《信息安全技術(shù) 信息安全服務(wù)指南》

ICS

點(diǎn)擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)

信息安全服務(wù)定義和分類

Informationsecuritytechnology-

DefinitionandCategoryofinformationsecurityservice

點(diǎn)擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識

（工作組討論稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX—XXXX

前??言

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口；

本標(biāo)準(zhǔn)起草單位：上海三零衛(wèi)士信息安全有限公司…等；

本標(biāo)準(zhǔn)主要起草人：…等。

I

GB/TXXXXX—XXXX

信息安全技術(shù)信息安全服務(wù)定義和分類

1范圍

本標(biāo)準(zhǔn)規(guī)定了信息安全服務(wù)的定義、一般模型和主要類別，包括信息安全咨詢服務(wù)、信息安全實(shí)施

服務(wù)、信息安全培訓(xùn)服務(wù)、第三方信息安全服務(wù)和其他信息安全服務(wù)五大類。

本標(biāo)準(zhǔn)適用于各類組織或個人用戶對信息安全服務(wù)的選用和采購，也適用于信息安全服務(wù)提供方提

供信息安全服務(wù)和開發(fā)信息安全服務(wù)產(chǎn)品，以及信息安全行業(yè)對信息安全服務(wù)的分類管理。

本標(biāo)準(zhǔn)不適用于僅依附于信息安全產(chǎn)品的信息安全服務(wù)（如：信息安全產(chǎn)品的使用、維保等服務(wù)）。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T5271.8-2001《信息技術(shù)詞匯第8部分：安全》

GB/T18336-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》

3術(shù)語和定義

3.1

信息安全服務(wù)InformationSecurityService

面向組織、信息系統(tǒng)或相關(guān)人員的信息安全保障需求，由服務(wù)提供方按照服務(wù)協(xié)議所執(zhí)行的一個信

息安全過程或任務(wù)。

通常是基于信息安全技術(shù)、產(chǎn)品或管理體系的，通過外包的形式，由專業(yè)信息安全人員所提供的支

持和幫助。

3.2

信息安全服務(wù)需求方InformationSecurityServiceDemander

有償采購（或免費(fèi)使用）外部所提供的信息安全服務(wù)，以滿足自身信息安全保障需求，實(shí)現(xiàn)自身業(yè)

務(wù)目標(biāo)的組織（或個人用戶）。

3.3

信息安全服務(wù)提供方InformationSecurityServiceProvider

按照服務(wù)協(xié)議，提供信息安全服務(wù)的各類組織機(jī)構(gòu)，信息安全服務(wù)提供方在每項具體的服務(wù)中，其

服務(wù)角色和服務(wù)職責(zé)應(yīng)該是明確的。

1

GB/TXXXXX—XXXX

3.4

服務(wù)角色ServiceRoles

服務(wù)提供方的服務(wù)角色分為兩類：如果服務(wù)內(nèi)容僅涉及供需雙方的，則服務(wù)提供方為乙方角色；在

上述服務(wù)的基礎(chǔ)上，就所涉及的問題，獨(dú)立于有關(guān)各方提供評估、證明等服務(wù)，則服務(wù)提供方為第三方

角色。服務(wù)角色與服務(wù)提供方的組織機(jī)構(gòu)類型無關(guān)。

3.5

服務(wù)類別ServiceCategory

一組具有共同目標(biāo)對象和服務(wù)特征的、但側(cè)重點(diǎn)可能不同的服務(wù)組件的集合。

3.6

服務(wù)組件ServiceComponent

可包含在服務(wù)協(xié)議中的最小可選服務(wù)。

3.7

服務(wù)實(shí)例ServiceInstance

為滿足某一確定的安全保障目的而組合在一起的，一組可重用的服務(wù)組件。

3.8

信息安全咨詢服務(wù)InformationSecurityConsultingService

面向組織的信息安全服務(wù)，圍繞組織信息系統(tǒng)所支持的業(yè)務(wù)和管理，通過知識傳遞、工作輔導(dǎo)和系

統(tǒng)規(guī)劃等形式提供信息安全服務(wù)。

3.9

信息安全實(shí)施服務(wù)InformationSecurityImplementationService

面向組織或個人用戶的信息安全服務(wù)，圍繞組織信息系統(tǒng)或個人信息設(shè)備，及其基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)

用和信息數(shù)據(jù)的安全和可用，通過人力派遣、設(shè)施租用、流程外包等形式提供信息安全服務(wù)。

3.10

信息安全培訓(xùn)服務(wù)InformationSecurityTrainingService

面向個人或組織內(nèi)人員的信息安全服務(wù)，圍繞信息安全意識、技術(shù)、管理等方面，通過授課、實(shí)操、

考核等形成提供信息安全服務(wù)。

3.11

第三方信息安全服務(wù)Third-partyInformationSecurityService

面向組織及其信息系統(tǒng)的信息安全服務(wù)，根據(jù)相關(guān)法律法規(guī)、政策、標(biāo)準(zhǔn)中，對組織、信息系統(tǒng)、

信息安全產(chǎn)品或人員的信息安全要求，提供基于第三方角色的獨(dú)立服務(wù)（建立在乙方服務(wù)的基礎(chǔ)之上），

以確保相關(guān)方的質(zhì)量、責(zé)任、要求得到了有效保障。

2

GB/TXXXXX—XXXX

4信息安全服務(wù)模型

本標(biāo)準(zhǔn)采用“服務(wù)類別--服務(wù)組件”這種層次結(jié)構(gòu)來描述服務(wù)分類。基于這種分類，常見的信息安

全服務(wù)均可以服務(wù)實(shí)例的形式，由一個或多個服務(wù)類別或者（及其）服務(wù)組件所構(gòu)成，某些還可能包含

本標(biāo)準(zhǔn)不涉及的其他擴(kuò)展的服務(wù)。

圖1信息安全服務(wù)模型

信息安全服務(wù)模型還描述了信息安全服務(wù)中各相關(guān)方的角色和相互關(guān)系。信息安全服務(wù)需求方可分

為組織和個人兩類。信息安全服務(wù)提供方按照服務(wù)角色，可分為乙方服務(wù)和第三方服務(wù)兩類，都是通過

專業(yè)的信息安全人員向組織和個人提供，基于信息安全技術(shù)、信息安全產(chǎn)品或信息安全管理體系的咨詢、

實(shí)施、培訓(xùn)、評估、證明等服務(wù)。信息安全管理部門對信息安全服務(wù)提供方進(jìn)行行業(yè)管理，并為信息安

全服務(wù)需求方提供相關(guān)的法律、法規(guī)、政策、標(biāo)準(zhǔn)等指導(dǎo)和支持。

5信息安全服務(wù)分類

信息安全服務(wù)分類的原則是：將相對獨(dú)立的服務(wù)盡量細(xì)分為服務(wù)組件，將具有相同或相近服務(wù)界面

（服務(wù)供需關(guān)系、服務(wù)目標(biāo)對象、服務(wù)特征和服務(wù)質(zhì)量要素等）的服務(wù)組件歸并為同一服務(wù)類別。

本標(biāo)準(zhǔn)采用層次代碼結(jié)構(gòu)，共分二層，第一層采用一位字母表示信息安全服務(wù)類別，第二層采用兩

位數(shù)字表示信息安全服務(wù)組件，第二層中數(shù)字為“99”均表示收容類目。代碼的表示形式如下：

3

GB/TXXXXX—XXXX

表1信息安全服務(wù)分類

服務(wù)類別服務(wù)組件目標(biāo)對象

代碼名稱代碼名稱

A01信息安全規(guī)劃

A02信息安全管理體系咨詢

A03信息安全風(fēng)險評估組織的信息系統(tǒng)

A信息安全咨詢服務(wù)

A04信息安全應(yīng)急管理咨詢及其所支持的業(yè)務(wù)和管理

A05業(yè)務(wù)連續(xù)性管理咨詢

A99其他信息安全咨詢服務(wù)

B01信息安全設(shè)計

B02信息安全產(chǎn)品部署

B03信息安全開發(fā)

B04信息安全加固和優(yōu)化

B05信息安全檢查

B06信息安全測試

組織的信息系統(tǒng)；

B信息安全實(shí)施服務(wù)B07信息安全監(jiān)控

個人的信息設(shè)備

B08信息安全應(yīng)急處理

B09信息安全通告

B10備份和恢復(fù)

B11數(shù)據(jù)修復(fù)

B12電子認(rèn)證服務(wù)

B99其他信息安全實(shí)施服務(wù)

C信息安全培訓(xùn)服務(wù)C01信息安全培訓(xùn)信息安全相關(guān)人員

D01信息安全測評信息系統(tǒng)、信息安全產(chǎn)品

D02信息安全監(jiān)理信息系統(tǒng)

D第三方信息安全服務(wù)

D03信息安全審計組織、信息系統(tǒng)

D99其他第三方信息安全服務(wù)

Z其他信息安全服務(wù)

6信息安全咨詢服務(wù)

6.1概述

信息安全咨詢服務(wù)是以組織整體為出發(fā)點(diǎn)，基于對組織的使命、業(yè)務(wù)、職責(zé)、環(huán)境等分析研究，以

人力的方式來提供相關(guān)的咨詢，其服務(wù)交付物通常是一些文檔。服務(wù)提供方提供信息安全領(lǐng)域的知識傳

4

GB/TXXXXX—XXXX

遞、工作輔導(dǎo)、系統(tǒng)規(guī)劃等服務(wù)內(nèi)容，以滿足組織對外部“專業(yè)知識”的需求，從而提高自身的信息安

全管理、規(guī)劃、分析和決策能力。

信息安全咨詢服務(wù)的質(zhì)量首先取決于服務(wù)人員的專業(yè)知識、經(jīng)驗(yàn)的豐富程度，其次取決于服務(wù)人員

的理解能力、分析能力和溝通能力。服務(wù)人員與組織內(nèi)有關(guān)人員（尤其是信息安全責(zé)任部門人員）的有

效交互過程是咨詢服務(wù)成敗的關(guān)鍵。

信息安全咨詢服務(wù)包括：信息安全規(guī)劃、信息安全管理體系咨詢、信息安全風(fēng)險評估、信息安全應(yīng)

急管理咨詢、業(yè)務(wù)連續(xù)性管理咨詢等。

6.2信息安全規(guī)劃

信息安全規(guī)劃主要是從組織核心業(yè)務(wù)、核心價值出發(fā)，根據(jù)組織的發(fā)展戰(zhàn)略，通過風(fēng)險評估等方式

提取組織的安全需求，對相應(yīng)的安全保障目標(biāo)、任務(wù)、措施和步驟進(jìn)行規(guī)劃。信息安全規(guī)劃應(yīng)站在組織

整體的角度，從策略、組織、管理、技術(shù)、資源等多方面進(jìn)行綜合考慮，涉及綜合管理、技術(shù)規(guī)范、工

程建設(shè)、運(yùn)行維護(hù)等多個層面。信息安全規(guī)劃的成果，是組織在一段時間內(nèi)開展信息安全保障工作的依

據(jù)。

6.3信息安全管理體系咨詢

信息安全管理體系咨詢主要是依照國際或國家信息安全管理體系相關(guān)標(biāo)準(zhǔn)，基于業(yè)務(wù)風(fēng)險方法，通

過定義范圍和方針、業(yè)務(wù)分析、風(fēng)險評估、設(shè)計、實(shí)施等步驟，面向組織建立、實(shí)施、運(yùn)行、監(jiān)視、評

審、保持和改進(jìn)信息安全的體系。信息安全管理體系是一個組織整個管理體系的一部分，應(yīng)包括組織結(jié)

構(gòu)、方針策略、規(guī)劃活動、職責(zé)、實(shí)踐、規(guī)程、過程和資源等多個方面。

6.4信息安全風(fēng)險評估

信息安全風(fēng)險評估主要是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，從風(fēng)險管理角度，對信息系統(tǒng)及由其

處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價的過程，通過評估資產(chǎn)面臨的

威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦

發(fā)生對組織造成的影響，并提出有針對性的抵御威脅的防護(hù)對策和整改措施。信息安全風(fēng)險評估應(yīng)貫穿

于信息系統(tǒng)的規(guī)劃、設(shè)計、實(shí)施、運(yùn)行維護(hù)以及廢棄各個階段。

6.5信息安全應(yīng)急管理咨詢

信息安全應(yīng)急管理咨詢主要是針對各類各級信息安全事件，從應(yīng)急管理角度，通過編制應(yīng)急預(yù)案和

指導(dǎo)應(yīng)急演練，面向組織建立信息安全應(yīng)急管理體系，不斷進(jìn)行改進(jìn)和提高，應(yīng)急預(yù)案的內(nèi)容包括：建

立組織的應(yīng)急響應(yīng)小組，制定應(yīng)急響應(yīng)流程，建立監(jiān)測和預(yù)警機(jī)制，落實(shí)應(yīng)急保障資源，制定子預(yù)案及

相關(guān)支持文檔，以及指導(dǎo)實(shí)施應(yīng)急處理（參見7.9）等。

6.6業(yè)務(wù)連續(xù)性管理咨詢

業(yè)務(wù)連續(xù)性管理咨詢主要是為保護(hù)組織的核心業(yè)務(wù)、核心價值，從保障組織的業(yè)務(wù)持續(xù)開展出發(fā)，

通過識別組織業(yè)務(wù)的連續(xù)性指標(biāo)要求，識別潛在的威脅和相關(guān)影響，制訂業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)計

劃，最終幫助組織建立一套綜合管理流程，形成組織的業(yè)務(wù)保持和恢復(fù)能力，提高組織的風(fēng)險防范能力，

有效地響應(yīng)非計劃的業(yè)務(wù)破壞并降低不良影響。

5

GB/TXXXXX—XXXX

7信息安全實(shí)施服務(wù)

7.1概述

信息安全實(shí)施服務(wù)是指針對具體的信息系統(tǒng)，基于對信息系統(tǒng)全生命周期的信息安全保障，為系統(tǒng)

的建設(shè)和運(yùn)行提供相關(guān)的實(shí)現(xiàn)。服務(wù)提供方提供與信息安全相關(guān)的技術(shù)保障、管理保障等直接支撐，以

滿足組織（或個人）對專業(yè)技能、專業(yè)人員、專業(yè)工具的需求，從而保障信息系統(tǒng)整體或各層面的安全

性。

信息安全實(shí)施服務(wù)對于服務(wù)提供方具有較高的重復(fù)性，其服務(wù)質(zhì)量取決于服務(wù)提供方的整體能力和

服務(wù)成熟度，主要包括：組織管理、專業(yè)知識、技術(shù)能力、人員素質(zhì)、工具平臺、服務(wù)經(jīng)驗(yàn)、外部資源

等方面。服務(wù)需求方的積極參與可以提高實(shí)施服務(wù)成效。

信息安全實(shí)施服務(wù)包括：信息安全設(shè)計、信息安全產(chǎn)品部署、信息安全開發(fā)、信息安全加固和優(yōu)化、

信息安全檢查、信息安全測試、信息安全監(jiān)控、信息安全應(yīng)急處理、信息安全通告、備份和恢復(fù)、數(shù)據(jù)

修復(fù)、電子認(rèn)證服務(wù)等。

7.2信息安全設(shè)計

信息安全設(shè)計主要是針對信息系統(tǒng)的安全保障需求，對組織的安全規(guī)劃進(jìn)行落實(shí)，設(shè)計總體安全策

略、制定信息安全建設(shè)方案和實(shí)施方案，并在此基礎(chǔ)上形成安全架構(gòu)、技術(shù)體系和管理體系的設(shè)計。信

息安全設(shè)計一般可分為頂層設(shè)計、初步設(shè)計和詳細(xì)設(shè)計等不同的服務(wù)交付物。信息安全設(shè)計還可以包含

對信息安全產(chǎn)品的功能和性能設(shè)計，以及選型建議。

7.3信息安全產(chǎn)品部署

信息安全產(chǎn)品部署主要是根據(jù)信息系統(tǒng)安全設(shè)計方案，對已采購、租用或開發(fā)的信息安全產(chǎn)品進(jìn)行

安裝、調(diào)試和配置，以及對相關(guān)人員的必要培訓(xùn)等，一般包括各類信息安全產(chǎn)品的獨(dú)立部署、各自部署

或者組合部署（集成部署）。

信息安全產(chǎn)品部署還可以包含對信息安全產(chǎn)品的采購，即按照設(shè)計方案中的要求，依據(jù)相關(guān)主管部

門的管理要求，以產(chǎn)品性價比為原則，完成產(chǎn)品及其后續(xù)服務(wù)的采購。

7.4信息安全開發(fā)

信息安全開發(fā)主要是按照信息安全設(shè)計方案的安全目標(biāo)和安全功能，對于一些不能通過采購現(xiàn)有信

息安全產(chǎn)品來滿足的安全需求，通過定制開發(fā)而予以滿足。信息安全開發(fā)也可以基于已有的信息安全產(chǎn)

品進(jìn)行二次開發(fā)。

7.5信息安全加固和優(yōu)化

信息安全加固主要是針對組織在實(shí)施風(fēng)險評估、安全檢查或安全測試過程中發(fā)現(xiàn)的各種安全風(fēng)險、

系統(tǒng)漏洞和不符合項，依據(jù)既定的信息安全策略，采取措施予以彌補(bǔ)，消除已暴露的問題和可能的隱患。

信息安全優(yōu)化主要是基于風(fēng)險評估等方法，對現(xiàn)有網(wǎng)絡(luò)和系統(tǒng)架構(gòu)進(jìn)行調(diào)整和優(yōu)化，或?qū)ΜF(xiàn)有設(shè)備的安

全策略進(jìn)行設(shè)置和調(diào)整。在實(shí)際服務(wù)中，信息安全加固和信息安全優(yōu)化往往同時進(jìn)行。

7.6信息安全檢查

信息安全檢查主要是針對組織部署的信息安全技術(shù)措施及其運(yùn)行記錄進(jìn)行檢查或?qū)彶椋?yàn)證安全措

施的完整性和有效性，并及時發(fā)現(xiàn)異常活動和潛在風(fēng)險。一般包括了對物理環(huán)境、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、

服務(wù)器及操作系統(tǒng)、系統(tǒng)平臺、應(yīng)用系統(tǒng)、數(shù)據(jù)存儲等信息系統(tǒng)各層面的運(yùn)行狀態(tài)檢查、配置項檢查、

6

GB/TXXXXX—XXXX

日志分析等，也包括借助專門的安全審計設(shè)備來實(shí)施檢查。信息安全檢查還可以包含對信息安全管理措

施和相關(guān)人員的檢查。

7.7信息安全測試

信息安全測試主要是針對信息系統(tǒng)及其產(chǎn)品的安全屬性，采取動態(tài)的手段進(jìn)行問題發(fā)現(xiàn)、符合性和

有效性驗(yàn)證。一般包括信息安全產(chǎn)品調(diào)試、信息系統(tǒng)測試、漏洞掃描和滲透性測試等。

信息安全產(chǎn)品調(diào)試是指對已部署的信息安全產(chǎn)品進(jìn)行相應(yīng)的功能調(diào)試和性能測試，以達(dá)到預(yù)期的安

全要求。信息系統(tǒng)測試是指將已經(jīng)確認(rèn)的軟件、計算機(jī)硬件、外設(shè)、網(wǎng)絡(luò)等其他元素結(jié)合在一起，進(jìn)行

信息系統(tǒng)的各種組裝測試和確認(rèn)測試，發(fā)現(xiàn)所開發(fā)的系統(tǒng)與安全需求不符或矛盾的地方，從而提出安全

整改方案。漏洞掃描服務(wù)是指借助一些專業(yè)的漏洞掃描工具，發(fā)掘組織信息系統(tǒng)各層面存在的安全漏洞，

包括網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)、主流應(yīng)用系統(tǒng)等漏洞，為信息安全加固提供支持信息。滲透性測試是指

信息安全服務(wù)提供者的專業(yè)人員模擬攻擊行為，對目標(biāo)系統(tǒng)實(shí)施滲透，意圖找到“非法”進(jìn)入目標(biāo)系統(tǒng)

并取得相關(guān)權(quán)限的途徑，從而測試目標(biāo)系統(tǒng)安全控制措施的有效性。

7.8信息安全監(jiān)控

信息安全監(jiān)控主要是通過監(jiān)控工具或平臺，對信息系統(tǒng)的環(huán)境、網(wǎng)絡(luò)、主機(jī)、系統(tǒng)和應(yīng)用等進(jìn)行實(shí)

時監(jiān)控，查看各個系統(tǒng)組件的功能、性能、運(yùn)行狀況等，檢查設(shè)備、系統(tǒng)和應(yīng)用的日志，一旦發(fā)現(xiàn)異常

情況，可以采取措施解決，或者啟動應(yīng)急響應(yīng)等服務(wù)。信息安全監(jiān)控還可以包含對信息安全事件的預(yù)警

功能。

信息安全監(jiān)控一般可以分為現(xiàn)場監(jiān)控和遠(yuǎn)程監(jiān)控兩種方式?，F(xiàn)場監(jiān)控是由服務(wù)提供方的駐場人員為

組織承擔(dān)系統(tǒng)維護(hù)和管理的任務(wù)，對組織的信息系統(tǒng)實(shí)施監(jiān)控。遠(yuǎn)程監(jiān)控是由服務(wù)提供方在遠(yuǎn)程的安全

運(yùn)行中心（SOC）中進(jìn)行，一般需要有加密的網(wǎng)絡(luò)連接，并在組織的信息系統(tǒng)上安裝一些監(jiān)控軟件。

7.9信息安全應(yīng)急處理

信息安全應(yīng)急處理主要是根據(jù)組織信息安全應(yīng)急管理體系，針對各類突發(fā)信息安全事件，提供實(shí)施

層面的應(yīng)急響應(yīng)和應(yīng)急演練。應(yīng)急響應(yīng)是對已發(fā)生的各類信息安全事件作出快速響應(yīng)，及時而有效進(jìn)行

事件處理，最大程度上減少損失和該事件造成的消極影響，響應(yīng)的方式可以按事件特點(diǎn)和級別，可以分

為現(xiàn)場和遠(yuǎn)程兩種。應(yīng)急演練是根據(jù)組織已有的應(yīng)急預(yù)案，在設(shè)備、系統(tǒng)、業(yè)務(wù)、組織等不同層面進(jìn)行

測試和演練，從而提高組織的應(yīng)對各類突發(fā)信息安全事件的能力，演練的方式可分為桌面演練、模擬演

練和實(shí)戰(zhàn)演練。

7.10信息安全通告

信息安全通告主要是在通告服務(wù)提供方與服務(wù)需求方之間，建立一種緊密的信息發(fā)布和溝通渠道，

以便最新的信息安全信息能夠被組織或個人獲知，并及時采取控制措施來預(yù)防自身信息安全事件的發(fā)

生。信息安全通告的服務(wù)提供方可以是權(quán)威專業(yè)組織、IT產(chǎn)品廠商或信息安全廠商等。安全通告服務(wù)的

內(nèi)容主要包括：漏洞信息、威脅信息、病毒信息、預(yù)警消息、重大事件和問題通告等，以及相應(yīng)的解決

方案。

7.11備份和恢復(fù)

備份和恢復(fù)是為了防止信息系統(tǒng)及其應(yīng)用和數(shù)據(jù)等，因信息安全事件或?yàn)?zāi)難而造成的丟失或損壞，

從而在原文中獨(dú)立出來單獨(dú)存儲的程序或文件副本，并在系統(tǒng)出現(xiàn)故障或癱瘓時，能夠及時恢復(fù)系統(tǒng)及

其應(yīng)用和數(shù)據(jù)，將信息系統(tǒng)從故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)、并將其支持的業(yè)務(wù)功能從不正常

狀態(tài)恢復(fù)到可接受狀態(tài)。備份和恢復(fù)還應(yīng)包括對備份介質(zhì)和鏈路的定期測試、恢復(fù)的定期演練。

7

GB/TXXXXX—XXXX

7.12數(shù)據(jù)修復(fù)

數(shù)據(jù)修復(fù)服務(wù)主要指對由有害程序、系統(tǒng)故障、誤操作、升級或安裝軟件錯誤、人為故意破壞等安

全事件造成的邏輯損壞或數(shù)據(jù)丟失，或由電擊、水淹、火燒、震蕩、撞擊、機(jī)械故障等意外事故造成物

理損壞或數(shù)據(jù)丟失，而進(jìn)行數(shù)據(jù)搶救和修復(fù)的專業(yè)服務(wù)。

7.13電子認(rèn)證服務(wù)

電子認(rèn)證服務(wù)主要指電子認(rèn)證機(jī)構(gòu)所提供的申請人身份核實(shí)、簽發(fā)和管理證書、證書目錄查詢和證

書狀態(tài)查詢、維護(hù)證書失效列表、發(fā)布時間標(biāo)簽、數(shù)據(jù)電文可靠性等服務(wù)。電子認(rèn)證服務(wù)的本質(zhì)在于電

子認(rèn)證機(jī)構(gòu)為證書擁有人所提供的一種網(wǎng)絡(luò)身份及電子簽名的真實(shí)性、有效性保證。

8信息安全培訓(xùn)服務(wù)

信息安全培訓(xùn)服務(wù)面向“個人”，以提高信息安全意識、完善信息安全知識、掌握信息安全技能為

主要目標(biāo)，為相關(guān)人員提供直接培訓(xùn)。服務(wù)提供方提供信息安全意識、技術(shù)、管理、體系、工程、法律、

政策和標(biāo)準(zhǔn)等方面的培訓(xùn)內(nèi)容，通過授課、實(shí)操、考核等形式，從而提高人員的信息安全能力水平。

信息安全培訓(xùn)服務(wù)應(yīng)根據(jù)培訓(xùn)目的，結(jié)合培訓(xùn)規(guī)模、人員基礎(chǔ)知識、培訓(xùn)時間、培訓(xùn)條件等情況，

對培訓(xùn)內(nèi)容、培訓(xùn)方式、考核方式等作出針對性的培訓(xùn)計劃并予以實(shí)施，其服務(wù)質(zhì)量取決于培訓(xùn)的針對

性、科學(xué)性和實(shí)效性。對面向組織的統(tǒng)一培訓(xùn)，培訓(xùn)服務(wù)提供方還應(yīng)在培訓(xùn)結(jié)束后，提供培訓(xùn)效果分析

報告，以便組織掌握培訓(xùn)情況并對培訓(xùn)工作持續(xù)改進(jìn)。

常見的信息安全培訓(xùn)服務(wù)包括：針對信息安全專業(yè)人員的資質(zhì)培訓(xùn)、針對服務(wù)需求方特定要求的定

制培訓(xùn)等。

9第三方信息安全服務(wù)

9.1概述

第三方信息安全服務(wù)面向組織及其信息系統(tǒng)，根據(jù)相關(guān)法律法規(guī)、政策、標(biāo)準(zhǔn)中，對組織、信息系

統(tǒng)、信息安全產(chǎn)品或人員的信息安全要求，提供基于第三方角色的獨(dú)立服務(wù)（建立在乙方服務(wù)的基礎(chǔ)之

上）。服務(wù)提供方就所涉及的問題，提供專業(yè)的評估或證明，以滿足組織信息安全保障對外部保證的需

求，從而確保相關(guān)方的質(zhì)量、責(zé)任、要求得到了有效保障。

第三方信息安全服務(wù)在提供服務(wù)的同時，也承擔(dān)了相關(guān)的社會責(zé)任，因此對第三方信息安全服務(wù)有

著明確的資質(zhì)要求，其服務(wù)質(zhì)量首先取決于對規(guī)則的遵從性，其次取決于相關(guān)領(lǐng)域的專業(yè)能力。

第三方信息安全服務(wù)包括：信息安全測評、信息安全監(jiān)理、信息安全審計等。

9.2信息安全測評

信息安全測評主要指得到相關(guān)主管部門認(rèn)可的第三方測評機(jī)構(gòu)，依據(jù)國家、行業(yè)和地方信息化和信

息安全相關(guān)法律法規(guī)、政策和標(biāo)準(zhǔn)，按照嚴(yán)格的程序?qū)Ξa(chǎn)品、信息系統(tǒng)的安全保障能力進(jìn)行科學(xué)公正的

安全性測試與評估。本標(biāo)準(zhǔn)所涉及的信息安全測評服務(wù)包括信息安全產(chǎn)品和IT產(chǎn)品測評、信息系統(tǒng)和工

程評估等。

信息安全服務(wù)資質(zhì)測評（服務(wù)能力的評估和判定）屬于行業(yè)管理范疇，不在本標(biāo)準(zhǔn)規(guī)范范圍中。

信息系統(tǒng)的安全保護(hù)等級測評參照國家相關(guān)主管部門的規(guī)定。

8

GB/TXXXXX—XXXX

9.3信息安全監(jiān)理

信息安全監(jiān)理主要是指信息安全工程監(jiān)理，即具有相關(guān)資質(zhì)的監(jiān)理單位受信息安全工程建設(shè)單位的

委托，依據(jù)國家批準(zhǔn)的信息化工程項目建設(shè)文件、有關(guān)工程建設(shè)的法律法規(guī)和工程建設(shè)監(jiān)理合同及其他

工程建設(shè)合同，尤其是依據(jù)信息安全方面的標(biāo)準(zhǔn)和要求，在工程建設(shè)各階段向建設(shè)單位提供相關(guān)咨詢，

并協(xié)助建設(shè)單位對承建單位在工程建設(shè)中的信息安全實(shí)施服務(wù)，實(shí)施控制和管理的一種專業(yè)化服務(wù)活

動。信息安全監(jiān)理還可以包括對信息系統(tǒng)運(yùn)維階段的其他信息安全實(shí)施服務(wù)進(jìn)行監(jiān)理。

9.4信息安全審計

信息安全審計主要是針對與信息安全有關(guān)的活動，獨(dú)立進(jìn)行相關(guān)信息的識別、記錄、存儲和分析，

發(fā)現(xiàn)安全違規(guī)，確保各項活動符合組織已建立的安全策略和操作過程，并評估它們的有效性和準(zhǔn)確性，

提出改進(jìn)建議。具體的信息安全審計服務(wù)包括安全審計自動響應(yīng)、安全審計數(shù)據(jù)生成、安全審計分析、

安全審計瀏覽、安全審計事件選擇、安全審計事件存儲等。信息安全審計還可以包括對組織的信息安全

合規(guī)性進(jìn)行審核的活動。

10信息安全服務(wù)特點(diǎn)

本標(biāo)準(zhǔn)所涉及的信息安全服務(wù)除了信息技術(shù)服務(wù)所具有的共同特點(diǎn)之外，還具有如下特點(diǎn)：

——不明確涉及財產(chǎn)所有權(quán)的轉(zhuǎn)移；

——不依附于某一單獨(dú)的、具體的、批量生產(chǎn)的信息安全產(chǎn)品；

——就某項具體的服務(wù)而言，信息安全服務(wù)提供方只能以乙方或第三方的一種角色出現(xiàn)；

——針對不同的信息安全保障需求，信息安全服務(wù)提供方可提供不同服務(wù)內(nèi)容的組合；

——信息安全服務(wù)的形式可以分為現(xiàn)場服務(wù)、遠(yuǎn)程聯(lián)機(jī)服務(wù)、遠(yuǎn)程非聯(lián)機(jī)服務(wù)等；

——信息安全服務(wù)提供方應(yīng)保證其服務(wù)人員、過程和工具的可信和可控；

——信息安全服務(wù)需求方的信息安全責(zé)任部門（或個人自身）應(yīng)承擔(dān)對服務(wù)的采購、管理等責(zé)任；

——信息安全服務(wù)提供方應(yīng)接受國家信息安全管理部門的行業(yè)管理。

9

GB/TXXXXX—XXXX

AA

附錄A

（規(guī)范性附錄）

信息安全服務(wù)的采購

A.1信息安全服務(wù)采購要素

A.1.1采購時機(jī)

信息安全工作是組織信息化工作的重要組成部分，貫穿組織信息系統(tǒng)整個生命周期，因此在整個信

息系統(tǒng)的生命周期中，組織都會根據(jù)信息安全保障需求采購信息安全服務(wù)。

根據(jù)業(yè)界的最佳實(shí)踐：在信息系統(tǒng)規(guī)劃、設(shè)計和運(yùn)行階段，采購咨詢類服務(wù)較多；在信息系統(tǒng)建設(shè)、

運(yùn)行階段，采購實(shí)施類服務(wù)和第三方服務(wù)較多；在每個階段都有可能采購信息安全風(fēng)險評估和信息安全

培訓(xùn)服務(wù)。

A.1.2采購目錄

由于信息安全服務(wù)對服務(wù)質(zhì)量、服務(wù)可信和服務(wù)可控的高要求，預(yù)算和采購政策的管理部門，應(yīng)及

時制定并發(fā)布相關(guān)的信息安全服務(wù)采購目錄（采購目錄的服務(wù)分類應(yīng)按照本標(biāo)準(zhǔn)執(zhí)行），以便于組織正

確采購相關(guān)的服務(wù)。

A.1.3服務(wù)資質(zhì)

信息安全服務(wù)資質(zhì)是服務(wù)提供方服務(wù)能力的一種體現(xiàn)形式。對同一類服務(wù)的不同服務(wù)商，如果分別

擁有不同能力級別的服務(wù)資質(zhì)，則會在服務(wù)質(zhì)量和服務(wù)成本上有所差異。服務(wù)需求方應(yīng)根據(jù)自身的信息

安全需求，結(jié)合上級主管部門的相關(guān)要求，確定合理的服務(wù)資質(zhì)準(zhǔn)入要求。

A.1.4服務(wù)價格

可以根據(jù)組織級別規(guī)模、信息系統(tǒng)規(guī)模、信息安全保護(hù)級別，信息安全保障需求和現(xiàn)有水平，根據(jù)

不同信息安全服務(wù)的服務(wù)界面和服務(wù)特點(diǎn)，綜合采用定額法和比率法，分別確定面向組織和面向信息系

統(tǒng)的信息安全服務(wù)價格（結(jié)合計價單位，確定基準(zhǔn)價格和浮動因素）。

A.1.5招投標(biāo)規(guī)范

采購部門應(yīng)根據(jù)本標(biāo)準(zhǔn)的分類，針對不同服務(wù)類別，制定相關(guān)的采購招投標(biāo)規(guī)范，規(guī)范應(yīng)至少對如

下內(nèi)容做出規(guī)定：

1）服務(wù)資質(zhì)（準(zhǔn)入資質(zhì)）的要求；

2）服務(wù)級別協(xié)議的承諾形式和度量方法；

3）服務(wù)的質(zhì)量要求；

4）服務(wù)的保障措施（人員、過程、工具、資源等）；

5）服務(wù)自身的安全要求；

6）服務(wù)項目評標(biāo)規(guī)則。

A.1.6服務(wù)合同（采購協(xié)議）

信息安全服務(wù)的服務(wù)合同應(yīng)至少包括：

10

GB/TXXXXX—XXXX

1）服務(wù)原則：對服務(wù)提供方的原則性要求；

2）服務(wù)內(nèi)容：服務(wù)提供方提供的服務(wù)組件，可參照本標(biāo)準(zhǔn)二級分類；

3）服務(wù)形式：服務(wù)提供方所提供服務(wù)的方式，如：現(xiàn)場、遠(yuǎn)程等；

4）服務(wù)級別協(xié)議：評價服務(wù)效果關(guān)鍵指標(biāo)；

5）服務(wù)價格：服務(wù)提供方所提供服務(wù)的價格，含總價和分項計算依據(jù)等；

6）服務(wù)交付物：服務(wù)過程中、服務(wù)結(jié)束后，服務(wù)提供方需要提供的文檔、記錄、數(shù)據(jù)、成果等；

7）服務(wù)安全要求：對服務(wù)人員、服務(wù)過程、服務(wù)工具、服務(wù)數(shù)據(jù)保護(hù)等作出明確要求。

A.2信息安全服務(wù)實(shí)例

作為最常見的信息安全服務(wù)采購，信息安全服務(wù)實(shí)例是由信息安全服務(wù)類別及其服務(wù)組件所構(gòu)成

的，典型的信息安全服務(wù)實(shí)例與其可能包含的服務(wù)組件之間的關(guān)系如表A.1所示。

表A.1典型的信息安全服務(wù)實(shí)例

服務(wù)實(shí)例對應(yīng)的服務(wù)組件（代碼）

安全咨詢A02、C01

風(fēng)險評估A03

安全集成B01、B02、B03、B04、B06、B10

安全運(yùn)維B04、B05、B06、B07、B08、B09、B10

應(yīng)急處理A04、B08、C01

災(zāi)難恢復(fù)A05、B10、C01

安全培訓(xùn)C01

安全測評D01

安全監(jiān)理D02

安全審計D03

服務(wù)提供方會根據(jù)服務(wù)需求方的信息化現(xiàn)狀和信息安全保障需求、結(jié)合自身的服務(wù)能力和服務(wù)特

點(diǎn)，對服務(wù)組件進(jìn)行組合（即：形成各個服務(wù)提供方的信息安全服務(wù)實(shí)例），供需求方采購，最常見的

組合方式是“安全集成”和“安全運(yùn)維”。

典型的安全集成包括：

1）信息安全設(shè)計；

2）信息安全產(chǎn)品部署；

3）信息安全測試；

典型的安全運(yùn)維包括：

1）信息安全檢查；

2）信息安全監(jiān)控；

3）信息安全應(yīng)急處理；

有時在安全集成和安全運(yùn)維服務(wù)過程中，還會涉及一些咨詢類服務(wù)和第三方服務(wù)。但由于這些服務(wù)

與實(shí)施類服務(wù)的服務(wù)界面不同，服務(wù)需求方應(yīng)盡可能將其分開采購，才可保證相關(guān)的服務(wù)質(zhì)量。

11

GB/TXXXXX—XXXX

BB

附錄B

（資料性附錄）

信息安全服務(wù)與信息系統(tǒng)生命周期的對應(yīng)關(guān)系

信息安全服務(wù)與信息系統(tǒng)生命周期（參照GB/T25058-2010）的對應(yīng)關(guān)系，見表B.1。

表B.1信息安全服務(wù)與信息系統(tǒng)生命周期的對應(yīng)關(guān)系

信息安全服務(wù)信息系統(tǒng)生命周期

服務(wù)類別服務(wù)組件規(guī)劃設(shè)計建設(shè)運(yùn)行

信息安全規(guī)劃√

信息安全管理體系咨詢√√

信息安全咨詢服務(wù)信息安全風(fēng)險評估√√√√

信息安全應(yīng)急管理咨詢√√

業(yè)務(wù)連續(xù)性管理咨詢√√

信息安全設(shè)計√

信息安全產(chǎn)品部署√√

信息安全開發(fā)