信息安全服务标准介绍

1、信息安全服务国家标准介绍,中国信息安全测评中心 CISP运营中心 沈传宁,目录,信息安全技术 信息安全服务 定义和分类 信息安全服务能力评估准则,2,信息安全服务定义和分类,定义了信息安全服务基本类别 适用：信息安全行业对信息安全服务概念的理解和分类管理，适用信息安全服务的开发、提供、选用和采购,3,信息安全服务分类,服务类别-服务组件层次结构来描述服务分类 A 信息安全咨询服务 B 信息安全实施服务 C 信息安全培训服务 D 其他信息安全服务,4,信息安全咨询服务,5,信息安全实施服务,6,信息安全培训服务及其他服务,7,信息安全服务采购要素,采购时机 信息安全工作是组织信息化工作的重要组成

2、部分，贯穿组织信息系统整个生命周期 采购目录 信息安全服务对服务质量、服务可信和服务可控的高要求，预算和采购政策的管理部门，应及时制定并发布相关的信息安全服务采购目录 服务资质 服务需求方应根据自身的信息安全需求，结合信息安全管理部门的相关要求，确定服务提供方的资质准入或认证要求。,8,信息安全服务的采购要素,服务价格 根据组织级别规模、信息系统规模、信息安全保护级别，信息安全保障需求和现有水平，根据不同信息安全服务的服务界面和服务特点，综合采用定额法和比率法，分别确定面向组织和面向信息系统的信息安全服务价格,9,信息安全服务的采购要素,招投标规范 采购部门应根据本标准的分类，针对不同服务类别

3、，制定相关的采购招投标规范，规范应至少对如下内容做出规定： a) 服务资质（准入资质）的要求； b) 服务级别协议的承诺形式和度量方法； c) 服务的质量要求； d) 服务的保障措施（人员、过程、工具、资源等）； e) 服务自身的安全要求； f) 服务项目评标规则。,10,信息安全服务采购要素,服务协议 信息安全服务的服务协议应至少包括： a) 服务原则：对服务提供方的原则性要求； b) 服务内容：服务提供方提供的服务组件，可参照本标准二级分类； c) 服务形式：服务提供方所提供服务的方式，如：现场、远程等； d) 服务级别协议：评价服务效果关键指标； e) 服务价格：服务提供方所提供服务的价

4、格，含总价和分项计算依据等； f) 服务交付物：服务过程中、服务结束后，服务提供方需要提供的文档、记录、数据、成果等； g) 服务安全要求：对服务人员、服务过程、服务工具、服务数据保护等作出明确要求。,11,信息安全服务实例,12,信息安全服务与信息系统生命周期的关系,13,信息安全服务能力评估准则,对提供信息安全服务的组织进行能力评估，为国家主管部门评估信息安全服务能力提供技术依据,14,信息安全服务过程,组织战略 规划设计 实施交付 监视支持 检查改进,15,信息安全服务过程,组织战略 制定信息安全章程 建立信息安全组织 制定信息安全策略 知道安全管理程序 协调信息安全,16,信息安全服务过程,规划设计 指定安全需求 评估影响 评估威胁 评估脆弱性 评估安全风险 提供安全输入 识别资产,17,信息安全服务过程,实施交付 获取资源 管理实施过程 建立保证论据 验证和证实安全 确保交付,18,信息安全服务过程,监视支持 定义服务水平 监视安全态势 管理服务台 管理问题 管理物理环境 管理数据 管理操作 管理性能与容量 管理配置 确保业务连续性,19,信息安全服务,检查改进 执行安全检查 实施与跟踪改进 实施培训,20,信息安全