信息安全服务分类思维导图及安全服务对应信息系统生命周期
信息安全服务 information security service面向组织或个人的各类信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全过程或任务。信息安全服务与信息安全法律、政策密切相关,在我国《中华人民共和国网络安全法》第二十一条明确了,国家实行网络安全等级保护制度。按照1.0对信息安全等级保护的解释,信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
例如:根据我国网络安全等级保护的要求,安全服务按照分类,可开展等级保护咨询、等级保护建设(整改)、等级保护测评、等级保护培训等信息安全服务。所以,安全服务(简称“安服”)囊括等级保护的,等级保护属于安服的一个重要组成部分,是具备法律法规及国家标准支撑的一个大体系。
服务类别服务组件目标对象代码名 称代码名 称A信息安全咨询服务A01信息安全规划组织的信息系统及其所支持的业务和管理A02信息安全管理体系咨询A03信息安全风险评估A04信息安全应急管理咨询A05业务连续性管理咨询A99其他信息安全咨询服务B信息安全实施服务B01信息安全设计组织的信息系统;个人的信息设备B02信息安全产品部署B03信息安全开发B04信息安全加固和优化B05信息安全检查和测试B06信息安全监控B07信息安全应急处理B08信息安全通告B09备份和恢复B10数据修复B11电子认证服务B12信息安全监理B13信息安全审计B99其他信息安全实施服务C信息安全培训服务C01信息安全培训信息安全相关人员Z其他信息安全服务信息安全服务的采购1 信息安全服务采购要素1.1 采购时机信息安全工作是组织信息化工作的重要组成部分,贯穿组织信息系统整个生命周期,因此在整个信息系统的生命周期中,组织都会根据信息安全保障需求采购信息安全服务。根据业界实践,在信息系统规划、设计和运行阶段,采购咨询类服务较多;在信息系统建设、运行阶段,采购实施类服务较多;在每个阶段都有可能采购信息安全风险评估和信息安全培训服务。1.2 采购目录由于信息安全服务对服务质量、服务可信和服务可控的高要求,预算和采购政策的管理部门,需及 时制定并发布相关的信息安全服务采购目录(采购目录的服务分类可按照本标准执行),以便于组织正确采购相关的服务。1.3 服务资质信息安全服务资质是服务提供方服务能力的一种体现形式。对同一类服务的不同服务商,如果分别拥有不同能力级别的服务资质,则会在服务质量和服务成本上有所差异。服务需求方可根据自身的 信息安全需求,结合信息安全管理部门的相关要求,确定服务提供方的资质准入或认证要求。1.4 服务价格可以根据组织级别规模、信息系统规模、信息安全保护级别,信息安全保障需求和现有水平,根据不同信息安全服务的服务界面和服务特点,综合采用定额法和比率法,分别确定面向组织和面向信息系统 的信息安全服务价格(结合计价单位,确定基准价格和浮动因素)。1.5 招投标规范采购部门可根据本标准的分类,针对不同服务类别,制定相关的采购招投标规范,至少对如下内容作出规定:a)服务资质(准入资质)的要求;b)服务级别协议的承诺形式和度量方法;c)服务的质量要求;d)服务的保障措施(人员、过程、工具、资源等);e)服务自身的安全要求;f)服务项目评标规则。1.6 服务协议(采购合同)信息安全服务的服务协议至少包括:a) 服务原则:对服务提供方的原则性要求;b)服务内容:服务提供方提供的服务组件,可参照本标准二级分类;c)服务形式:服务提供方所提供服务的方式,如:现场、远程等;d)服务级别协议:评价服务效果关键指标;e)服务价格:服务提供方所提供服务的价格,含总价和分项计算依据等;f)服务交付物:服务过程中、服务结束后,服务提供方需要提供的文档、记录、数据、成果等;g)服务安全要求:对服务人员、服务过程、服务工具、服务数据保护等作出明确要求。信息安全服务实例作为最常见的信息安全服务采购,信息安全服务实例是由信息安全服务类别及其服务组件所构成的,典型的信息安全服务实例与其可能包含的服务组件之间的关系如表所示。典型的信息安全服务实例服务实例对应的服务组件(代码)安全咨询A02、C01风险评估A03安全集成B01、B02、B03、B04、B05 、B09安全运维B04、B05、B06、B07、B08 、B09应急处理A04、B07、C01灾难恢复A05、B09、C01安全培训C01安全测评B05安全监理B12安全审计B13服务提供方会根据服务需求方的信息化现状和信息安全保障需求、结合自身的服务能力和服务特点,对服务组件进行组合(即形成各个服务提供方的信息安全服务实例),供需求方采购,最常见的组合方式是“ 安全集成“和“安全运维” 。安全集成是按照信息系统建设的安全需求,采用信息系统安全工程的方法和理论,将安全单元、产品部件进行集成的行为或活动。典型的安全集成包括:a) 信息安全设计;b) 信息安全产品部署;c) 信息安全检查和测试。安全运维是为满足信息系统运行的安全需求,综合采用检查、测试、监控、应急等手段,维持信息系统安全保障水平的行为或活动。典型的安全运维包括:a) 信息安全检查和测试;b) 信息安全监控;c) 信息安全应急处理。有时在安全集成和安全运维服务过程中,还会涉及一些咨询类服务和第三方角色的服务, 但由于这些服务与乙方角色的实施类服务的服务界面不同,服务需求方需尽可能将其分开采购,才可保证相关的服务质量。信息安全服务与信息系统生命周期的对应关系信息安全服务 信息系统生命周期服务类别服务组件规划设计建设运行信息安全咨询服务信息安全规划√信息安全管理体系咨询√√信息安全风险评估√√√√信息安全应急管理咨询√业务连续性管理咨询√√信息安全实施服务信息安全设计信息安全产品部署√√信息安全开发√√信息安全加固和优化√√信息安全检查和测试√信息安全监控√信息安全应急处理√信息安全通告√备份和恢复√数据修复√电子认证服务√√信息安全监理√信息安全审计√信息安全培训服务信息安全培训√√√√参考文件:《信息安全技术 信息安全服务 分类》GB/T 3028-2013《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019《信息技术 词汇 第8部分:安全》GB/T 5271.8-2001信息安全产品类别思维导图信息安全标准体系思维导图27000信息安全管理体系标准族及对应国标网络安全等级保护:网络安全等级保护和信息安全技术国家标准列表网络安全等级保护:信息技术服务从业人员能力培养