信息安全技术 信息安全服务 定义和分类

点击此处添加中国标准文献分类号信息安全技术信息安全服务定义和分类Informationsecuritytechnology-DefinitionandCategoryofinformationsecurityserv(工作组讨论稿)I1信息安全技术信息安全服务定义和分类件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T5271.8-2001《信息技术词汇第8部分：安全》GB/T18336-2008《信息技术安全技术信息技术安全性评估准则》有偿采购(或免费使用)外部所提供的信息安全服务，以满足自身信息安全保障需求，实现自身业务目标的组织(或个人用户)。234信息安全服务模型本标准采用“服务类别一服务组件”这种层次结构来描述服务分类。基于这种分类，常见的信息安全服务均可以服务实例的形式，由一个或多个服务类别或者(及其)服务组件所构成，某些还可能包含本标准不涉及的其他扩展的服务。信息安全服务提供方信息安全服务需求方图1信息安全服务模型信息安全服务模型还描述了信息安全服务中各相关方的角色和相互关系。信息安全服务需求方可分为组织和个人两类。信息安全服务提供方按照服务角色，可分为乙方服务和第三方服务两类，都是通过专业的信息安全人员向组织和个人提供，基于信息安全技术、信息安全产品或信息安全管理体系的咨询、实施、培训、评估、证明等服务。信息安全管理部门对信息安全服务提供方进行行业管理，并为信息安全服务需求方提供相关的法律、法规、政策、标准等指导和支持。5信息安全服务分类信息安全服务分类的原则是：将相对独立的服务尽量细分为服务组件，将具有相同或相近服务界面(服务供需关系、服务目标对象、服务特征和服务质量要素等)的服务组件归并为同一服务类别。本标准采用层次代码结构，共分二层，第一层采用一位字母表示信息安全服务类别，第二层采用两位数字表示信息安全服务组件，第二层中数字为“99”均表示收容类目。代码的表示形式如下：4 服务类别目标对象名称名称A信息安全规划信息安全管理体系咨询信息安全应急管理咨询业务连续性管理咨询B组织的信息系统；信息安全通告电子认证服务C信息安全培训信息安全相关人员D信息系统、信息安全产品Z5的理解能力、分析能力和沟通能力。服务人员与组织内有关人员(尤其是信息安全责任部门人员)的有相关支持文档，以及指导实施应急处理(参见7.9)等。6满足组织(或个人)对专业技能、专业人员、专业工具的需求，从而保障信息系统整体或各层面的安全或者组合部署(集成部署)。78信息安全培训服务面向“个人”,以提高信息安全意识、完善信息安全知识9.1概述统、信息安全产品或人员的信息安全要求，提供基于第三方角色的独上)。服务提供方就所涉及的问题，提供专业的评估或证明，以满足组织信息信息安全服务资质测评(服务能力的评估和判定)属于行业管理范畴，不在本标准规范范围中。9GB/TXXXXXXXXX——信息安全服务需求方的信息安全责任部门(或个人自身)应承担对服务的采购、管理等责任；时制定并发布相关的信息安全服务采购目录(采购目录的服务分类应按照本标准执行),以便于组织正统的信息安全服务价格(结合计价单位，确定基准价格和浮动因素)。1)服务资质(准入资质)的要求；2)服务级别协议的承诺形式和度量方法；3)服务的质量要求；4)服务的保障措施(人员、过程、工具、资源等);5)服务自身的安全要求；6)服务项目评标规则。A.1.6服务合同(采购协议)GB/TXXXXX—XXXX1)服务原则：对服务提供方的原则性要求；2)服务内容：服务提供方提供的服务组件，可参照本标准二级分类；3)服务形式：服务提供方所提供服务的方式，如：现场、远程等；4)服务级别协议：评价服务效果关键指标；5)服务价格：服务提供方所提供服务的价格，含总价和分项计算依据等；6)服务交付物：服务过程中、服务结束后，服务提供方需要提供的文档、记录、数据、成果等；7)服务安全要求：对服务人员、服务过程、服务工具、服务数据保护等作出明确要求。服务实例对应的服务组件(代码)安全咨询安全集成安全运维B04、B05、B06、B07、B08、B0灾难恢复安全培训安全审计对服务组件进行组合(即：形成各个服务提供方的信息安全服务实例),供需求方采购，最常见的组合1)信息安全设计；2)信息安全产品部署；3)信息安全测试；1)信息安全检查；2)信息安全监控；3)信息安全应急处理；信息安全服务与信息系统生命周期(参照GB/T25058-2010)的对应关系，见表B.1。信息系统生命周期服务类别规划设计信息安全规划√信息安全管理体系咨询√√√√√√信息安全应急管理咨询√√业务连续性管理咨询√√√√√√√√√√√√√√信息安全通告√√√√电子认证服务√√信息安全培训√√√√√√√√√ISO/IECTR15443-1:2005《信息技术安全技术信息技术安全保障框架第一部分：总揽和框架》前言 12规范性引用文件 13术语和定义 14信息安全服务模型 35信息安全服务分类 36信息安全咨询服务 4 46.2信息安全规划 56.3信息安全管理体系咨询 56.4信息安全风险评估 56.5信息安全应急管理咨询 56.6业务连续性管理咨询 57信息安全实施服务 6 67.2信息安全设计 67.3信息安全产品部署 67.4信息安全开发 67.5信息安全加固和优化 67.6信息安全检查 67.7信息安全测试 77.8信息安全监控 77.9信息安全应急处理 77.10信息安全通告 77.11备份和恢复 77.12数据修复 87.13电子认证服务 88信息安全培训服务 89第三方信息安全服务 89.1概述 89.2信息安全测评 89.3信息安全监理 99.4信息安全审计 910信息安全服务特点 9附录A(规范性附录)信息安全服务的采购 附录B(资料性附录)信息安全服务与信息系统生命周期的对应关系 12规范性引用文件 1 14信息安全服务模型 35信息安全服务分类 36信息安全咨询服务 46.1概述 46.2信息安全规划 56.3信息安全管理体系咨询 56.4信息安全风险评估 56.5信息安全应急管理咨询 56.6业务连续性管理咨询 57信息安全实施服务 6 67.2信息安全设计 67.3信息安全产品部署 67.4信息安全开发 67.5信息安全加固和优化 67.6信息安全检查 67.7信息安全测试 77.8信息安全监控 77.9信息安全应急处理 77.10信息安全通告 77.11备份和恢复 77.12数据修复 87.13电子认证