點擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號信息安全技術(shù)信息安全服務(wù)定義和分類Informationsecuritytechnology-DefinitionandCategoryofinformationsecurityserv(工作組討論稿)I1信息安全技術(shù)信息安全服務(wù)定義和分類件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T5271.8-2001《信息技術(shù)詞匯第8部分：安全》GB/T18336-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》有償采購(或免費使用)外部所提供的信息安全服務(wù)，以滿足自身信息安全保障需求，實現(xiàn)自身業(yè)務(wù)目標(biāo)的組織(或個人用戶)。234信息安全服務(wù)模型本標(biāo)準(zhǔn)采用“服務(wù)類別一服務(wù)組件”這種層次結(jié)構(gòu)來描述服務(wù)分類?；谶@種分類，常見的信息安全服務(wù)均可以服務(wù)實例的形式，由一個或多個服務(wù)類別或者(及其)服務(wù)組件所構(gòu)成，某些還可能包含本標(biāo)準(zhǔn)不涉及的其他擴展的服務(wù)。信息安全服務(wù)提供方信息安全服務(wù)需求方圖1信息安全服務(wù)模型信息安全服務(wù)模型還描述了信息安全服務(wù)中各相關(guān)方的角色和相互關(guān)系。信息安全服務(wù)需求方可分為組織和個人兩類。信息安全服務(wù)提供方按照服務(wù)角色，可分為乙方服務(wù)和第三方服務(wù)兩類，都是通過專業(yè)的信息安全人員向組織和個人提供，基于信息安全技術(shù)、信息安全產(chǎn)品或信息安全管理體系的咨詢、實施、培訓(xùn)、評估、證明等服務(wù)。信息安全管理部門對信息安全服務(wù)提供方進(jìn)行行業(yè)管理，并為信息安全服務(wù)需求方提供相關(guān)的法律、法規(guī)、政策、標(biāo)準(zhǔn)等指導(dǎo)和支持。5信息安全服務(wù)分類信息安全服務(wù)分類的原則是：將相對獨立的服務(wù)盡量細(xì)分為服務(wù)組件，將具有相同或相近服務(wù)界面(服務(wù)供需關(guān)系、服務(wù)目標(biāo)對象、服務(wù)特征和服務(wù)質(zhì)量要素等)的服務(wù)組件歸并為同一服務(wù)類別。本標(biāo)準(zhǔn)采用層次代碼結(jié)構(gòu)，共分二層，第一層采用一位字母表示信息安全服務(wù)類別，第二層采用兩位數(shù)字表示信息安全服務(wù)組件，第二層中數(shù)字為“99”均表示收容類目。代碼的表示形式如下：4 服務(wù)類別目標(biāo)對象名稱名稱A信息安全規(guī)劃信息安全管理體系咨詢信息安全應(yīng)急管理咨詢業(yè)務(wù)連續(xù)性管理咨詢B組織的信息系統(tǒng)；信息安全通告電子認(rèn)證服務(wù)C信息安全培訓(xùn)信息安全相關(guān)人員D信息系統(tǒng)、信息安全產(chǎn)品Z5的理解能力、分析能力和溝通能力。服務(wù)人員與組織內(nèi)有關(guān)人員(尤其是信息安全責(zé)任部門人員)的有相關(guān)支持文檔，以及指導(dǎo)實施應(yīng)急處理(參見7.9)等。6滿足組織(或個人)對專業(yè)技能、專業(yè)人員、專業(yè)工具的需求，從而保障信息系統(tǒng)整體或各層面的安全或者組合部署(集成部署)。78信息安全培訓(xùn)服務(wù)面向“個人”,以提高信息安全意識、完善信息安全知識9.1概述統(tǒng)、信息安全產(chǎn)品或人員的信息安全要求，提供基于第三方角色的獨上)。服務(wù)提供方就所涉及的問題，提供專業(yè)的評估或證明，以滿足組織信息信息安全服務(wù)資質(zhì)測評(服務(wù)能力的評估和判定)屬于行業(yè)管理范疇，不在本標(biāo)準(zhǔn)規(guī)范范圍中。9GB/TXXXXXXXXX——信息安全服務(wù)需求方的信息安全責(zé)任部門(或個人自身)應(yīng)承擔(dān)對服務(wù)的采購、管理等責(zé)任；時制定并發(fā)布相關(guān)的信息安全服務(wù)采購目錄(采購目錄的服務(wù)分類應(yīng)按照本標(biāo)準(zhǔn)執(zhí)行),以便于組織正統(tǒng)的信息安全服務(wù)價格(結(jié)合計價單位，確定基準(zhǔn)價格和浮動因素)。1)服務(wù)資質(zhì)(準(zhǔn)入資質(zhì))的要求；2)服務(wù)級別協(xié)議的承諾形式和度量方法；3)服務(wù)的質(zhì)量要求；4)服務(wù)的保障措施(人員、過程、工具、資源等);5)服務(wù)自身的安全要求；6)服務(wù)項目評標(biāo)規(guī)則。A.1.6服務(wù)合同(采購協(xié)議)GB/TXXXXX—XXXX1)服務(wù)原則：對服務(wù)提供方的原則性要求；2)服務(wù)內(nèi)容：服務(wù)提供方提供的服務(wù)組件，可參照本標(biāo)準(zhǔn)二級分類；3)服務(wù)形式：服務(wù)提供方所提供服務(wù)的方式，如：現(xiàn)場、遠(yuǎn)程等；4)服務(wù)級別協(xié)議：評價服務(wù)效果關(guān)鍵指標(biāo)；5)服務(wù)價格：服務(wù)提供方所提供服務(wù)的價格，含總價和分項計算依據(jù)等；6)服務(wù)交付物：服務(wù)過程中、服務(wù)結(jié)束后，服務(wù)提供方需要提供的文檔、記錄、數(shù)據(jù)、成果等；7)服務(wù)安全要求：對服務(wù)人員、服務(wù)過程、服務(wù)工具、服務(wù)數(shù)據(jù)保護等作出明確要求。服務(wù)實例對應(yīng)的服務(wù)組件(代碼)安全咨詢安全集成安全運維B04、B05、B06、B07、B08、B0災(zāi)難恢復(fù)安全培訓(xùn)安全審計對服務(wù)組件進(jìn)行組合(即：形成各個服務(wù)提供方的信息安全服務(wù)實例),供需求方采購，最常見的組合1)信息安全設(shè)計；2)信息安全產(chǎn)品部署；3)信息安全測試；1)信息安全檢查；2)信息安全監(jiān)控；3)信息安全應(yīng)急處理；信息安全服務(wù)與信息系統(tǒng)生命周期(參照GB/T25058-2010)的對應(yīng)關(guān)系，見表B.1。信息系統(tǒng)生命周期服務(wù)類別規(guī)劃設(shè)計信息安全規(guī)劃√信息安全管理體系咨詢√√√√√√信息安全應(yīng)急管理咨詢√√業(yè)務(wù)連續(xù)性管理咨詢√√√√√√√√√√√√√√信息安全通告√√√√電子認(rèn)證服務(wù)√√信息安全培訓(xùn)√√√√√√√√√ISO/IECTR15443-1:2005《信息技術(shù)安全技術(shù)信息技術(shù)安全保障框架第一部分：總攬和框架》前言 12規(guī)范性引用文件 13術(shù)語和定義 14信息安全服務(wù)模型 35信息安全服務(wù)分類 36信息安全咨詢服務(wù) 4 46.2信息安全規(guī)劃 56.3信息安全管理體系咨詢 56.4信息安全風(fēng)險評估 56.5信息安全應(yīng)急管理咨詢 56.6業(yè)務(wù)連續(xù)性管理咨詢 57信息安全實施服務(wù) 6 67.2信息安全設(shè)計 67.3信息安全產(chǎn)品部署 67.4信息安全開發(fā) 67.5信息安全加固和優(yōu)化 67.6信息安全檢查 67.7信息安全測試 77.8信息安全監(jiān)控 77.9信息安全應(yīng)急處理 77.10信息安全通告 77.11備份和恢復(fù) 77.12數(shù)據(jù)修復(fù) 87.13電子認(rèn)證服務(wù) 88信息安全培訓(xùn)服務(wù) 89第三方信息安全服務(wù) 89.1概述 89.2信息安全測評 89.3信息安全監(jiān)理 99.4信息安全審計 910信息安全服務(wù)特點 9附錄A(規(guī)范性附錄)信息安全服務(wù)的采購 附錄B(資料性附錄)信息安全服務(wù)與信息系統(tǒng)生命周期的對應(yīng)關(guān)系 12規(guī)范性引用文件 1 14信息安全服務(wù)模型 35信息安全服務(wù)分類 36信息安全咨詢服務(wù) 46.1概述 46.2信息安全規(guī)劃 56.3信息安全管理體系咨詢 56.4信息安全風(fēng)險評估 56.5信息安全應(yīng)急管理咨詢 56.6業(yè)務(wù)連續(xù)性管理咨詢 57信息安全實施服務(wù) 6 67.2信息安全設(shè)計 67.3信息安全產(chǎn)品部署 67.4信息安全開發(fā) 67.5信息安全加固和優(yōu)化 67.6信息安全檢查 67.7信息安全測試 77.8信息安全監(jiān)控 77.9信息安全應(yīng)急處理 77.10信息安全通告 77.11備份和恢復(fù) 77.12數(shù)據(jù)修復(fù) 87.13電子認(rèn)證