GB/T 30271-2013信息安全技術信息安全服務能力評估準則

ICS35040

L80.

中華人民共和國國家標準

GB/T30271—2013

信息安全技術

信息安全服務能力評估準則

Informationsecuritytechnology—Assessmentcriteriaforinformation

securityservicecapability

2013-12-31發(fā)布2014-07-15實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T30271—2013

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語定義和縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………2

概述

4………………………3

信息安全服務過程概述

4.1……………3

能力評定原則

4.2………………………4

信息安全服務過程

5………………………4

組織戰(zhàn)略

5.1D01………………………4

規(guī)劃設計

5.2D02………………………15

實施交付

5.3D03………………………31

監(jiān)視支持

5.4D04………………………39

檢查改進

5.5D05………………………52

信息安全服務能力級別

6…………………57

概述

6.1…………………57

能力級別基本執(zhí)行

6.21……………57

能力級別計劃跟蹤

6.32……………57

能力級別充分定義

6.43……………58

能力級別量化控制

6.54……………59

能力級別連續(xù)改進

6.65……………59

信息安全服務能力評定

7…………………60

參考文獻

……………………62

GB/T30271—2013

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準主要起草單位中國信息安全測評中心北京江南博仁科技有限公司北京中天安信息技術

:、、

服務有限公司

。

本標準主要起草人張利佟鑫李斌班曉芳王琰劉作康任育波吳慎夕

:、、、、、、、。

Ⅰ

GB/T30271—2013

引言

本標準是對提供信息安全服務的組織進行能力評估在編制過程中考慮到國內(nèi)環(huán)境與信息安全行

,

業(yè)的實際情況同時結合系列等

,GB/T20261—2006、ISO/IEC20000—2011、COBIT4.1、NISTSP800

國際或區(qū)域標準制定而成

。

Ⅱ

GB/T30271—2013

信息安全技術

信息安全服務能力評估準則

1范圍

本標準規(guī)定了服務過程模型和信息安全服務商的服務能力的評估準則

。

本標準適用于對信息安全服務提供商的能力進行評估也適用于服務提供商對于自身能力的改善

,

提供指導

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全風險評估規(guī)范

GB/T20984—2007

信息安全技術術語

GB/T25069—2010

信息安全技術信息安全服務分類

GB/T30283

3術語定義和縮略語

、

31術語和定義

.

界定的以及下列術語和定義適用于本文件

GB/T25069—2010。

311

..

能力等級abilitylevel

流程領域內(nèi)流程改善達到的程度

。

注能力等級由流程領域內(nèi)適當?shù)奶囟耙话銏?zhí)行方法所定義

:。

312

..

基本實踐basepractices

系統(tǒng)工程過程中應存在的性質(zhì)只有當所有這些性質(zhì)完全實現(xiàn)后才可說滿足了這個過程域的

,,

要求

。

注一個過程域由基本實踐組成

:(BP)。

313

..

能力成熟度模型capabilitymaturitymodel

有關組織的服務或開發(fā)過程中各個發(fā)展階段的定義實現(xiàn)質(zhì)量控制和改善的模型化描述

、、