标准《信息安全技术 信息安全服务 分类》征求意见稿

1、ICS35.040L 80中华人民共和国国家标准GB/T 30283XXXX代替GB/T 30283-2013信息安全技术信息安全服务 分类Information security technology - Information security service-Category 在提交反馈意见时，请将您知道的相关专利连同支持文件一并附上。（征求意见稿）(本稿完成日期：2019-11-21)XXXX - XX - XX发布XXXX - XX - XX实施GB/T 30283XXXX目 次前言III1 范围12 规范性引用文件13 术语和定义14 分类的原则和规定35 信息安全服务分类与代码46 信息安全咨询服务56.1 概述56.2 信息安全规划咨询56.3 信息安全管理体系咨询66.4 信息安全风险评估咨询66.5 信息安全应急管理咨询66.6 业务连续性管理咨询66.7 信息安全合规咨询67 信息安全实施服务67.1 概述67.2 信息安全设计77.3 信息安全产品部署77.4 信息安全产品租赁77.5 信息安全产品定制开发77.6 信息安全开发规范设计77.7 信息安全监控87

2、.8 信息安全综合分析87.9 信息安全通报预警87.10 威胁信息共享87.11 数据安全保护87.12 反欺诈97.13 信息安全运维管控97.14 电子认证97.15 信息安全监理97.16 信息安全应急处理97.17 调查取证97.18 信息安全加固和优化97.19 信息安全检查和测试107.20 备份和恢复107.21 信息安全审计108 信息安全培训服务108.1 概述108.2 信息安全意识培训118.3 信息安全专业技能培训119 信息安全服务特点11附录A （资料性附录） 信息安全服务分类新旧结构对照表12附录B （资料性附录） 信息安全服务分类新旧类目对照表13附录C （规范性附录） 信息安全服务的采购15附录D （资料性附录） 信息安全服务与信息系统生命周期的对应关系17附录E （资料性附录） 信息安全服务其他分类19参考文献21前 言本标准按照GB/T 1.1-2009的规则起草。本标准代替GB/T 30283-2013信息安全技术 信息安全服务 分类，与GB/T 30283-2013相比，主要变化如下：保留GB/T 30283-2013主要内容，对若干信息安全

3、服务代码、组件名称及内容做了调整。更新规范性引用文件，新增若干规范性引用文件以及对部分引用文件的最新版本做了修订。更新术语和定义，新增和引用部分术语和定义。章节和内容拆分。将原“4 信息安全服务分类”章节及其内容拆分到“4 分类的原则和规定”、“5信息安全服务分类与代码”，后续章节编号顺延。信息安全服务分类新旧结构对照参见附录A。信息安全服务分类新旧类目对照参见附录B。调整信息安全服务实例及其对应服务组件，参见附录C。调整信息安全服务与信息系统生命周期的对应关系，参见附录D。梳理信息安全服务的其他分类形式与本标准服务组件的对应关系，参见附录E。新增、补充了部分参考文献。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位：上海三零卫士信息安全有限公司、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、公安部第三研究所、神州网信技术有限公司、中国电子科技网络信息安全有限公司、中电长城网际系统应用有限公司、毕马威企业咨询（中国）有限公司、工业互联网创新中心（上海）有限公司、北京微智信业科技有限公司、北京安天网络安全技术有限公司、陕西省信息化工程研究院

4、、国网区块链科技（北京）有限公司、北京知道创宇信息技术股份有限公司、国家计算机网络应急技术处理协调中心、网神信息技术（北京）股份有限公司、西安西电捷通无线网络通信份股有限公司、山谷网安科技股份有限公司。本标准主要起草人：刘慧晶、邬敏华、张建军、陈晓桦、闵京华、杨建军、王惠莅、李斌、陈长松、翟亚红、孙明亮、姚辉明、干露、张焱、王伟、张晓菲、王朝栋、康英来、崔婷婷、赵焕菊、潘正泰、张静、杜志强、郭颖、陈亮、马洪军、焦军勋、杨柯、王栋、周磊、左洪强、胡啸、曹雅斌、王琰、沈传宁。本标准的历次版本发布情况为：GB/T 30283-2013。IIIGB/T 30283XXXX信息安全技术 信息安全服务 分类1 范围本标准规定了信息安全服务分类，包括信息安全咨询类、信息安全实施类、信息安全培训类及其他类四个方面。本标准适用于信息安全行业对信息安全服务概念的理解和分类管理，适用于信息安全服务的开发、提供、选用和采购。本标准不适用于仅依附于某一信息安全产品的服务（如信息安全产品的使用、维保等服务）。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件

5、。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 22080-2016 信息技术 安全技术 信息安全管理体系 要求GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求GB/T 25058-2019 信息安全技术 信息系统安全等级保护实施指南GB/T 25069 信息安全技术 术语GB/T 29246-2017 信息技术 安全技术 信息安全管理体系 概述和词汇GB/T 35289-2017 信息安全技术 电子认证服务机构服务质量规范GB/T 36643-2018 信息安全技术 网络安全威胁信息格式规范GB/T 37027-2018 信息安全技术 网络攻击定义及描述规范3 术语和定义GB/T 29246-2017、GB/T 36643-2018、GB/T 37027-2018以及GB/T 35289-2017中界定的以及下列术语和定义适用于本文件。3.1 信息安全服务 information security service面向组织或个人的各类信息安全保障需求，由服务提供方按照服务协议所执行的一个信息安全过程或任务。注：信息安全服务通常是基于

6、信息安全技术、产品或管理体系的，通过外包的形式，由专业信息安全人员或机构所提供的支持和帮助。3.2 信息安全服务需求方 information security service acquirer有偿采购（或免费使用）外部所提供的信息安全服务，以满足信息安全保障需求，实现自身业务目标的组织（或个人用户）。3.3 信息安全服务提供方 information security service provider按照服务协议，通过专业的信息安全人员提供信息安全服务的各类组织机构。信息安全服务提供方在每项具体的服务中，其服务角色和服务职责应该是明确的。如果服务内容仅涉及供需双方的，则服务提供方为乙方角色；在上述服务的基础上，就所涉及的问题，独立于有关各方提供评估、证明等服务并承担相关社会责任的，则服务提供方为第三方角色。服务角色与服务提供方的组织机构类型无关。3.4 服务协议 service contract服务需求方和服务提供方在服务开始前共同达成的约定，并在服务过程中共同遵守。通常应包含服务原则、服务内容、服务形式、服务级别协议、服务价格、服务交付物、服务安全要求等，在形成上可以是服务合同及其

7、附属的工作说明书。3.5 服务类别 service type一组具有共同目标对象和服务特征的、但侧重点可能不同的服务组件的集合。3.6 服务组件 service component可包含在服务协议中的最小可选服务。3.7 服务实例 service instance为满足某一确定的安全保障目的而组合在一起的，一组可重用的服务组件。3.8 信息安全咨询服务 information security consulting service面向组织的信息安全服务，围绕组织信息系统所支持的业务和管理，通过知识传递、工作辅导和系统规划等形式提供信息安全服务。3.9 信息安全实施服务 information security implementation service面向组织或个人用户的信息安全服务，围绕组织信息系统（包括：部署在本地的系统，部署在托管数据中心中的系统，部署在云平台上的系统）或个人信息设备，及其基础设施、业务应用和信息数据的安全和可用，通过人力派遣、设施租用、流程外包等形式提供信息安全服务。3.10 信息安全培训服务 information security training ser

8、vice面向组织内人员或个人的信息安全服务，围绕信息安全意识、技术、管理等方面，通过授课、实操、考核等形式提供信息安全服务。3.11 威胁信息 threat information一种基于证据的知识，用于描述现有或可能出现的威胁，从而实现对威胁的响应和预防。 注：威胁信息包括上下文、攻击机制、攻击指标、可能影响等信息。GB/T 36643-2018，定义3.33.12 感知节点设备 sensor node对物或环境进行信息采集和或执行操作，并能联网进行通信的装置。GB/T 22239-2019，定义3.153.13 高级持续性攻击 advanced persistent threat高级持续性攻击(APT)指为了商业或政治利益针对特定实体（如组织、国家等）进行一系列秘密和连续攻击的过程。“高级”指攻击方法先进复杂；“持续”指攻击者连续监控目标对象，并从目标对象不断提取敏感信息。 GB/T 37027-2018，定义5.43.14 安全运营 security operation为了实现组织的安全目标，提出安全解决构想、验证效果、分析问题、诊断问题、协调资源、解决问题并持续迭代优化的统筹管理过程，满足组织信息安全的动态性、持续性和整体性需求。3.15 电子认证服务机构 certification authority负责创建、分发证书并在必要时提供验证以证实用户身份的机构。GB/T 35289-2017，定义3.73.16 订户 subscriber从电子认证服务机构接收证书的实体。GB/T 35289-2017，定义3.94 分类的原则和规定信息安全服务分类的原则是：将相对独立的服务尽量细分为服务组件，将具有相同或相近服务界面（服务目标对象、服务供需关系、服务特征和服务质量要素等）的服务组件归并为同一服务类别。5 信息安全服务分类与代码5.1 编码方法本标准采用“服务类别-服务组件”这种层次结构来描述服务分类。本标准采用层次代码结构，共分二层，第一层采用一位字母表示信息安全服务类别，第二层采用两位数字表示信息安全服务组件，第二层中数字为“99”均表示收容类目。代码的表示形式如下：5.2 分类与代码信息安全服务分类与代码见表1。表1 信息安全服务分类与代码服务类别服务组件目标对象代码名称代码名称A信息安全咨询服务A01信息安全规划咨询组织的信息系

《标准《信息安全技术 信息安全服务 分类》征求意见稿》由会员南琴分享，可在线阅读，更多相关《标准《信息安全技术 信息安全服务 分类》征求意见稿》请在金锄头文库上搜索。