GB/T 30283-2013
基本信息
标准号: GB/T 30283-2013
中文名称:信息安全技术 信息安全服务 分类
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:1231KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 30283-2013 信息安全技术 信息安全服务 分类
GB/T30283-2013
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS 35.040
中华人民共利国国家标准
GB/T30283--2013
信息安全技术
信息安全服务
Intormation seruriiy technologyInlormation serurity servicc--Calegory2013-12-31发布
中华人民共和国国家质量监誉检验检疫总局中国国家标雅化管理委员会
2014-07-15实施
1、范圈
2规范件引用文件
3术讲和定义
1信息安全服务分类
5信安全咨服务
5.2信息安企规划
5.3信总安全管理体系咨询
信息安全风险评件
信息安全应急管拟咨询www.bzxz.net
5.6:业务控续性管理咨询
6信息安全实施服务
信息安全设计
信息安全产品部署
催息安全开发
信息安全册制和优化
信息安全检食和测站
信息安全监控
信息安全应急处
信息安全通告
备份和恢复
数据修复
电了认证服务·
6.13,信息安全监理
5.14,信息安全伟计..
7信息安全培训服务
8信息安企服务特点”
附求A(规范性附录)信息安全服务的采购次
附录B(资料性附录)信息安全服务与信息系统生命周期的对应关系参号文献
GB/T 30283—2013
本标准按照G3/T1.1-2009的规则起节。GB/T30283-2013
本标准用全用信息安全标雅化技术委员会(SAC/TC260)提出并归门。本标准起肯单位:上海三零卫十信息安全有限公司、中国信息安全测评中心、中国信息安全认司中心、中国电子技术标雄化研究院本标准主要起草人:邵敏华,张笙军、陈晓桦,李斌、胡啸、杨建炸、陈长松、闵京华,曾雅斌、张晓非、翟业红、土琰、沈传宁
1范围
信息安全技术
信息安全服务分类
GB/T 30283—2013
本标雅规定了信息安全服务分类,包括信息安孕咨询美、信息安全实施类,信息安全席训类及捷爽四个方而,
本标推适用!信息案全行业对精息安全服务概念的理解和分类管理,适用于信息安个服务的开发,提供说用和采购,
本标准不适用下设依附于策一信息安全产品的股务(如信息安全产品的使用,维假等服务)。2规范性引用文件
下到文件对!本文件的垃用是必不而少的,凡是注期的引用文件,仅讨期的版活开和文件。凡是不注用境的引义件双最新版本(急括所有的修改单活用本文件:GB/T5271.F2001能息技术询汇第8部分:安全G对/个22080-2008信息技术岁全技术借息安全誉理体系要求(B/1222392008信息安金技术信息系统资全等级保护基本求G13/T23058-20:0信息安全技术信总案统安伞等级保护实施指南3术语和定义
G3/T271.8-2001界定的以及下列术谱和定义适用」本文作。3.1
信息安全服务informationsecurity service面向组织或个人的各类信息安金保障靠求,出服务提供方按照服务协议所执行的一个信息安全过程感任务。
注:通常会基下信息安全技术产品或营想体系的,迹过外包的影式,山专业信息安全人员所提供的支持用择助。3.2
信息安全服务需求方information security serviceacquirer有偿采购(或免费使用)外部所提供的信息安全服务,以满足信息安全保障需求·实现户身业务门标的组织(个人用户)。
信息安全服务提供方informalian security service provider按照服务协议,过专业的信息安全人员提供信息安全服务的各类组织机构。注:信息安个服务提供方在有项其体的服务中承担和应的服务角邪服务账责。如果服务内案仪沙及供需双方的,则服务境供方为乙方角色;在小注服务均其输1,就所涉及的尚题,掠立下有关各方提供评估证明等服务并承拟相关社会任的,则服务提供方为第主方低色。务布色导服务提供方的织织机构资型人是。1
GB/T30283-2013
服务协议servicecontract
服务需求方和服务提供方在服务开始前共同达成的约定,并在服务过程中共同遵守。注:通常包含服务原则服务内容、服务形式、服务级别协议、服务价格、服务交付物、服务安全要求等,在形成上可以是服务合同及其附属的工作说明书。3.5
服务类别service category
一组具有共同目标对象和服务特征的、但侧重点可能不同的服务组件的集合。3.6
服务组件
service component
可包含在服务协议中的最小前选服务3.7
服务实例servicemstanee
为满足某一确定的安全保障目的而组合在一起的,一组可重用的服务组件3.8
信息安全咨询服务
information security consulting service面向组织的信息安全服务国绕组织信息系统所支持的业务和管理,道过知识传递、工作辅导和系统规划等形式提供信息安全服务3.9
信息安全实施服务information securityimplementatior个人用户的信息安全服务,围
面向组织或个
绕组织信息
的安全和可用,通过人力
用和信息数据
遣、设施租用、
信息安全培训服务information securitytraini一员或个人的信自中
面向组织内人
核等形成提供信息安全服务
4信息安全服务分类
service
统或个
信息设备,及其基础设施、业务应形式提供信息安全服务
程外包年
管理等方面,通过授课、实操、考本标准采用“服务类别一服务组件”这种层次结构来描述服务分类,见表1。信息安全服务分类的原则是:将相对独立的服务尽量细分为服务组件将具有相同或相近服务界面(服务目标对象、服务供需关系、服务特征和服务质量要素等)的服务组件归并为同一服务类别。本标准采用层次代码结构,共分二层,第一层采用一位字母表示信息安全服务类别,第二层采用两位数字表示信息安全服务组件,第二层中数字为“99”均表示收容类目。代码的表示形式如下:XX
第二层,两位数字,表示服务组件第一层,一位字母,表示服务类别2
暇务类别
信息安企咨询服务
信总安全施服务
信息安全培证服务
其地信息安全服务
表信息安全服务分类
服务组作
信息安个免划
信息安全管理体系咨询
信息安全风险评积
信点安全成急管理咨询
业务连续性管理咨询
其他信息会咨询服务
信息安会设计
!信息安全产品部券
希点安会开发
信点安金加州和优化
首息资企检资利测试
有员发会监控
信息安合虚组处理
降点安全洲
备分机该征
数据修复
中了议让服务
总发个监理
倍总发金市计
其征信息安企实施服务
倍息安会培训
GB/T 30283---2013
日标对象
纠织的总系统发所支待的业
务和管理
经织的病良系统;
个人的危息设备
信息安至相美人员
基十这种分类,信总安全服务均可以服务实例的形式,由·个或多个服务类别或者(及其)服务纠件所构成,呆还可能包含本标准不沙及的其他扩展服务,典型的信息安全服务实例有以下十种类:安全咨询、风险评估、安全集成、安全运维、应急处理、灾难恢复,安全培训、安全测评、安全监理、安全审计。典型的信息安全服务实例与其可能包含的服务红竹之间的关系见附录A。信息安全服务与倍息安全法律、政策密切相关。例如:根据我国计算机信息系统实行安全等级保护的求,按工述分类,可开展等级保护咨询、等级保护建设(整改)、等级保护测评、等级保护培训等信息安全服务。
5信息安全咨询服务
5.1概述
信息全咨询避务的服务界证为:CB/T 30283—2013
{)服务刘象
而尚组织的信息系统及其支持的业务和管理:b)服务供需
服务提供方提供信息安全领域的知识传递、作辅导、系统规划等服务内容,以满足纽织对外部“专业知识”的据求,从而提高自身的信息安全管理、规划,分析和策能力。c:)服务特证
基于纠织整体的使命和业务,以人力的方式挺供相关咨询,服务交付物溯常是一些文档。d)腰务质最
首先收决了服务人员的专业知识,经验的卡富程良,其次取决于股务人员的理解、分析和沟通等综合能力。股务人员与组织内有关人员(其是信息安全责任部门人员)的有效交订过程是咨询服务成败的美健,
c)服务组件
包括:信息安全规划、信息安全管理体系咨询、信息安全风险评估.值息安全应急管理咨询、业务连绶性管理咨询,其作信息安全资询服务。5.2借息安全规划
信慧安全规划主要是从红织核心业务核心价值出发,根据组织的发展规略,通过风险评估等疗式愿取红织的发全需求,对相成的安全保障日标任务,措施和步骤行期别,伟感家全规站雅组织整体的角取,从策略到织、管票、技术,资源等多方面进行综合考虑,沙及练合伴理,技术规范、!租魏设运行维护等多个层而,信息安全规则的成果,是红织在一段时明内乃展衔息安全保障工作的依据5.3信息安全管理体系咨询
信息安全管理体系资询主要是依照国际或国家危总安全管理体系格关标准,基于业务风险方法,通总义范用和方针、业务分析、风险评估、设计、实施等步骤,面问纽织立实施,运行、监视、评审、保持和改信息安全的体系。信息安全管理体系是·个组织整个管理休系的-部分,包括组织结构、方针策、规划活动、职责、实践、规程、过程和资源等彩个方间,常见的信息安全管玛体系有GB/T220802008G1/T22239-2008中的管现婴求等。5.4信息安全风险评估
信息安全风险评估主要足依据有关信息安全技术与管理标准,从风险管理角度,对信息系统及山其处班、传输和存储的信息的保密性、完整性和可用性等安全属性迹行评价的对程,通过评估瓷产而临的威胁以及威胁利用瞻弱准导致安全事件的可能性,结合安全亦件所涉及的资产价使来判断安全事件-日发生对组织造戏的影响,非提出有针对性的纸御威胁的防护对策和整改措施。信息安个风险评估势穿于信息系统的规划、改计、实施.运行维扩以及度充各个阶段。5.5信息安全应急管理咨询
信息安全应急管理咨询主要足针对各类各级信息安全事件,从应急管理角度,通过编制应总预案和指早成急演练,而向组织建立信息安企应急臂现体系,不断进行改进和提高,应急预案的内容包括:建立织的应急响应小组,制定应急响应流程,经它监测和预警机制,落实应急保障资源,制定子预案及相关支持安挡,以及指导实施应急处到<见6.8)等:5.6业务连续性管理咨询
业务连续性管理咨询卡数是为保护组织的核心业务、核心价值,从保障组织的业务持续开展品发,4
GB/T 302832013
避过识别组织业务的连续性指标费求,认别落准的成逊和相关影响,制订业务连续性计划和火难恢复计划,最终帮励纠织建立您综合管理流程,形成织的业矫保持利恢复能力,提高组织的风险防范能力有效地响成非计划的业务破坏并降低不良影响。6信息安全实施服务
6.1概述
信息爱全实品服务的服务界而为:)服务对象
而内具体的(组织)信息系统或(个人)息设备服务供部
服务势供方媒供与信息资全相关的技术保障,管理保障等直接支撑,以購是组战个人对专业技能、专业人员、专业1其的需求,从而保障倍息察统整体或各层面的安金性。[】服穿的征
基于对信息系统全生命周期的信息安全保障,为系统的建设和送行提供担关的实现,具有较高的重,
)股务质理
最决子股务提俱方的整体专业能力利服务成燃度,主要包拆:组织管望,专业识投术能方、人员靠质,门以企服务经验,外部资源等方。股务落求的积极零与可以息实施服务成效,服舒组件
恒括:信息安全设计信息安全产品部帮、信息安全开发、信息安全加周和概化、信息安全检否和测试、信总安全监控、信息安个应您处理、信点资全通告、备份恢复、数据修复、平认证段务、信息安全股理、前息安全作计,其他信息安全实施服务6.2信息安全设计
信息安金设计十要是针对信息系统的安企保障需求,对组织的安全规划进行落实,设计总体安全策璐,制定息安个驻设方案和实施方案,在此基础山形成安全架构、技术体系和管理体系的设计。借息安全设让般可分为项层设计、初步设计和详纳设计等不同的服务交付物。信息安全设计还可以包含对估息安全产品的功能和性能设计,以发选型建议。6.3宿息安全产品部署
备息安全产品部署工要是根据信总系统安全设计方案,对比采购、和用或开发的信息安全产品进行安装配肾,功能调试和性能谢试,以及对相关大员的必要培训等.以达到预期的安全要求。一般包括各类信息安金产品的独立部署、各白部署或者组合部署(集成部器)。信息安全产品部署还可以包含对信息安全产品的采购,即按照设计方案中的要求,依据相关主管部门的普理要求,以产品性价比为塔则,成产品及其后续服务的采购。6.4信息安全开发
倍息安企开发主要是按照信息安全设计方案的安全日标和安全动能,对于-些不能通过采购现有信息安全产品来满是的安全需求,通过定制开发面予以满足。信安全开发出可以基于已有的信息安会产品进行:饮开发。
GB/T30283—2013
6.5信息安全加固和优化
信息安全加州正数是针对组织在实施风险评估、安全检查和测试过程中发现的各种安全风险、系统测和不符个项,依据既定的倍息安企策略,采取措施予以弥补,消除已暴露的问题和可能的随忠。信息安全优化主要起基于风险评估等方法,对现有网络和系统架构班行调整和优化,或对现有设备必安全策略进行设置和调整。在实际服务中,信息安全加固和信息安全优化往往同时进行,6,6信息安全检查和测试
信息安全检查主要是针对纠织部军的信息安个技术据施及其运行记录进行检查战查.验证安全措痴的究整性和利效性,并及时发现异常活动和潜在风险。一般他括对信息系统各层而的达行状态检查、配置项检查,日志分析等,也包折借助专门的安全市计设备来实施检食,信息安全检食还以包对循意安全普理批施粒机美人品的蕊待借息安全测试式要是创对热系统及其产品的安全属证,采取动态的手段进行间题发现、符合性和有效非验证般色据信息系统测试、满洞打描和游透性测试等,信息系统测试足指将比经确认的信息系统组减元款结合在一息,进行弃种组装测试和确认测试,发现所开发的系统与安全带求不符或矛商的地方,从而提拍发企费改方索:谢润描服务是指借助些专业的洞扫挡具,发现信息系统省层阅存准的签全调,为信息安全加同提供支持信息。渗透性测诚是指借息安全服务提供者的专业人员楼拟攻出行为,对目标系统实颜滚透,意图找到“非法”迹人自标系统并取得和关仪限的途径,从而鸿试门标系统安全控制施的有效性。6.7信息安全监控
停息安全监控主要是通过疏控1具或平台,对信息系统的环境,网络、主机,系统和应用等逃行实时择,查着各个系统红件的功能性能、选行状况等,检查设备、系统机应用的日志,日发现别常博说,以采收措施解决或者启动应急响应等股务。信息安全监控还可以包含对信息安全事件的预答功能,信息安全监控·般可以分为现场监控和远程监控两种方式,现场监控是出服务提供方的驻场人员为纽织承扣系统继扩和管理的们务,对组织的倍息系统实施监控。迹程监控是出服务提供方任远程的安金运行中心(S()C)中进行,\-股需要有加铬的网络连接,并在组织的信息系统上安装一些监控软件。6.8信息安全应急处理
假息安全应急处理主要是根据组织信息安全应急管理体系,针对各类突发信息安全事件,提供实只而的应急响应和应急演练。府急响应是对已发生的齐类借倍息安全事件作比快速响成,时而有效逃行事件处理,最人程度减少摄实和该事件造城的消极影响,响碰的为式可以接事件特点和级别分为现场和程两种,应急演练是根据组织已有的应急预案,在设备,系统、业务、组织等不同层面进行谢试和演练,从而提尚组裂的应对各爽窦发宿意爱伞事件的能力,演练的方式可分桌而演絲、模拟演练和爱战演练。
6.9信息安全通告
信息安全道货要是在通先服务提供方与服务需求之间,建立种紧密的信息发布和沟通架道,以使最新的信息安全信息能够被组织或个人获知,并及时采取控制措施来预防自身信息安全事件的发生,信息安全通告的服务操快方可以是权威专业组织IT产品厂商战信息安企商等。安全告服务的内穿主们括:漏洞信息、减胁信息、病声信息、预警消息、取大再件和问题近告等,以及捐成的解决方案。
6.10备份和恢复
GB/T30283—2013
备份和恢复是为了防止信息系统及其应用和数据等,因信息安全事件或灾难而造成的丢失或损坏。从而在原文中独立出来单独存储的程序或文件副本,并在系统出现故障或瘫痰时,能够及时恢复系统及其应用和数据,将信息系统从故障或瘫痰状态恢复到可正常运行状态、并将其支持的业务功能从不正常状态恢复到可接受状态。备份和恢复还包括对备份介质和链路的定期测试恢复的定期演练。6.11数据修复
数据修复服务主要指对由有害程序、系统故障、误操作、升级或安装软件错误、人为故意破坏等安全事件造成的逻辑损坏或数据丢失,或再电击、水淹、火烧、晨激撞击、机械故障等意外事故造成物理损坏或数据丢失,而进行数据抢数和修复的专业服务。6.12
电子认证服务
电子认证服主要为电子签名的真实性和可靠性提供证明的活动包括氢名人身份的真实性认证,电子签名过程的重靠性认证和数据电文的完整性认证三个部分,涉及数着电文的生成、传递、接收、保存、提取、鉴定各不节盖电子认证专有设备提供、基础设施运营、技术产品研发系统检测评估、专业队伍建设等各市面的专业服务6.13信息安全监理
信息安全监理主要是指信息安全工程在理,即具看相关资质的监理单位受信息安全工程建设单位的委托,依据国家批准的信息化程项目建设文件、有关工程建设的法律法规和工程建设监理合同及其他工程建设合高,尤其是依据信息安全方面的标准和要求,在工程建设各阶段向理设单位提供相关咨询,并协助建设单位对承建单位在工程建设中的信息安全实施服务,实施控制和管理的一种专业化服务活动。信息安全监理还可以包括对信息系统运维阶段的其他信息安全实施服务进行监理。6.14信息安全审贵
信息安全审主要是针对与信息安全有关的活动,从外部独立进行相关信息的识别、记录、存储和分析,确保各项活动符合维织已建立的安全策略和操作过程,并评估它们的有数性和准确性,发现安全违规,掌握安全状态,提出改进建议。信息安全审计的具体对象是在组织的信息安全层面上,技术和管理、物理和逻辑等方面的控制措施,包括对数据中心物理复全、信息系统脆弱性、应用系统安全、数据库逻辑安全,以及组织的信息安全合规性等进行审核7信息安全培训服务
信息安全培训服务的服务界面为:a)服务对象
面向信息安全相关人员。
6)服务供需
服务提供方提供信息安全意识、技术、管理、体系、工程、法律、政策和标准等方面的培训内容,以满足提高信息安全意识、完善信息安全知识、掌握信息安全技能的需求,从而提高相关人员的信息安全能力水平。
)服务特征
基于培训目的,结合培训规模、人员基础知识、培训时间、培训条件等情况,对培训内容、培训方式、7
GH/T 30283—2013
考核方式穿伴出针对性的培训计划,升通过授课、实操、考核等力式予以实施。l)瑕务质最
取决培训的针对性、科学性和实效性。对面尚组织的统--培训,培训服务提供方在培训结束后,提供增训效果分桥报背,以使组织掌握培训情况并对培训作持续改逃。)服务
包括:针对偿息安全专业人员的资质培训、针对务需求方特定要求的定制培训等。8信息安金服务特点
本标准沙及的信息安全服务除了信息技术股务所具有的共同特点之外,还具有如下特点:不依到果单独的,具体的、批量生产的息安全产品:“-就呆项点体的服务而直,假息安个服务提供力只能以乙方或筑方的-种角他出现;食对不间的信息安全保障需求,信息安全服务提供方可提供不同服务内容的组介:信息安全服务的形式可以分为现场服务,迹程联机服务、远程非联机股务等;估息安会服务提供方成保证其服务人员,过程和具的叫培和控,前息密金服务需求力的信息安全责任部门(或个人用身)应承扣对服务的采购、管迎等责任:信息会服务据供方成符合国家信息安全批本政策的相美规定(如等级保护),并接受国家信房农车件理部门的行业馆职。
A.1信息安全服务采购要素
A.1.1采购时机
附录A
(规范性附录)
信息安全服务的采购
GB/T30283—2013
信息安全工作是组织信息化工作的重要组成部分,贯穿组织慎息系统整个生命周期,因此在整个信息系统的生命周期中,组织都会根据信息安全保障需求采购信息安全服务,参见附录B。根据业界实践,有信息系统规划、设计和运行阶段,采购咨询类服务较在信息系统建设、运行阶段,采购实施类服较多,在每个阶段都有可能采购信息安全风险评估利信息安全培训服务。A.1.2采购目录
由于信息安全服务对服务质量、服务可信和服务可控的高要求,预算和采购政策的管理部门,需及时制定并发布相关的信息安全服务采购日录采购日录的服务分类可按照本标准执行,以便于组织正确采购相差的服务。
服务资质
信息安全服务资质是服务提供方服务能力的一种体现形式类服务的不同服务商,如果分
别拥有不同能力级别的服务资质,则会在服务质量利服务成本上有斯差异,月服务需求方可根据自身的
信息安全需求,绩合信息安全管理部门的相关要求确定服务提供方的资质准人或认证要求。A.1.4服务价格
可以根据组织级别规模、信息系统规模、信息安全保护级别,信息安全保障需豪和现有水平,根据不同信息安全服务的服务界面和服务特点,综合采用定额法和比率法,分别确定面向组织和面向信息系统的信息安全服务价格(技合计价单位,确定基准价格和浮动因素)A.1.5招投标规范
采购部门可根据本标准的分类,针对不同服务美别,制定相关的采购招投标规范,至少对如下内容作出规定:
服务资质(准人资质)的要求
服务级别协议的承诺形式和度量方法;b)
服务的质量要求;
服务的保障措施(人员、过程、工具、资源等);d
服务自身的安全要求;
服务项目评标规则。
A.1.6服务协议(采购合同)
信息安全服务的服务协议至少包括:a)服务原则:对服务提供方的原则性要求;9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共利国国家标准
GB/T30283--2013
信息安全技术
信息安全服务
Intormation seruriiy technologyInlormation serurity servicc--Calegory2013-12-31发布
中华人民共和国国家质量监誉检验检疫总局中国国家标雅化管理委员会
2014-07-15实施
1、范圈
2规范件引用文件
3术讲和定义
1信息安全服务分类
5信安全咨服务
5.2信息安企规划
5.3信总安全管理体系咨询
信息安全风险评件
信息安全应急管拟咨询www.bzxz.net
5.6:业务控续性管理咨询
6信息安全实施服务
信息安全设计
信息安全产品部署
催息安全开发
信息安全册制和优化
信息安全检食和测站
信息安全监控
信息安全应急处
信息安全通告
备份和恢复
数据修复
电了认证服务·
6.13,信息安全监理
5.14,信息安全伟计..
7信息安全培训服务
8信息安企服务特点”
附求A(规范性附录)信息安全服务的采购次
附录B(资料性附录)信息安全服务与信息系统生命周期的对应关系参号文献
GB/T 30283—2013
本标准按照G3/T1.1-2009的规则起节。GB/T30283-2013
本标准用全用信息安全标雅化技术委员会(SAC/TC260)提出并归门。本标准起肯单位:上海三零卫十信息安全有限公司、中国信息安全测评中心、中国信息安全认司中心、中国电子技术标雄化研究院本标准主要起草人:邵敏华,张笙军、陈晓桦,李斌、胡啸、杨建炸、陈长松、闵京华,曾雅斌、张晓非、翟业红、土琰、沈传宁
1范围
信息安全技术
信息安全服务分类
GB/T 30283—2013
本标雅规定了信息安全服务分类,包括信息安孕咨询美、信息安全实施类,信息安全席训类及捷爽四个方而,
本标推适用!信息案全行业对精息安全服务概念的理解和分类管理,适用于信息安个服务的开发,提供说用和采购,
本标准不适用下设依附于策一信息安全产品的股务(如信息安全产品的使用,维假等服务)。2规范性引用文件
下到文件对!本文件的垃用是必不而少的,凡是注期的引用文件,仅讨期的版活开和文件。凡是不注用境的引义件双最新版本(急括所有的修改单活用本文件:GB/T5271.F2001能息技术询汇第8部分:安全G对/个22080-2008信息技术岁全技术借息安全誉理体系要求(B/1222392008信息安金技术信息系统资全等级保护基本求G13/T23058-20:0信息安全技术信总案统安伞等级保护实施指南3术语和定义
G3/T271.8-2001界定的以及下列术谱和定义适用」本文作。3.1
信息安全服务informationsecurity service面向组织或个人的各类信息安金保障靠求,出服务提供方按照服务协议所执行的一个信息安全过程感任务。
注:通常会基下信息安全技术产品或营想体系的,迹过外包的影式,山专业信息安全人员所提供的支持用择助。3.2
信息安全服务需求方information security serviceacquirer有偿采购(或免费使用)外部所提供的信息安全服务,以满足信息安全保障需求·实现户身业务门标的组织(个人用户)。
信息安全服务提供方informalian security service provider按照服务协议,过专业的信息安全人员提供信息安全服务的各类组织机构。注:信息安个服务提供方在有项其体的服务中承担和应的服务角邪服务账责。如果服务内案仪沙及供需双方的,则服务境供方为乙方角色;在小注服务均其输1,就所涉及的尚题,掠立下有关各方提供评估证明等服务并承拟相关社会任的,则服务提供方为第主方低色。务布色导服务提供方的织织机构资型人是。1
GB/T30283-2013
服务协议servicecontract
服务需求方和服务提供方在服务开始前共同达成的约定,并在服务过程中共同遵守。注:通常包含服务原则服务内容、服务形式、服务级别协议、服务价格、服务交付物、服务安全要求等,在形成上可以是服务合同及其附属的工作说明书。3.5
服务类别service category
一组具有共同目标对象和服务特征的、但侧重点可能不同的服务组件的集合。3.6
服务组件
service component
可包含在服务协议中的最小前选服务3.7
服务实例servicemstanee
为满足某一确定的安全保障目的而组合在一起的,一组可重用的服务组件3.8
信息安全咨询服务
information security consulting service面向组织的信息安全服务国绕组织信息系统所支持的业务和管理,道过知识传递、工作辅导和系统规划等形式提供信息安全服务3.9
信息安全实施服务information securityimplementatior个人用户的信息安全服务,围
面向组织或个
绕组织信息
的安全和可用,通过人力
用和信息数据
遣、设施租用、
信息安全培训服务information securitytraini一员或个人的信自中
面向组织内人
核等形成提供信息安全服务
4信息安全服务分类
service
统或个
信息设备,及其基础设施、业务应形式提供信息安全服务
程外包年
管理等方面,通过授课、实操、考本标准采用“服务类别一服务组件”这种层次结构来描述服务分类,见表1。信息安全服务分类的原则是:将相对独立的服务尽量细分为服务组件将具有相同或相近服务界面(服务目标对象、服务供需关系、服务特征和服务质量要素等)的服务组件归并为同一服务类别。本标准采用层次代码结构,共分二层,第一层采用一位字母表示信息安全服务类别,第二层采用两位数字表示信息安全服务组件,第二层中数字为“99”均表示收容类目。代码的表示形式如下:XX
第二层,两位数字,表示服务组件第一层,一位字母,表示服务类别2
暇务类别
信息安企咨询服务
信总安全施服务
信息安全培证服务
其地信息安全服务
表信息安全服务分类
服务组作
信息安个免划
信息安全管理体系咨询
信息安全风险评积
信点安全成急管理咨询
业务连续性管理咨询
其他信息会咨询服务
信息安会设计
!信息安全产品部券
希点安会开发
信点安金加州和优化
首息资企检资利测试
有员发会监控
信息安合虚组处理
降点安全洲
备分机该征
数据修复
中了议让服务
总发个监理
倍总发金市计
其征信息安企实施服务
倍息安会培训
GB/T 30283---2013
日标对象
纠织的总系统发所支待的业
务和管理
经织的病良系统;
个人的危息设备
信息安至相美人员
基十这种分类,信总安全服务均可以服务实例的形式,由·个或多个服务类别或者(及其)服务纠件所构成,呆还可能包含本标准不沙及的其他扩展服务,典型的信息安全服务实例有以下十种类:安全咨询、风险评估、安全集成、安全运维、应急处理、灾难恢复,安全培训、安全测评、安全监理、安全审计。典型的信息安全服务实例与其可能包含的服务红竹之间的关系见附录A。信息安全服务与倍息安全法律、政策密切相关。例如:根据我国计算机信息系统实行安全等级保护的求,按工述分类,可开展等级保护咨询、等级保护建设(整改)、等级保护测评、等级保护培训等信息安全服务。
5信息安全咨询服务
5.1概述
信息全咨询避务的服务界证为:CB/T 30283—2013
{)服务刘象
而尚组织的信息系统及其支持的业务和管理:b)服务供需
服务提供方提供信息安全领域的知识传递、作辅导、系统规划等服务内容,以满足纽织对外部“专业知识”的据求,从而提高自身的信息安全管理、规划,分析和策能力。c:)服务特证
基于纠织整体的使命和业务,以人力的方式挺供相关咨询,服务交付物溯常是一些文档。d)腰务质最
首先收决了服务人员的专业知识,经验的卡富程良,其次取决于股务人员的理解、分析和沟通等综合能力。股务人员与组织内有关人员(其是信息安全责任部门人员)的有效交订过程是咨询服务成败的美健,
c)服务组件
包括:信息安全规划、信息安全管理体系咨询、信息安全风险评估.值息安全应急管理咨询、业务连绶性管理咨询,其作信息安全资询服务。5.2借息安全规划
信慧安全规划主要是从红织核心业务核心价值出发,根据组织的发展规略,通过风险评估等疗式愿取红织的发全需求,对相成的安全保障日标任务,措施和步骤行期别,伟感家全规站雅组织整体的角取,从策略到织、管票、技术,资源等多方面进行综合考虑,沙及练合伴理,技术规范、!租魏设运行维护等多个层而,信息安全规则的成果,是红织在一段时明内乃展衔息安全保障工作的依据5.3信息安全管理体系咨询
信息安全管理体系资询主要是依照国际或国家危总安全管理体系格关标准,基于业务风险方法,通总义范用和方针、业务分析、风险评估、设计、实施等步骤,面问纽织立实施,运行、监视、评审、保持和改信息安全的体系。信息安全管理体系是·个组织整个管理休系的-部分,包括组织结构、方针策、规划活动、职责、实践、规程、过程和资源等彩个方间,常见的信息安全管玛体系有GB/T220802008G1/T22239-2008中的管现婴求等。5.4信息安全风险评估
信息安全风险评估主要足依据有关信息安全技术与管理标准,从风险管理角度,对信息系统及山其处班、传输和存储的信息的保密性、完整性和可用性等安全属性迹行评价的对程,通过评估瓷产而临的威胁以及威胁利用瞻弱准导致安全事件的可能性,结合安全亦件所涉及的资产价使来判断安全事件-日发生对组织造戏的影响,非提出有针对性的纸御威胁的防护对策和整改措施。信息安个风险评估势穿于信息系统的规划、改计、实施.运行维扩以及度充各个阶段。5.5信息安全应急管理咨询
信息安全应急管理咨询主要足针对各类各级信息安全事件,从应急管理角度,通过编制应总预案和指早成急演练,而向组织建立信息安企应急臂现体系,不断进行改进和提高,应急预案的内容包括:建立织的应急响应小组,制定应急响应流程,经它监测和预警机制,落实应急保障资源,制定子预案及相关支持安挡,以及指导实施应急处到<见6.8)等:5.6业务连续性管理咨询
业务连续性管理咨询卡数是为保护组织的核心业务、核心价值,从保障组织的业务持续开展品发,4
GB/T 302832013
避过识别组织业务的连续性指标费求,认别落准的成逊和相关影响,制订业务连续性计划和火难恢复计划,最终帮励纠织建立您综合管理流程,形成织的业矫保持利恢复能力,提高组织的风险防范能力有效地响成非计划的业务破坏并降低不良影响。6信息安全实施服务
6.1概述
信息爱全实品服务的服务界而为:)服务对象
而内具体的(组织)信息系统或(个人)息设备服务供部
服务势供方媒供与信息资全相关的技术保障,管理保障等直接支撑,以購是组战个人对专业技能、专业人员、专业1其的需求,从而保障倍息察统整体或各层面的安金性。[】服穿的征
基于对信息系统全生命周期的信息安全保障,为系统的建设和送行提供担关的实现,具有较高的重,
)股务质理
最决子股务提俱方的整体专业能力利服务成燃度,主要包拆:组织管望,专业识投术能方、人员靠质,门以企服务经验,外部资源等方。股务落求的积极零与可以息实施服务成效,服舒组件
恒括:信息安全设计信息安全产品部帮、信息安全开发、信息安全加周和概化、信息安全检否和测试、信总安全监控、信息安个应您处理、信点资全通告、备份恢复、数据修复、平认证段务、信息安全股理、前息安全作计,其他信息安全实施服务6.2信息安全设计
信息安金设计十要是针对信息系统的安企保障需求,对组织的安全规划进行落实,设计总体安全策璐,制定息安个驻设方案和实施方案,在此基础山形成安全架构、技术体系和管理体系的设计。借息安全设让般可分为项层设计、初步设计和详纳设计等不同的服务交付物。信息安全设计还可以包含对估息安全产品的功能和性能设计,以发选型建议。6.3宿息安全产品部署
备息安全产品部署工要是根据信总系统安全设计方案,对比采购、和用或开发的信息安全产品进行安装配肾,功能调试和性能谢试,以及对相关大员的必要培训等.以达到预期的安全要求。一般包括各类信息安金产品的独立部署、各白部署或者组合部署(集成部器)。信息安全产品部署还可以包含对信息安全产品的采购,即按照设计方案中的要求,依据相关主管部门的普理要求,以产品性价比为塔则,成产品及其后续服务的采购。6.4信息安全开发
倍息安企开发主要是按照信息安全设计方案的安全日标和安全动能,对于-些不能通过采购现有信息安全产品来满是的安全需求,通过定制开发面予以满足。信安全开发出可以基于已有的信息安会产品进行:饮开发。
GB/T30283—2013
6.5信息安全加固和优化
信息安全加州正数是针对组织在实施风险评估、安全检查和测试过程中发现的各种安全风险、系统测和不符个项,依据既定的倍息安企策略,采取措施予以弥补,消除已暴露的问题和可能的随忠。信息安全优化主要起基于风险评估等方法,对现有网络和系统架构班行调整和优化,或对现有设备必安全策略进行设置和调整。在实际服务中,信息安全加固和信息安全优化往往同时进行,6,6信息安全检查和测试
信息安全检查主要是针对纠织部军的信息安个技术据施及其运行记录进行检查战查.验证安全措痴的究整性和利效性,并及时发现异常活动和潜在风险。一般他括对信息系统各层而的达行状态检查、配置项检查,日志分析等,也包折借助专门的安全市计设备来实施检食,信息安全检食还以包对循意安全普理批施粒机美人品的蕊待借息安全测试式要是创对热系统及其产品的安全属证,采取动态的手段进行间题发现、符合性和有效非验证般色据信息系统测试、满洞打描和游透性测试等,信息系统测试足指将比经确认的信息系统组减元款结合在一息,进行弃种组装测试和确认测试,发现所开发的系统与安全带求不符或矛商的地方,从而提拍发企费改方索:谢润描服务是指借助些专业的洞扫挡具,发现信息系统省层阅存准的签全调,为信息安全加同提供支持信息。渗透性测诚是指借息安全服务提供者的专业人员楼拟攻出行为,对目标系统实颜滚透,意图找到“非法”迹人自标系统并取得和关仪限的途径,从而鸿试门标系统安全控制施的有效性。6.7信息安全监控
停息安全监控主要是通过疏控1具或平台,对信息系统的环境,网络、主机,系统和应用等逃行实时择,查着各个系统红件的功能性能、选行状况等,检查设备、系统机应用的日志,日发现别常博说,以采收措施解决或者启动应急响应等股务。信息安全监控还可以包含对信息安全事件的预答功能,信息安全监控·般可以分为现场监控和远程监控两种方式,现场监控是出服务提供方的驻场人员为纽织承扣系统继扩和管理的们务,对组织的倍息系统实施监控。迹程监控是出服务提供方任远程的安金运行中心(S()C)中进行,\-股需要有加铬的网络连接,并在组织的信息系统上安装一些监控软件。6.8信息安全应急处理
假息安全应急处理主要是根据组织信息安全应急管理体系,针对各类突发信息安全事件,提供实只而的应急响应和应急演练。府急响应是对已发生的齐类借倍息安全事件作比快速响成,时而有效逃行事件处理,最人程度减少摄实和该事件造城的消极影响,响碰的为式可以接事件特点和级别分为现场和程两种,应急演练是根据组织已有的应急预案,在设备,系统、业务、组织等不同层面进行谢试和演练,从而提尚组裂的应对各爽窦发宿意爱伞事件的能力,演练的方式可分桌而演絲、模拟演练和爱战演练。
6.9信息安全通告
信息安全道货要是在通先服务提供方与服务需求之间,建立种紧密的信息发布和沟通架道,以使最新的信息安全信息能够被组织或个人获知,并及时采取控制措施来预防自身信息安全事件的发生,信息安全通告的服务操快方可以是权威专业组织IT产品厂商战信息安企商等。安全告服务的内穿主们括:漏洞信息、减胁信息、病声信息、预警消息、取大再件和问题近告等,以及捐成的解决方案。
6.10备份和恢复
GB/T30283—2013
备份和恢复是为了防止信息系统及其应用和数据等,因信息安全事件或灾难而造成的丢失或损坏。从而在原文中独立出来单独存储的程序或文件副本,并在系统出现故障或瘫痰时,能够及时恢复系统及其应用和数据,将信息系统从故障或瘫痰状态恢复到可正常运行状态、并将其支持的业务功能从不正常状态恢复到可接受状态。备份和恢复还包括对备份介质和链路的定期测试恢复的定期演练。6.11数据修复
数据修复服务主要指对由有害程序、系统故障、误操作、升级或安装软件错误、人为故意破坏等安全事件造成的逻辑损坏或数据丢失,或再电击、水淹、火烧、晨激撞击、机械故障等意外事故造成物理损坏或数据丢失,而进行数据抢数和修复的专业服务。6.12
电子认证服务
电子认证服主要为电子签名的真实性和可靠性提供证明的活动包括氢名人身份的真实性认证,电子签名过程的重靠性认证和数据电文的完整性认证三个部分,涉及数着电文的生成、传递、接收、保存、提取、鉴定各不节盖电子认证专有设备提供、基础设施运营、技术产品研发系统检测评估、专业队伍建设等各市面的专业服务6.13信息安全监理
信息安全监理主要是指信息安全工程在理,即具看相关资质的监理单位受信息安全工程建设单位的委托,依据国家批准的信息化程项目建设文件、有关工程建设的法律法规和工程建设监理合同及其他工程建设合高,尤其是依据信息安全方面的标准和要求,在工程建设各阶段向理设单位提供相关咨询,并协助建设单位对承建单位在工程建设中的信息安全实施服务,实施控制和管理的一种专业化服务活动。信息安全监理还可以包括对信息系统运维阶段的其他信息安全实施服务进行监理。6.14信息安全审贵
信息安全审主要是针对与信息安全有关的活动,从外部独立进行相关信息的识别、记录、存储和分析,确保各项活动符合维织已建立的安全策略和操作过程,并评估它们的有数性和准确性,发现安全违规,掌握安全状态,提出改进建议。信息安全审计的具体对象是在组织的信息安全层面上,技术和管理、物理和逻辑等方面的控制措施,包括对数据中心物理复全、信息系统脆弱性、应用系统安全、数据库逻辑安全,以及组织的信息安全合规性等进行审核7信息安全培训服务
信息安全培训服务的服务界面为:a)服务对象
面向信息安全相关人员。
6)服务供需
服务提供方提供信息安全意识、技术、管理、体系、工程、法律、政策和标准等方面的培训内容,以满足提高信息安全意识、完善信息安全知识、掌握信息安全技能的需求,从而提高相关人员的信息安全能力水平。
)服务特征
基于培训目的,结合培训规模、人员基础知识、培训时间、培训条件等情况,对培训内容、培训方式、7
GH/T 30283—2013
考核方式穿伴出针对性的培训计划,升通过授课、实操、考核等力式予以实施。l)瑕务质最
取决培训的针对性、科学性和实效性。对面尚组织的统--培训,培训服务提供方在培训结束后,提供增训效果分桥报背,以使组织掌握培训情况并对培训作持续改逃。)服务
包括:针对偿息安全专业人员的资质培训、针对务需求方特定要求的定制培训等。8信息安金服务特点
本标准沙及的信息安全服务除了信息技术股务所具有的共同特点之外,还具有如下特点:不依到果单独的,具体的、批量生产的息安全产品:“-就呆项点体的服务而直,假息安个服务提供力只能以乙方或筑方的-种角他出现;食对不间的信息安全保障需求,信息安全服务提供方可提供不同服务内容的组介:信息安全服务的形式可以分为现场服务,迹程联机服务、远程非联机股务等;估息安会服务提供方成保证其服务人员,过程和具的叫培和控,前息密金服务需求力的信息安全责任部门(或个人用身)应承扣对服务的采购、管迎等责任:信息会服务据供方成符合国家信息安全批本政策的相美规定(如等级保护),并接受国家信房农车件理部门的行业馆职。
A.1信息安全服务采购要素
A.1.1采购时机
附录A
(规范性附录)
信息安全服务的采购
GB/T30283—2013
信息安全工作是组织信息化工作的重要组成部分,贯穿组织慎息系统整个生命周期,因此在整个信息系统的生命周期中,组织都会根据信息安全保障需求采购信息安全服务,参见附录B。根据业界实践,有信息系统规划、设计和运行阶段,采购咨询类服务较在信息系统建设、运行阶段,采购实施类服较多,在每个阶段都有可能采购信息安全风险评估利信息安全培训服务。A.1.2采购目录
由于信息安全服务对服务质量、服务可信和服务可控的高要求,预算和采购政策的管理部门,需及时制定并发布相关的信息安全服务采购日录采购日录的服务分类可按照本标准执行,以便于组织正确采购相差的服务。
服务资质
信息安全服务资质是服务提供方服务能力的一种体现形式类服务的不同服务商,如果分
别拥有不同能力级别的服务资质,则会在服务质量利服务成本上有斯差异,月服务需求方可根据自身的
信息安全需求,绩合信息安全管理部门的相关要求确定服务提供方的资质准人或认证要求。A.1.4服务价格
可以根据组织级别规模、信息系统规模、信息安全保护级别,信息安全保障需豪和现有水平,根据不同信息安全服务的服务界面和服务特点,综合采用定额法和比率法,分别确定面向组织和面向信息系统的信息安全服务价格(技合计价单位,确定基准价格和浮动因素)A.1.5招投标规范
采购部门可根据本标准的分类,针对不同服务美别,制定相关的采购招投标规范,至少对如下内容作出规定:
服务资质(准人资质)的要求
服务级别协议的承诺形式和度量方法;b)
服务的质量要求;
服务的保障措施(人员、过程、工具、资源等);d
服务自身的安全要求;
服务项目评标规则。
A.1.6服务协议(采购合同)
信息安全服务的服务协议至少包括:a)服务原则:对服务提供方的原则性要求;9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。