服务类别与服务项目级别对应关系序号信息安全服务类别服务代码服务项目级别定义一级二级三级四级1风险评估ISS001合同额≥50万50万＞合同额≥20万20万＞合同额≥5万合同额＜5万2（硬件）ISS002合同额≥1000万1000万＞合同额≥200万200万＞合同额≥50万合同额＜50万（软件）合同额≥50万50万＞合同额≥20万20万＞合同额≥5万合同额＜5万3系统运维IS