點擊此處添加中國標準文獻分類號信息安全技術信息安全服務定義和分類Informationsecuritytechnology-DefinitionandCategoryofinformationsecurityserv(工作組討論稿)I1信息安全技術信息安全服務定義和分類件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T5271.8-2001《信息技術詞匯第8部分：安全》GB/T18336-2008《信息技術安全技術信息技術安全性評估準則》有償采購(或免費使用)外部所提供的信息安全服務，以滿足自身信息安全保障需求，實現自身業務目標的組織(或個人用戶)。234信息安全服務模型本標準采用“服務類別一服務組件”這種層次結構來描述服務分類。基于這種分類，常見的信息安全服務均可以服務實例的形式，由一個或多個服務類別或者(及其)服務組件所構成，某些還可能包含本標準不涉及的其他擴展的服務。信息安全服務提供方信息安全服務需求方圖1信息安全服務模型信息安全服務模型還描述了信息安全服務中各相關方的角色和相互關系。信息安全服務需求方可分為組織和個人兩類。信息安全服務提供方按照服務角色，可分為乙方服務和第三方服務兩類，都是通過專業的信息安全人員向組織和個人提供，基于信息安全技術、信息安全產品或信息安全管理體系的咨詢、實施、培訓、評估、證明等服務。信息安全管理部門對信息安全服務提供方進行行業管理，并為信息安全服務需求方提供相關的法律、法規、政策、標準等指導和支持。5信息安全服務分類信息安全服務分類的原則是：將相對獨立的服務盡量細分為服務組件，將具有相同或相近服務界面(服務供需關系、服務目標對象、服務特征和服務質量要素等)的服務組件歸并為同一服務類別。本標準采用層次代碼結構，共分二層，第一層采用一位字母表示信息安全服務類別，第二層采用兩位數字表示信息安全服務組件，第二層中數字為“99”均表示收容類目。代碼的表示形式如下：4 服務類別目標對象名稱名稱A信息安全規劃信息安全管理體系咨詢信息安全應急管理咨詢業務連續性管理咨詢B組織的信息系統；信息安全通告電子認證服務C信息安全培訓信息安全相關人員D信息系統、信息安全產品Z5的理解能力、分析能力和溝通能力。服務人員與組織內有關人員(尤其是信息安全責任部門人員)的有相關支持文檔，以及指導實施應急處理(參見7.9)等。6滿足組織(或個人)對專業技能、專業人員、專業工具的需求，從而保障信息系統整體或各層面的安全或者組合部署(集成部署)。78信息安全培訓服務面向“個人”,以提高信息安全意識、完善信息安全知識9.1概述統、信息安全產品或人員的信息安全要求，提供基于第三方角色的獨上)。服務提供方就所涉及的問題，提供專業的評估或證明，以滿足組織信息信息安全服務資質測評(服務能力的評估和判定)屬于行業管理范疇，不在本標準規范范圍中。9GB/TXXXXXXXXX——信息安全服務需求方的信息安全責任部門(或個人自身)應承擔對服務的采購、管理等責任；時制定并發布相關的信息安全服務采購目錄(采購目錄的服務分類應按照本標準執行),以便于組織正統的信息安全服務價格(結合計價單位，確定基準價格和浮動因素)。1)服務資質(準入資質)的要求；2)服務級別協議的承諾形式和度量方法；3)服務的質量要求；4)服務的保障措施(人員、過程、工具、資源等);5)服務自身的安全要求；6)服務項目評標規則。A.1.6服務合同(采購協議)GB/TXXXXX—XXXX1)服務原則：對服務提供方的原則性要求；2)服務內容：服務提供方提供的服務組件，可參照本標準二級分類；3)服務形式：服務提供方所提供服務的方式，如：現場、遠程等；4)服務級別協議：評價服務效果關鍵指標；5)服務價格：服務提供方所提供服務的價格，含總價和分項計算依據等；6)服務交付物：服務過程中、服務結束后，服務提供方需要提供的文檔、記錄、數據、成果等；7)服務安全要求：對服務人員、服務過程、服務工具、服務數據保護等作出明確要求。服務實例對應的服務組件(代碼)安全咨詢安全集成安全運維B04、B05、B06、B07、B08、B0災難恢復安全培訓安全審計對服務組件進行組合(即：形成各個服務提供方的信息安全服務實例),供需求方采購，最常見的組合1)信息安全設計；2)信息安全產品部署；3)信息安全測試；1)信息安全檢查；2)信息安全監控；3)信息安全應急處理；信息安全服務與信息系統生命周期(參照GB/T25058-2010)的對應關系，見表B.1。信息系統生命周期服務類別規劃設計信息安全規劃√信息安全管理體系咨詢√√√√√√信息安全應急管理咨詢√√業務連續性管理咨詢√√√√√√√√√√√√√√信息安全通告√√√√電子認證服務√√信息安全培訓√√√√√√√√√ISO/IECTR15443-1:2005《信息技術安全技術信息技術安全保障框架第一部分：總攬和框架》前言 12規范性引用文件 13術語和定義 14信息安全服務模型 35信息安全服務分類 36信息安全咨詢服務 4 46.2信息安全規劃 56.3信息安全管理體系咨詢 56.4信息安全風險評估 56.5信息安全應急管理咨詢 56.6業務連續性管理咨詢 57信息安全實施服務 6 67.2信息安全設計 67.3信息安全產品部署 67.4信息安全開發 67.5信息安全加固和優化 67.6信息安全檢查 67.7信息安全測試 77.8信息安全監控 77.9信息安全應急處理 77.10信息安全通告 77.11備份和恢復 77.12數據修復 87.13電子認證服務 88信息安全培訓服務 89第三方信息安全服務 89.1概述 89.2信息安全測評 89.3信息安全監理 99.4信息安全審計 910信息安全服務特點 9附錄A(規范性附錄)信息安全服務的采購 附錄B(資料性附錄)信息安全服務與信息系統生命周期的對應關系 12規范性引用文件 1 14信息安全服務模型 35信息安全服務分類 36信息安全咨詢服務 46.1概述 46.2信息安全規劃 56.3信息安全管理體系咨詢 56.4信息安全風險評估 56.5信息安全應急管理咨詢 56.6業務連續性管理咨詢 57信息安全實施服務 6 67.2信息安全設計 67.3信息安全產品部署 67.4信息安全開發 67.5信息安全加固和優化 67.6信息安全檢查 67.7信息安全測試 77.8信息安全監控 77.9信息安全應急處理 77.10信息安全通告 77.11備份和恢復 77.12數據修復 87.13電子認證