信息安全技術(shù)-信息安全服務(wù)定義和分類

1、信息安全技術(shù)信息安全服務(wù)定義和分類Information security technology -Definition and category of information security service目次 TOC h z t前言、引言標(biāo)題,1,參考文獻(xiàn)、索引標(biāo)題,1,章標(biāo)題,1,參考文獻(xiàn),1,附錄標(biāo)識(shí),1,一級(jí)條標(biāo)題, 3 * MERGEFORMAT HYPERLINK l _Toc312675714 前言 PAGEREF _Toc312675714 h II HYPERLINK l _Toc312675715 1范圍 PAGEREF _Toc312675715 h 1 HYPERL

2、INK l _Toc312675716 2規(guī)范性引用文件 PAGEREF _Toc312675716 h 1 HYPERLINK l _Toc312675717 3術(shù)語(yǔ)和定義 PAGEREF _Toc312675717 h 1 HYPERLINK l _Toc312675738 4信息安全服務(wù)分類 PAGEREF _Toc312675738 h 3 HYPERLINK l _Toc312675739 5信息安全咨詢服務(wù) PAGEREF _Toc312675739 h 4 HYPERLINK l _Toc312675740 5.1概述 PAGEREF _Toc312675740 h 4 HYPE

3、RLINK l _Toc312675741 5.2信息安全規(guī)劃 PAGEREF _Toc312675741 h 4 HYPERLINK l _Toc312675742 5.3信息安全管理體系咨詢 PAGEREF _Toc312675742 h 4 HYPERLINK l _Toc312675743 5.4信息安全風(fēng)險(xiǎn)評(píng)估 PAGEREF _Toc312675743 h 4 HYPERLINK l _Toc312675744 5.5信息安全應(yīng)急管理咨詢 PAGEREF _Toc312675744 h 4 HYPERLINK l _Toc312675745 5.6業(yè)務(wù)連續(xù)性管理咨詢 PAGEREF

4、 _Toc312675745 h 5 HYPERLINK l _Toc312675746 6信息安全實(shí)施服務(wù) PAGEREF _Toc312675746 h 5 HYPERLINK l _Toc312675747 6.1概述 PAGEREF _Toc312675747 h 5 HYPERLINK l _Toc312675748 6.2信息安全設(shè)計(jì) PAGEREF _Toc312675748 h 5 HYPERLINK l _Toc312675749 6.3信息安全產(chǎn)品部署 PAGEREF _Toc312675749 h 5 HYPERLINK l _Toc312675750 6.4信息安全開發(fā)

5、 PAGEREF _Toc312675750 h 6 HYPERLINK l _Toc312675751 6.5信息安全加固和優(yōu)化 PAGEREF _Toc312675751 h 6 HYPERLINK l _Toc312675752 6.6信息安全檢查和測(cè)試 PAGEREF _Toc312675752 h 6 HYPERLINK l _Toc312675753 6.7信息安全監(jiān)控 PAGEREF _Toc312675753 h 6 HYPERLINK l _Toc312675754 6.8信息安全應(yīng)急處理 PAGEREF _Toc312675754 h 6 HYPERLINK l _Toc3

6、12675755 6.9信息安全通告 PAGEREF _Toc312675755 h 7 HYPERLINK l _Toc312675756 6.10備份和恢復(fù) PAGEREF _Toc312675756 h 7 HYPERLINK l _Toc312675757 6.11數(shù)據(jù)修復(fù) PAGEREF _Toc312675757 h 7 HYPERLINK l _Toc312675758 6.12電子認(rèn)證服務(wù) PAGEREF _Toc312675758 h 7 HYPERLINK l _Toc312675759 6.13信息安全監(jiān)理 PAGEREF _Toc312675759 h 7 HYPERL

7、INK l _Toc312675760 6.14信息安全審計(jì) PAGEREF _Toc312675760 h 7 HYPERLINK l _Toc312675761 7信息安全培訓(xùn)服務(wù) PAGEREF _Toc312675761 h 7 HYPERLINK l _Toc312675762 8信息安全服務(wù)特點(diǎn) PAGEREF _Toc312675762 h 8 HYPERLINK l _Toc312675763 附錄A（規(guī)范性附錄）信息安全服務(wù)的采購(gòu) PAGEREF _Toc312675763 h 9 HYPERLINK l _Toc312675764 附錄B（資料性附錄）信息安全服務(wù)與信息系統(tǒng)

8、生命周期的對(duì)應(yīng)關(guān)系 PAGEREF _Toc312675764 h 11 HYPERLINK l _Toc312675765 參考文獻(xiàn) PAGEREF _Toc312675765 h 12信息安全技術(shù) 信息安全服務(wù) 定義和分類范圍本標(biāo)準(zhǔn)界定了信息安全服務(wù)的定義；給出了信息安全服務(wù)的基本類別，主要包括信息安全咨詢服務(wù)、信息安全實(shí)施服務(wù)、信息安全培訓(xùn)服務(wù)。本標(biāo)準(zhǔn)適用于信息安全行業(yè)對(duì)信息安全服務(wù)概念的理解和分類管理，適用于信息安全服務(wù)的開發(fā)、提供、選用和采購(gòu)。本標(biāo)準(zhǔn)不適用于僅依附于某一信息安全產(chǎn)品的服務(wù)（如：信息安全產(chǎn)品的使用、維保等服務(wù)）。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注

9、日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 5271.8-2001信息技術(shù) 詞匯 第8部分：安全術(shù)語(yǔ)和定義GB/T 5271.8-2001中界定的以及下列術(shù)語(yǔ)和定義適用于本文件。信息安全服務(wù) information security service面向組織或個(gè)人的各類信息安全保障需求，由服務(wù)提供方按照服務(wù)協(xié)議所執(zhí)行的一個(gè)信息安全過(guò)程或任務(wù)。通常是基于信息安全技術(shù)、產(chǎn)品或管理體系的，通過(guò)外包的形式，由專業(yè)信息安全人員所提供的支持和幫助。信息安全服務(wù)需求方 information security service de

10、mander有償采購(gòu)（或免費(fèi)使用）外部所提供的信息安全服務(wù)，以滿足信息系統(tǒng)安全保障需求，實(shí)現(xiàn)自身業(yè)務(wù)目標(biāo)的組織（或個(gè)人用戶）。信息安全服務(wù)提供方 information security service provider按照服務(wù)協(xié)議，通過(guò)專業(yè)的信息安全人員提供信息安全服務(wù)的各類組織機(jī)構(gòu)。信息安全服務(wù)提供方在每項(xiàng)具體的服務(wù)中，其服務(wù)角色和服務(wù)職責(zé)應(yīng)該是明確的。如果服務(wù)內(nèi)容僅涉及供需雙方的，則服務(wù)提供方為乙方角色；在上述服務(wù)的基礎(chǔ)上，就所涉及的問(wèn)題，獨(dú)立于有關(guān)各方提供評(píng)估、證明等服務(wù)并承擔(dān)相關(guān)社會(huì)責(zé)任的，則服務(wù)提供方為第三方角色。服務(wù)角色與服務(wù)提供方的組織機(jī)構(gòu)類型無(wú)關(guān)。服務(wù)協(xié)議 service c

11、ontract服務(wù)需求方和服務(wù)提供方在服務(wù)開始前共同達(dá)成的約定，并在服務(wù)過(guò)程中共同遵守。通常應(yīng)包含服務(wù)原則、服務(wù)內(nèi)容、服務(wù)形式、服務(wù)級(jí)別協(xié)議、服務(wù)價(jià)格、服務(wù)交付物、服務(wù)安全要求等，在形成上可以是服務(wù)合同及其附屬的工作說(shuō)明書。服務(wù)類別 service category一組具有共同目標(biāo)對(duì)象和服務(wù)特征的、但側(cè)重點(diǎn)可能不同的服務(wù)組件的集合。服務(wù)組件 service component可包含在服務(wù)協(xié)議中的最小可選服務(wù)。服務(wù)實(shí)例 service instance為滿足某一確定的安全保障目的而組合在一起的，一組可重用的服務(wù)組件。信息安全咨詢服務(wù) information security consulting

12、 service面向組織的信息安全服務(wù)，圍繞組織信息系統(tǒng)所支持的業(yè)務(wù)和管理，通過(guò)知識(shí)傳遞、工作輔導(dǎo)和系統(tǒng)規(guī)劃等形式提供信息安全服務(wù)。信息安全實(shí)施服務(wù) information security implementation service面向組織或個(gè)人用戶的信息安全服務(wù)，圍繞組織信息系統(tǒng)或個(gè)人信息設(shè)備，及其基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用和信息數(shù)據(jù)的安全和可用，通過(guò)人力派遣、設(shè)施租用、流程外包等形式提供信息安全服務(wù)。信息安全培訓(xùn)服務(wù) information security training service面向組織內(nèi)人員或個(gè)人的信息安全服務(wù)，圍繞信息安全意識(shí)、技術(shù)、管理等方面，通過(guò)授課、實(shí)操、考核等形成提供信

13、息安全服務(wù)。信息安全服務(wù)分類本標(biāo)準(zhǔn)采用“服務(wù)類別-服務(wù)組件”這種層次結(jié)構(gòu)來(lái)描述服務(wù)分類。信息安全服務(wù)分類的原則是：將相對(duì)獨(dú)立的服務(wù)盡量細(xì)分為服務(wù)組件，將具有相同或相近服務(wù)界面（服務(wù)目標(biāo)對(duì)象、服務(wù)供需關(guān)系、服務(wù)特征和服務(wù)質(zhì)量要素等）的服務(wù)組件歸并為同一服務(wù)類別。本標(biāo)準(zhǔn)采用層次代碼結(jié)構(gòu)，共分二層，第一層采用一位字母表示信息安全服務(wù)類別，第二層采用兩位數(shù)字表示信息安全服務(wù)組件，第二層中數(shù)字為“99”均表示收容類目。代碼的表示形式如下：表1 信息安全服務(wù)分類服務(wù)類別服務(wù)組件目標(biāo)對(duì)象代碼名稱代碼名稱A信息安全咨詢服務(wù)A01信息安全規(guī)劃組織的信息系統(tǒng)及其所支持的業(yè)務(wù)和管理A02信息安全管理體系咨詢A03信

14、息安全風(fēng)險(xiǎn)評(píng)估A04信息安全應(yīng)急管理咨詢A05業(yè)務(wù)連續(xù)性管理咨詢A99其他信息安全咨詢服務(wù)B信息安全實(shí)施服務(wù)B01信息安全設(shè)計(jì)組織的信息系統(tǒng)；個(gè)人的信息設(shè)備B02信息安全產(chǎn)品部署B(yǎng)03信息安全開發(fā)B04信息安全加固和優(yōu)化B05信息安全檢查和測(cè)試B06信息安全監(jiān)控B07信息安全應(yīng)急處理B08信息安全通告B09備份和恢復(fù)B10數(shù)據(jù)修復(fù)B11電子認(rèn)證服務(wù)B12信息安全監(jiān)理B13信息安全審計(jì)B99其他信息安全實(shí)施服務(wù)C信息安全培訓(xùn)服務(wù)C01信息安全培訓(xùn)信息安全相關(guān)人員Z其他信息安全服務(wù)基于這種分類，信息安全服務(wù)均可以服務(wù)實(shí)例的形式，由一個(gè)或多個(gè)服務(wù)類別或者（及其）服務(wù)組件所構(gòu)成，某些還可能包含本標(biāo)準(zhǔn)不

15、涉及的其他擴(kuò)展的服務(wù)。典型的信息安全服務(wù)實(shí)例有以下十種類型：安全咨詢、風(fēng)險(xiǎn)評(píng)估、安全集成、安全運(yùn)維、應(yīng)急處理、災(zāi)難恢復(fù)、安全培訓(xùn)、安全測(cè)評(píng)、安全監(jiān)理、安全審計(jì)。典型的信息安全服務(wù)實(shí)例與其可能包含的服務(wù)組件之間的關(guān)系參見(jiàn)附錄A。信息安全咨詢服務(wù)概述信息安全咨詢服務(wù)的服務(wù)界面為：a) 服務(wù)對(duì)象面向組織的信息系統(tǒng)及其支持的業(yè)務(wù)和管理。b) 服務(wù)供需服務(wù)提供方提供信息安全領(lǐng)域的知識(shí)傳遞、工作輔導(dǎo)、系統(tǒng)規(guī)劃等服務(wù)內(nèi)容，以滿足組織對(duì)外部“專業(yè)知識(shí)”的需求，從而提高自身的信息安全管理、規(guī)劃、分析和決策能力。c) 服務(wù)特征基于組織整體的使命和業(yè)務(wù)，以人力的方式提供相關(guān)咨詢，服務(wù)交付物通常是一些文檔。d) 服務(wù)

16、質(zhì)量首先取決于服務(wù)人員的專業(yè)知識(shí)、經(jīng)驗(yàn)的豐富程度，其次取決于服務(wù)人員的理解、分析和溝通等綜合能力。服務(wù)人員與組織內(nèi)有關(guān)人員（尤其是信息安全責(zé)任部門人員）的有效交互過(guò)程是咨詢服務(wù)成敗的關(guān)鍵。e) 服務(wù)組件包括：信息安全規(guī)劃、信息安全管理體系咨詢、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全應(yīng)急管理咨詢、業(yè)務(wù)連續(xù)性管理咨詢等。信息安全規(guī)劃信息安全規(guī)劃主要是從組織核心業(yè)務(wù)、核心價(jià)值出發(fā)，根據(jù)組織的發(fā)展戰(zhàn)略，通過(guò)風(fēng)險(xiǎn)評(píng)估等方式提取組織的安全需求，對(duì)相應(yīng)的安全保障目標(biāo)、任務(wù)、措施和步驟進(jìn)行規(guī)劃。信息安全規(guī)劃應(yīng)站在組織整體的角度，從策略、組織、管理、技術(shù)、資源等多方面進(jìn)行綜合考慮，涉及綜合管理、技術(shù)規(guī)范、工程建設(shè)、運(yùn)行維護(hù)

17、等多個(gè)層面。信息安全規(guī)劃的成果，是組織在一段時(shí)間內(nèi)開展信息安全保障工作的依據(jù)。信息安全管理體系咨詢信息安全管理體系咨詢主要是依照國(guó)際或國(guó)家信息安全管理體系相關(guān)標(biāo)準(zhǔn)，基于業(yè)務(wù)風(fēng)險(xiǎn)方法，通過(guò)定義范圍和方針、業(yè)務(wù)分析、風(fēng)險(xiǎn)評(píng)估、設(shè)計(jì)、實(shí)施等步驟，面向組織建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的體系。信息安全管理體系是一個(gè)組織整個(gè)管理體系的一部分，應(yīng)包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、規(guī)程、過(guò)程和資源等多個(gè)方面。信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估主要是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，從風(fēng)險(xiǎn)管理角度，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程

18、，通過(guò)評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響，并提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)以及廢棄各個(gè)階段。信息安全應(yīng)急管理咨詢信息安全應(yīng)急管理咨詢主要是針對(duì)各類各級(jí)信息安全事件，從應(yīng)急管理角度，通過(guò)編制應(yīng)急預(yù)案和指導(dǎo)應(yīng)急演練，面向組織建立信息安全應(yīng)急管理體系，不斷進(jìn)行改進(jìn)和提高，應(yīng)急預(yù)案的內(nèi)容包括：建立組織的應(yīng)急響應(yīng)小組，制定應(yīng)急響應(yīng)流程，建立監(jiān)測(cè)和預(yù)警機(jī)制，落實(shí)應(yīng)急保障資源，制定子預(yù)案及相關(guān)支持文檔，以及指導(dǎo)實(shí)施應(yīng)急處理（見(jiàn)6.8）等。業(yè)務(wù)連續(xù)

19、性管理咨詢業(yè)務(wù)連續(xù)性管理咨詢主要是為保護(hù)組織的核心業(yè)務(wù)、核心價(jià)值，從保障組織的業(yè)務(wù)持續(xù)開展出發(fā)，通過(guò)識(shí)別組織業(yè)務(wù)的連續(xù)性指標(biāo)要求，識(shí)別潛在的威脅和相關(guān)影響，制訂業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃，最終幫助組織建立一套綜合管理流程，形成組織的業(yè)務(wù)保持和恢復(fù)能力，提高組織的風(fēng)險(xiǎn)防范能力，有效地響應(yīng)非計(jì)劃的業(yè)務(wù)破壞并降低不良影響。信息安全實(shí)施服務(wù)概述信息安全實(shí)施服務(wù)的服務(wù)界面為：a) 服務(wù)對(duì)象面向具體的（組織）信息系統(tǒng)或（個(gè)人）信息設(shè)備。b) 服務(wù)供需服務(wù)提供方提供與信息安全相關(guān)的技術(shù)保障、管理保障等直接支撐，以滿足組織（或個(gè)人）對(duì)專業(yè)技能、專業(yè)人員、專業(yè)工具的需求，從而保障信息系統(tǒng)整體或各層面的安全性。

20、c) 服務(wù)特征基于對(duì)信息系統(tǒng)全生命周期的信息安全保障，為系統(tǒng)的建設(shè)和運(yùn)行提供相關(guān)的實(shí)現(xiàn)，對(duì)具有較高的重復(fù)性。d) 服務(wù)質(zhì)量取決于服務(wù)提供方的整體專業(yè)能力和服務(wù)成熟度，主要包括：組織管理、專業(yè)知識(shí)、技術(shù)能力、人員素質(zhì)、工具平臺(tái)、服務(wù)經(jīng)驗(yàn)、外部資源等方面。服務(wù)需求方的積極參與可以提高實(shí)施服務(wù)成效。e) 服務(wù)組件包括：信息安全設(shè)計(jì)、信息安全產(chǎn)品部署、信息安全開發(fā)、信息安全加固和優(yōu)化、信息安全檢查和測(cè)試、信息安全監(jiān)控、信息安全應(yīng)急處理、信息安全通告、備份和恢復(fù)、數(shù)據(jù)修復(fù)、電子認(rèn)證服務(wù)、信息安全監(jiān)理、信息安全審計(jì)等。信息安全設(shè)計(jì)信息安全設(shè)計(jì)主要是針對(duì)信息系統(tǒng)的安全保障需求，對(duì)組織的安全規(guī)劃進(jìn)行落實(shí)，設(shè)計(jì)

21、總體安全策略、制定信息安全建設(shè)方案和實(shí)施方案，并在此基礎(chǔ)上形成安全架構(gòu)、技術(shù)體系和管理體系的設(shè)計(jì)。信息安全設(shè)計(jì)一般可分為頂層設(shè)計(jì)、初步設(shè)計(jì)和詳細(xì)設(shè)計(jì)等不同的服務(wù)交付物。信息安全設(shè)計(jì)還可以包含對(duì)信息安全產(chǎn)品的功能和性能設(shè)計(jì)，以及選型建議。信息安全產(chǎn)品部署信息安全產(chǎn)品部署主要是根據(jù)信息系統(tǒng)安全設(shè)計(jì)方案，對(duì)已采購(gòu)、租用或開發(fā)的信息安全產(chǎn)品進(jìn)行安裝配置、功能調(diào)試和性能測(cè)試，以及對(duì)相關(guān)人員的必要培訓(xùn)等，以達(dá)到預(yù)期的安全要求。一般包括各類信息安全產(chǎn)品的獨(dú)立部署、各自部署或者組合部署（集成部署）。信息安全產(chǎn)品部署還可以包含對(duì)信息安全產(chǎn)品的采購(gòu)，即按照設(shè)計(jì)方案中的要求，依據(jù)相關(guān)主管部門的管理要求，以產(chǎn)品性價(jià)比

22、為原則，完成產(chǎn)品及其后續(xù)服務(wù)的采購(gòu)。信息安全開發(fā)信息安全開發(fā)主要是按照信息安全設(shè)計(jì)方案的安全目標(biāo)和安全功能，對(duì)于一些不能通過(guò)采購(gòu)現(xiàn)有信息安全產(chǎn)品來(lái)滿足的安全需求，通過(guò)定制開發(fā)而予以滿足。信息安全開發(fā)也可以基于已有的信息安全產(chǎn)品進(jìn)行二次開發(fā)。信息安全加固和優(yōu)化信息安全加固主要是針對(duì)組織在實(shí)施風(fēng)險(xiǎn)評(píng)估、安全檢查和測(cè)試過(guò)程中發(fā)現(xiàn)的各種安全風(fēng)險(xiǎn)、系統(tǒng)漏洞和不符合項(xiàng)，依據(jù)既定的信息安全策略，采取措施予以彌補(bǔ)，消除已暴露的問(wèn)題和可能的隱患。信息安全優(yōu)化主要是基于風(fēng)險(xiǎn)評(píng)估等方法，對(duì)現(xiàn)有網(wǎng)絡(luò)和系統(tǒng)架構(gòu)進(jìn)行調(diào)整和優(yōu)化，或?qū)ΜF(xiàn)有設(shè)備的安全策略進(jìn)行設(shè)置和調(diào)整。在實(shí)際服務(wù)中，信息安全加固和信息安全優(yōu)化往往同時(shí)進(jìn)行。信

23、息安全檢查和測(cè)試信息安全檢查主要是針對(duì)組織部署的信息安全技術(shù)措施及其運(yùn)行記錄進(jìn)行檢查或?qū)彶?，?yàn)證安全措施的完整性和有效性，并及時(shí)發(fā)現(xiàn)異?；顒?dòng)和潛在風(fēng)險(xiǎn)。一般包括對(duì)信息系統(tǒng)各層面的運(yùn)行狀態(tài)檢查、配置項(xiàng)檢查、日志分析等，也包括借助專門的安全審計(jì)設(shè)備來(lái)實(shí)施檢查。信息安全檢查還可以包含對(duì)信息安全管理措施和相關(guān)人員的檢查。信息安全測(cè)試主要是針對(duì)信息系統(tǒng)及其產(chǎn)品的安全屬性，采取動(dòng)態(tài)的手段進(jìn)行問(wèn)題發(fā)現(xiàn)、符合性和有效性驗(yàn)證。一般包括信息系統(tǒng)測(cè)試、漏洞掃描和滲透性測(cè)試等。信息系統(tǒng)測(cè)試是指將已經(jīng)確認(rèn)的信息系統(tǒng)組成元素結(jié)合在一起，進(jìn)行各種組裝測(cè)試和確認(rèn)測(cè)試，發(fā)現(xiàn)所開發(fā)的系統(tǒng)與安全需求不符或矛盾的地方，從而提出安全整

24、改方案。漏洞掃描服務(wù)是指借助一些專業(yè)的漏洞掃描工具，發(fā)現(xiàn)信息系統(tǒng)各層面存在的安全漏洞，為信息安全加固提供支持信息。滲透性測(cè)試是指信息安全服務(wù)提供者的專業(yè)人員模擬攻擊行為，對(duì)目標(biāo)系統(tǒng)實(shí)施滲透，意圖找到“非法”進(jìn)入目標(biāo)系統(tǒng)并取得相關(guān)權(quán)限的途徑，從而測(cè)試目標(biāo)系統(tǒng)安全控制措施的有效性。信息安全監(jiān)控信息安全監(jiān)控主要是通過(guò)監(jiān)控工具或平臺(tái)，對(duì)信息系統(tǒng)的環(huán)境、網(wǎng)絡(luò)、主機(jī)、系統(tǒng)和應(yīng)用等進(jìn)行實(shí)時(shí)監(jiān)控，查看各個(gè)系統(tǒng)組件的功能、性能、運(yùn)行狀況等，檢查設(shè)備、系統(tǒng)和應(yīng)用的日志，一旦發(fā)現(xiàn)異常情況，可以采取措施解決，或者啟動(dòng)應(yīng)急響應(yīng)等服務(wù)。信息安全監(jiān)控還可以包含對(duì)信息安全事件的預(yù)警功能。信息安全監(jiān)控一般可以分為現(xiàn)場(chǎng)監(jiān)控和遠(yuǎn)程

25、監(jiān)控兩種方式。現(xiàn)場(chǎng)監(jiān)控是由服務(wù)提供方的駐場(chǎng)人員為組織承擔(dān)系統(tǒng)維護(hù)和管理的任務(wù)，對(duì)組織的信息系統(tǒng)實(shí)施監(jiān)控。遠(yuǎn)程監(jiān)控是由服務(wù)提供方在遠(yuǎn)程的安全運(yùn)行中心（SOC）中進(jìn)行，一般需要有加密的網(wǎng)絡(luò)連接，并在組織的信息系統(tǒng)上安裝一些監(jiān)控軟件。信息安全應(yīng)急處理信息安全應(yīng)急處理主要是根據(jù)組織信息安全應(yīng)急管理體系，針對(duì)各類突發(fā)信息安全事件，提供實(shí)施層面的應(yīng)急響應(yīng)和應(yīng)急演練。應(yīng)急響應(yīng)是對(duì)已發(fā)生的各類信息安全事件作出快速響應(yīng)，及時(shí)而有效進(jìn)行事件處理，最大程度上減少損失和該事件造成的消極影響，響應(yīng)的方式可以按事件特點(diǎn)和級(jí)別，可以分為現(xiàn)場(chǎng)和遠(yuǎn)程兩種。應(yīng)急演練是根據(jù)組織已有的應(yīng)急預(yù)案，在設(shè)備、系統(tǒng)、業(yè)務(wù)、組織等不同層面進(jìn)行

26、測(cè)試和演練，從而提高組織的應(yīng)對(duì)各類突發(fā)信息安全事件的能力，演練的方式可分為桌面演練、模擬演練和實(shí)戰(zhàn)演練。信息安全通告信息安全通告主要是在通告服務(wù)提供方與服務(wù)需求方之間，建立一種緊密的信息發(fā)布和溝通渠道，以便最新的信息安全信息能夠被組織或個(gè)人獲知，并及時(shí)采取控制措施來(lái)預(yù)防自身信息安全事件的發(fā)生。信息安全通告的服務(wù)提供方可以是權(quán)威專業(yè)組織、IT產(chǎn)品廠商或信息安全廠商等。安全通告服務(wù)的內(nèi)容主要包括：漏洞信息、威脅信息、病毒信息、預(yù)警消息、重大事件和問(wèn)題通告等，以及相應(yīng)的解決方案。備份和恢復(fù)備份和恢復(fù)是為了防止信息系統(tǒng)及其應(yīng)用和數(shù)據(jù)等，因信息安全事件或?yàn)?zāi)難而造成的丟失或損壞，從而在原文中獨(dú)立出來(lái)單獨(dú)存

27、儲(chǔ)的程序或文件副本，并在系統(tǒng)出現(xiàn)故障或癱瘓時(shí)，能夠及時(shí)恢復(fù)系統(tǒng)及其應(yīng)用和數(shù)據(jù)，將信息系統(tǒng)從故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)、并將其支持的業(yè)務(wù)功能從不正常狀態(tài)恢復(fù)到可接受狀態(tài)。備份和恢復(fù)還應(yīng)包括對(duì)備份介質(zhì)和鏈路的定期測(cè)試、恢復(fù)的定期演練。數(shù)據(jù)修復(fù)數(shù)據(jù)修復(fù)服務(wù)主要指對(duì)由有害程序、系統(tǒng)故障、誤操作、升級(jí)或安裝軟件錯(cuò)誤、人為故意破壞等安全事件造成的邏輯損壞或數(shù)據(jù)丟失，或由電擊、水淹、火燒、震蕩、撞擊、機(jī)械故障等意外事故造成物理?yè)p壞或數(shù)據(jù)丟失，而進(jìn)行數(shù)據(jù)搶救和修復(fù)的專業(yè)服務(wù)。電子認(rèn)證服務(wù)電子認(rèn)證服務(wù)主要指電子認(rèn)證機(jī)構(gòu)所提供的申請(qǐng)人身份核實(shí)、簽發(fā)和管理證書、證書目錄查詢和證書狀態(tài)查詢、維護(hù)證書失效列表、

28、發(fā)布時(shí)間標(biāo)簽、數(shù)據(jù)電文可靠性等服務(wù)。電子認(rèn)證服務(wù)的本質(zhì)在于電子認(rèn)證機(jī)構(gòu)為證書擁有人所提供的一種網(wǎng)絡(luò)身份及電子簽名的真實(shí)性、有效性保證。信息安全監(jiān)理信息安全監(jiān)理主要是指信息安全工程監(jiān)理，即具有相關(guān)資質(zhì)的監(jiān)理單位受信息安全工程建設(shè)單位的委托，依據(jù)國(guó)家批準(zhǔn)的信息化工程項(xiàng)目建設(shè)文件、有關(guān)工程建設(shè)的法律法規(guī)和工程建設(shè)監(jiān)理合同及其他工程建設(shè)合同，尤其是依據(jù)信息安全方面的標(biāo)準(zhǔn)和要求，在工程建設(shè)各階段向建設(shè)單位提供相關(guān)咨詢，并協(xié)助建設(shè)單位對(duì)承建單位在工程建設(shè)中的信息安全實(shí)施服務(wù)，實(shí)施控制和管理的一種專業(yè)化服務(wù)活動(dòng)。信息安全監(jiān)理還可以包括對(duì)信息系統(tǒng)運(yùn)維階段的其他信息安全實(shí)施服務(wù)進(jìn)行監(jiān)理。信息安全審計(jì)信息安全審計(jì)

29、主要是針對(duì)與信息安全有關(guān)的活動(dòng)，從外部獨(dú)立進(jìn)行相關(guān)信息的識(shí)別、記錄、存儲(chǔ)和分析，確保各項(xiàng)活動(dòng)符合組織已建立的安全策略和操作過(guò)程，并評(píng)估它們的有效性和準(zhǔn)確性，發(fā)現(xiàn)安全違規(guī)，掌握安全狀態(tài)，提出改進(jìn)建議。信息安全審計(jì)的具體對(duì)象是在組織的信息安全層面上，技術(shù)和管理、物理和邏輯等方面的控制措施，包括對(duì)數(shù)據(jù)中心物理安全、信息系統(tǒng)脆弱性、應(yīng)用系統(tǒng)安全、數(shù)據(jù)庫(kù)邏輯安全，以及組織的信息安全合規(guī)性等進(jìn)行審核。信息安全培訓(xùn)服務(wù)信息安全培訓(xùn)服務(wù)的服務(wù)界面為：a) 服務(wù)對(duì)象面向信息安全相關(guān)人員。b) 服務(wù)供需服務(wù)提供方提供信息安全意識(shí)、技術(shù)、管理、體系、工程、法律、政策和標(biāo)準(zhǔn)等方面的培訓(xùn)內(nèi)容，以滿足提高信息安全意識(shí)、完

30、善信息安全知識(shí)、掌握信息安全技能的需求，從而提高相關(guān)人員的信息安全能力水平。c) 服務(wù)特征基于培訓(xùn)目的，結(jié)合培訓(xùn)規(guī)模、人員基礎(chǔ)知識(shí)、培訓(xùn)時(shí)間、培訓(xùn)條件等情況，對(duì)培訓(xùn)內(nèi)容、培訓(xùn)方式、考核方式等作出針對(duì)性的培訓(xùn)計(jì)劃，并通過(guò)授課、實(shí)操、考核等方式予以實(shí)施。d) 服務(wù)質(zhì)量取決于培訓(xùn)的針對(duì)性、科學(xué)性和實(shí)效性。對(duì)面向組織的統(tǒng)一培訓(xùn)，培訓(xùn)服務(wù)提供方還應(yīng)在培訓(xùn)結(jié)束后，提供培訓(xùn)效果分析報(bào)告，以便組織掌握培訓(xùn)情況并對(duì)培訓(xùn)工作持續(xù)改進(jìn)。e) 服務(wù)組件包括：針對(duì)信息安全專業(yè)人員的資質(zhì)培訓(xùn)、針對(duì)服務(wù)需求方特定要求的定制培訓(xùn)等。信息安全服務(wù)特點(diǎn)本標(biāo)準(zhǔn)所涉及的信息安全服務(wù)除了信息技術(shù)服務(wù)所具有的共同特點(diǎn)之外，還具有如下特點(diǎn)

31、：不依附于某一單獨(dú)的、具體的、批量生產(chǎn)的信息安全產(chǎn)品；就某項(xiàng)具體的服務(wù)而言，信息安全服務(wù)提供方只能以乙方或第三方的一種角色出現(xiàn)；針對(duì)不同的信息安全保障需求，信息安全服務(wù)提供方可提供不同服務(wù)內(nèi)容的組合；信息安全服務(wù)的形式可以分為現(xiàn)場(chǎng)服務(wù)、遠(yuǎn)程聯(lián)機(jī)服務(wù)、遠(yuǎn)程非聯(lián)機(jī)服務(wù)等；信息安全服務(wù)提供方應(yīng)保證其服務(wù)人員、過(guò)程和工具的可信和可控；信息安全服務(wù)需求方的信息安全責(zé)任部門（或個(gè)人自身）應(yīng)承擔(dān)對(duì)服務(wù)的采購(gòu)、管理等責(zé)任；信息安全服務(wù)提供方應(yīng)接受國(guó)家信息安全管理部門的行業(yè)管理。（規(guī)范性附錄）信息安全服務(wù)的采購(gòu)信息安全服務(wù)采購(gòu)要素采購(gòu)時(shí)機(jī)信息安全工作是組織信息化工作的重要組成部分，貫穿組織信息系統(tǒng)整個(gè)生命周期，

32、因此在整個(gè)信息系統(tǒng)的生命周期中，組織都會(huì)根據(jù)信息安全保障需求采購(gòu)信息安全服務(wù)，見(jiàn)附錄B。根據(jù)業(yè)界實(shí)踐：在信息系統(tǒng)規(guī)劃、設(shè)計(jì)和運(yùn)行階段，采購(gòu)咨詢類服務(wù)較多；在信息系統(tǒng)建設(shè)、運(yùn)行階段，采購(gòu)實(shí)施類服務(wù)較多；在每個(gè)階段都有可能采購(gòu)信息安全風(fēng)險(xiǎn)評(píng)估和信息安全培訓(xùn)服務(wù)。采購(gòu)目錄由于信息安全服務(wù)對(duì)服務(wù)質(zhì)量、服務(wù)可信和服務(wù)可控的高要求，預(yù)算和采購(gòu)政策的管理部門，應(yīng)及時(shí)制定并發(fā)布相關(guān)的信息安全服務(wù)采購(gòu)目錄（采購(gòu)目錄的服務(wù)分類應(yīng)按照本標(biāo)準(zhǔn)執(zhí)行），以便于組織正確采購(gòu)相關(guān)的服務(wù)。服務(wù)資質(zhì)信息安全服務(wù)資質(zhì)是服務(wù)提供方服務(wù)能力的一種體現(xiàn)形式。對(duì)同一類服務(wù)的不同服務(wù)商，如果分別擁有不同能力級(jí)別的服務(wù)資質(zhì)，則會(huì)在服務(wù)質(zhì)量和服

33、務(wù)成本上有所差異。服務(wù)需求方應(yīng)根據(jù)自身的信息安全需求，結(jié)合信息安全管理部門的相關(guān)要求，確定服務(wù)提供方的資質(zhì)準(zhǔn)入或認(rèn)證要求。服務(wù)價(jià)格可以根據(jù)組織級(jí)別規(guī)模、信息系統(tǒng)規(guī)模、信息安全保護(hù)級(jí)別，信息安全保障需求和現(xiàn)有水平，根據(jù)不同信息安全服務(wù)的服務(wù)界面和服務(wù)特點(diǎn)，綜合采用定額法和比率法，分別確定面向組織和面向信息系統(tǒng)的信息安全服務(wù)價(jià)格（結(jié)合計(jì)價(jià)單位，確定基準(zhǔn)價(jià)格和浮動(dòng)因素）。招投標(biāo)規(guī)范采購(gòu)部門應(yīng)根據(jù)本標(biāo)準(zhǔn)的分類，針對(duì)不同服務(wù)類別，制定相關(guān)的采購(gòu)招投標(biāo)規(guī)范，規(guī)范應(yīng)至少對(duì)如下內(nèi)容做出規(guī)定：a) 服務(wù)資質(zhì)（準(zhǔn)入資質(zhì)）的要求；b) 服務(wù)級(jí)別協(xié)議的承諾形式和度量方法；c) 服務(wù)的質(zhì)量要求；d) 服務(wù)的保障措施（人

34、員、過(guò)程、工具、資源等）；e) 服務(wù)自身的安全要求；f) 服務(wù)項(xiàng)目評(píng)標(biāo)規(guī)則。服務(wù)協(xié)議（采購(gòu)合同）信息安全服務(wù)的服務(wù)協(xié)議應(yīng)至少包括：a) 服務(wù)原則：對(duì)服務(wù)提供方的原則性要求；b) 服務(wù)內(nèi)容：服務(wù)提供方提供的服務(wù)組件，可參照本標(biāo)準(zhǔn)二級(jí)分類；c) 服務(wù)形式：服務(wù)提供方所提供服務(wù)的方式，如：現(xiàn)場(chǎng)、遠(yuǎn)程等；d) 服務(wù)級(jí)別協(xié)議：評(píng)價(jià)服務(wù)效果關(guān)鍵指標(biāo)；e) 服務(wù)價(jià)格：服務(wù)提供方所提供服務(wù)的價(jià)格，含總價(jià)和分項(xiàng)計(jì)算依據(jù)等；f) 服務(wù)交付物：服務(wù)過(guò)程中、服務(wù)結(jié)束后，服務(wù)提供方需要提供的文檔、記錄、數(shù)據(jù)、成果等；g) 服務(wù)安全要求：對(duì)服務(wù)人員、服務(wù)過(guò)程、服務(wù)工具、服務(wù)數(shù)據(jù)保護(hù)等作出明確要求。信息安全服務(wù)實(shí)例作為最常見(jiàn)的信息安全服務(wù)采購(gòu)，信息安全服務(wù)實(shí)例是由信息安全服務(wù)類別及其服務(wù)組件所構(gòu)成的，典型的信息安全服務(wù)實(shí)例與其可能包含的服務(wù)組件之間的關(guān)系如表A.1所示。典型的信息安全服務(wù)實(shí)例服務(wù)實(shí)例對(duì)應(yīng)的服務(wù)組件（代碼）安全咨詢A02、C01風(fēng)險(xiǎn)評(píng)估A03安全集成B01、B02、B03、B04、B05、B09安全運(yùn)維B04、B05、B06、B07、B08、B09應(yīng)急處