《信息安全技术 信息安全服务能力评估准则》(征求意见稿).doc
《《信息安全技术 信息安全服务能力评估准则》(征求意见稿).doc》由会员分享,可在线阅读,更多相关《《信息安全技术 信息安全服务能力评估准则》(征求意见稿).doc(70页珍藏版)》请在文库网上搜索。
1、ICS35.40L80中华人民共和国国家标准GB/T XXXXX20XX信息安全服务能力评估准则Assessment criteria for information security service capability点击此处添加与国际标准一致性程度的标识(本稿完成日期:)20XX - XX - XX发布20XX - XX - XX实施GB/T XXXXX20XX64目次前言IV引言I1范围12规范性引用文件13术语、定义和缩略语14概述44.1信息安全服务过程模型44.1.1组织战略54.1.2规划设计54.1.3实施交付54.1.4监视支持54.1.5检查改进64.2能力评定原则64.
2、2.1综合考虑原则64.2.2可裁剪原则64.2.3符合性原则64.2.4可操作性原则65信息安全服务过程65.1D01组织战略65.1.1D01PA01制定信息安全章程65.1.2D01PA02建立信息安全组织85.1.3D01PA03制定信息安全策略95.1.4D01PA04制定安全管理程序105.1.5D01PA05协调信息安全145.2D02规划与设计165.2.1D02PA01指定安全需求165.2.2D02PA02评估影响195.2.3D02PA03评估威胁215.2.4D02PA04评估脆弱性235.2.5D02PA05评估安全风险255.2.6D02PA06提供安全输入275.
3、2.7D02PA07识别资产305.3D03实施与交付315.3.1DO3PA01获取资源315.3.2D03PA02管理实施过程335.3.3D03PA03建立保证论据345.3.4D03PA04验证和证实安全365.3.5D03PA05确保交付385.4D04监视与支持395.4.1D04PA01定义服务水平395.4.2D04PA02监视安全态势405.4.3D04PA03管理服务台435.4.4D04PA04管理问题445.4.5D04PA05管理物理环境455.4.6D04PA06管理数据465.4.7D04PA07管理操作475.4.8D04PA08管理性能与容量495.4.9D0
4、4PA09管理配置495.4.10D04PA10确保业务连续性515.5D05检查与改进525.5.1D05PA01执行安全检查525.5.2D05PA02实施与跟踪改进535.5.3D05PA03实施培训536信息安全服务能力级别566.1能力级别1基本执行566.1.1摘要描述566.1.2公共特征列表566.2能力级别2计划跟踪576.2.1摘要描述576.2.2公共特征列表576.3能力级别3充分定义576.3.1摘要描述576.3.2公共特征列表576.4能力级别4量化控制586.4.1摘要描述586.4.2公共特征列表586.5能力级别5连续改进586.5.1摘要描述586.5.2
5、公共特征列表597信息安全服务能力评定59附录A(资料性附录)信息安全服务类型62参考文献64前言本部分按照GB/T 1.1-2009给出的规则起草,并考虑到国内环境与信息安全行业的实际情况,同时结合GB/T 20261-2006、ISO/IEC 20000-2011、COBIT 4.1、NIST SP800系列等国际或区域标准制定而成。本标准按照GB/T 1.1-2009给出的规则起草。请注意本标准的某些内容可能涉及到专利,本标准的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。本标准主要起草单位:中国信息安全测评中心。本标准主要起草
6、人:张利、佟鑫、姚轶崭、班晓芳、王琰、刘作康、陆丽、任育波、吴慎夕等。引言本标准的目的是对提供信息安全服务的组织进行能力评估,为国家有关主管部门评估信息安全服务能力提供技术依据。本标准的评估对象是提供信息安全服务的组织,包括信息安全工程的设计、施工及其相关的咨询和培训组织。本标准分为以下几个章节:第章,介绍标准的范围,说明本标准的编制目的、目标读者和适用范围等内容。第2和3章,分别说明本标准的规范性引用文件、术语和定义。第4章,文档结构,信息安全服务过程模型和能力评定原则第5章,信息安全服务过程,将信息安全服务分为组织与战略、规划与设计、实施与交付、监视与支持、检查与改进5个过程域。第6章,信
7、息安全服务能力级别,将信息安全服务能力级分为基本执行级、计划跟踪级、充分定义级、量化控制级、连续改进级5个服务能力级别,并针对每个服务能力级定义相应的公共特征(CF)。附录A,资料性附录,介绍信息安全服务类型的种类和定义。信息安全服务能力评估准则1 范围本标准制定了信息安全服务行业对于服务提供能力的评估标准,并对标准内容和具体实践提供了明确的定义和指导意见。既可用于对信息安全服务提供商的能力进行评估,也可为服务提供商对于自身能力的改善提供指导。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有
8、的修改单)适用于本文件。GB/T 20984-2007 信息安全风险评估规范3 术语、定义和缩略语GB/T 5271.8确立的下列术语和定义适用于此标准。3.1过程域 Process area 一个过程域(PA)是一组相关系统工程过程的性质,当这些性质全部实施后则能够达到过程域定义的目的。3.2基本实践 Base pratices 一个过程域由基本实践(BP)组成。这些基本实践是系统工程过程中必须存在的性质,只有当所有这些性质完全实现后,才可说满足了这个过程域的要求。3.3能力等级(Ability level)流程领域内流程改善达到的程度,能力等级由流程领域内适当的特定及一般执行方法所定义。3
9、.4基准 (Benchmark)经正式审查及同意的一组规格或工作产品,据以用作未来发展的基础,而且仅能由变更管制程序变更。3.5能力成熟度模型(Capability maturity model)模型包含一个或多个专业领域的有效流程的基本元件。它也描述渐进的改善途径,从不成熟的流程到具有改善品质及有效性的有纪律的成熟模型。3.6纠正措施(Corrective measures)修复某种状态、除去错误或调整状态的行动或行为。3.7资料(Information)无论记录的形式和方法的记录资讯,包括技术资料、电脑软件、财务咨询、管理资讯、事实、任何能够沟通、存储与处理的数量或数据3.8信息安全服务(
10、Information security service) 面向组织或个人的各类信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全过程或任务。通常是基于信息安全技术、产品或管理体系的,通过外包的形式,由专业信息安全人员所提供的支持和帮助。3.9信息安全服务提供方(Information security service provider) 按照服务协议,通过专业的信息安全人员提供信息安全服务的各类组织机构。信息安全服务提供方在每项具体的服务中,其服务角色和服务职责应该是明确的。如果服务内容仅涉及供需双方的,则服务提供方为乙方角色;在上述服务的基础上,就所涉及的问题,独立于有关各方提
11、供评估、证明等服务并承担相关社会责任的,则服务提供方为第三方角色。服务角色与服务提供方的组织机构类型无关。3.10信息安全服务需求方 (Information security service demander)有偿采购(或免费使用)外部所提供的信息安全服务,以满足信息系统安全保障需求,实现自身业务目标的组织(或个人用户)。3.11信息安全服务能力(Information safety service ability)是指信息安全服务提供方能够满足需求方规定和潜在需求的特征和特性的程度。3.12信息安全服务能力级别(Information safety service level) 信息安全服
12、务能力级别是指提供信息安全服务的组织在完成工程、服务项目时,执行组织已定义过程的能力成熟程度。3.13变更管理(Managerment of change )谨慎使用各种方法,已达成产品或服务的变更或建议的变更。3.14项目(Project)项目是各种实施活动和资源的总和,这些实施活动和资源用于开发或维护一个特定的产品或提供一种服务。产品可能包括硬件、软件及其它部件。一个项目往往有自己的资金,成本帐目和交付时间表。为了生产产品或提供服务,一个项目可以组成自己专门的组织,或是由组织建立成一个项目组、特别工作组或其它实体。3.15过程(Process)一个过程是指为了一个给定目的而执行的一系列活动
13、。这些活动可以重复、递归和并发地执行。有的活动将输入工作产品转换为输出工作产品提供给其它活动。输入工作产品和资源的可用性以及管理控制制约着允许的活动执行顺序。一个充分定义的过程包括活动定义、每个活动的输入输出定义以及控制活动执行的机制。3.16过程能力(Process capability)过程能力是遵循一个过程可达到的可量化范围。一个组织的过程能力可帮助预见项目目标的能力。低能力级别组织的项目在达到预定的成本、进度、功能和质量目标上会有很大的变化。3.17过程管理(Process management)过程管理是一系列用于预见、评价和控制过程执行的活动和基础设施。过程管理意味着过程已定义好。
14、注重过程管理含义是项目或组织需在计划、执行、评价、监控和校正活动中既要考虑产品相关因素,也要考虑过程相关因素。3.18系统(System)在本标准中,系统是指事物或部件的汇集形成了一个复杂或单一整体(即一个用来完成一个特定或一组功能组件的集合)。一个系统可以是一个硬件产品、硬软件组合产品、软件产品或是一种服务。当说某个产品是一个系统时意味着必须以规范化和系统化的方式对待产品的所有组成元素及接口,以便满足商务实体开发产品的成本、进度及性能(包括安全)的整体目标。3.19安全工程(Safety engineering)安全工程是一个不断发展的领域,是一组与安全相关的工程过程的集合,它应满足一组安全
15、要求,并应用到系统和应用的开发、集成、操作、管理、维护和改进以及产品的开发、交付和升级中。安全工程能够在一个系统、一个产品或一个服务的安全考虑中得到体现。3.20服务水平协议(Services level agreement)一种由服务提供商与用户签署的法律文件,其中承诺只要用户向服务供应商支付相应费用,就应享受到服务供应商提供的相应服务质量。3.21安全工程生命期(Safety engineering life cycle)是指在一个项目或系统中,安全工程从启动到终止的完整过程。在整个安全工程生命期中执行的安全工程活动包括:a) 前期概念b) 概念开发和定义c) 证明与证实d) 工程实施、开
16、发和制造e) 生产和部署f) 运行和支持g) 终止3.22工作产品(Work products)工作产品是指在执行任何过程中产生出的所有文档、报告、文件、数据等。本标准按特定的基本实践列出其“典型的工作产品”,其目的在于对所需的基本实践范围可做进一步定义。列举的工作产品只是说明性的,目的在于反映组织机构和产品的范围。这些典型的工作产品不是“强制”的产品。3.23 缩略语PA过程域Process AreaBP基本实践Base PracticesGP通用实践Generic PracticesCF公共特征Common Function4 概述4.1 信息安全服务过程模型从组织信息安全治理角度,描述信
17、息安全服务过程模型如下:图1 信息安全服务过程模型组织战略是信息安全活动的基础,各信息安全活动涵盖在信息系统规划设计、实施交付、监视支持生命周期的各阶段,并通过有效的检查和改进机制,提升组织信息安全管理能力。4.1.1 组织战略组织战略作为信息安全服务过程模型的中心环节,是本模型的重要组成并处于主导地位。信息安全服务提供者通过对本标准的学习和认识,建立有效的、全面的安全制度和管理规定,全面覆盖规划设计、实施交付、监视支持、检查改进等各个环节,确保其符合本标准的相关要求。4.1.2 规划设计从客户战略出发,以客户需求为中心,参考组织管理与本标准中对信息安全的规定,对其进行全面系统的规划设计,并建
18、立业务战略、IT战略和安全服务之间清晰的匹配和连接关系。规划设计阶段需要根据业务战略、运营模式及业务流程的特点确定所需要的业务服务组件,为安全服务的部署实施做好准备,以确保为最终客户提供满足其需求的服务。4.1.3 实施交付在规划设计的基础上,依据本标准建立管理体系、部署专用工具及服务解决方案。实施完成后根据其结果,依据本标准要求,实现服务与业务的有机结合。重点包括业务运营和IT运营,主要采用过程方法,对基础设施、服务流程、人员和业务连续性进行全面管理。4.1.4 监视支持在交付过程中,应根据本标准要求,对业务运营和IT运营等交付措施过程进行记录。并确保交付记录的实时性、可追溯性、完整性以及可
19、用性。还应根据客户的需求采用外包、供应商等形式在可控的情况下完善信息安全服务的交付过程。4.1.5 检查改进检查与改进过程伴随着整个信息安全服务生命周期的始终。依据本标准中的规定,检查改进过程伴随着组织管理、规划设计、实施交付、监视支持的方方面面。通过对监视支持产生的记录进行详细的分析,并结合本标准的内容,对现有规章制度、规划设计、交付过程和支持手段进行改进和完善,且应采用可控制、可记录的手段来完成这一过程。4.2 能力评定原则4.2.1 综合考虑原则信息安全服务能力级别的划分必须对组织的综合能力进行考察,它主要与组织的技术实力、信息安全服务能力等级以及其他要求有关。4.2.2 可裁剪原则安全
20、服务有多种类型,对不同类型的安全服务可进行适当的裁剪,同时可灵活定义新的服务类型。4.2.3 符合性原则必须遵从国家有关主管部门颁布的相关法律、法规、规章、制度、与相关网络与信息安全标准相一致。4.2.4 可操作性原则应考虑国内安全服务商以及安全服务市场的实际情况,保证标准客观、实际、可操作性。5 信息安全服务过程5.1 D01组织战略5.1.1 D01PA01制定信息安全章程5.1.1.1 概述信息安全章程是信息安全管理的方针,制定信息安全章程,需要明确安全管理目标、宗旨,确定并定义安全管理范围,符合相关法律法规要求,并建立适用性声明。信息安全章程应定期评审其合理性和适用性。5.1.1.2
21、目标建立清晰的安全方针指导,并在整个组织中颁布实施,从而支持组织信息安全活动。5.1.1.3 过程域注解无。5.1.1.4 基本实践清单a) BP010101 明确安全管理目的、宗旨b) BP010102 定义安全边界和范围c) BP010103遵从法规、合约与安全要求d) BP010104 建立适用性声明e) BP010105管理层评审5.1.1.5 BP010101 明确安全管理目的、宗旨5.1.1.5.1 描述安全管理的宗旨、权力和职责应在章程中进行定义并获取认可。章程应:a) 确定安全管理活动在组织中的地位;b) 授权人员接触与开展工作相关的记录、人员和实物财产;c) 规定安全管理活动
22、的范围;d) 证据以书面形式存在并批准;e) 定期评价章程中所规定的宗旨、权力和职责是否足以使安全管理活动实现其目标。这种定期评价的结果必须通报高级管理层。5.1.1.5.2 工作产品a) 信息安全管理章程。5.1.1.6 BP010102 定义安全管理范围5.1.1.6.1 描述应根据组织目标与安全需求,结合业务特点、组织结构、位置、资产和技术,确定安全管理的边界与范围。5.1.1.6.2 工作产品a) 信息安全管理范围。5.1.1.7 BP010103遵从法规、合约与安全要求5.1.1.7.1 描述安全管理首先要求考虑区域法律、行业规章、机构规定、合同等方面的要求,并综合考虑系统的安全需求
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术 信息安全服务能力评估准则 信息安全技术 信息安全服务能力评估准则征求意见稿 信息 安全技术 安全 服务 能力 评估 准则 征求意见