信息安全服务的定义和分类.pdf

信息安全服务的定义和分类--第1页

信息安全技术

信息安全服务的定义和分类

1

信息安全服务的定义和分类--第1页

信息安全服务的定义和分类--第2页

目次

前言III

1范围1

2规范性引用文件1

3术语和定义1

4信息安全服务模型3

5信息安全服务分类3

6信息安全咨询服务4

6.1概述4

6.2信息安全规划5

6.3信息安全管理体系咨询5

6.4信息安全风险评估5

6.5信息安全应急管理咨询5

6.6业务连续性管理咨询5

7信息安全实施服务6

7.1概述6

7.2信息安全设计6

7.3信息安全产品部署6

7.4信息安全开发6

7.5信息安全加固和优化6

7.6信息安全检查6

7.7信息安全测试7

7.8信息安全监控7

7.9信息安全应急处理7

7.10信息安全通告7

7.11备份和恢复7

7.12数据修复8

7.13电子认证服务8

8信息安全培训服务8

9第三方信息安全服务8

9.1概述8

9.2信息安全测评8

9.3信息安全监理9

9.4信息安全审计9

10信息安全服务特点9

附录A（规范性附录）信息安全服务的采购10

附录B（资料性附录）信息安全服务与信息系统生命周期的对应关系12

参考文献13

2

信息安全服务的定义和分类--第2页

信息安全服务的定义和分类--第3页

1范围

本标准规定了信息安全服务的定义、一般模型和主要类别，包括信息安全咨询服务、信息安全实施服

务、信息安全培训服务、第三方信息安全服务和其他信息安全服务五大类。

本标准适用于各类组织或个人用户对信息安全服务的选用和采购，也适用于信息安全服务提供方提供

信息安全服务和开发信息安全服务产品，以及信息安全行业对信息安全服务的分类管理。

本标准不适用于仅依附于信息安全产品的信息安全服务（如：信息安全产品的使用、维保等服务）。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。

凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T5271.8-2001《信息技术词汇第8部分：安全》

GB/T18336-2008《信息技术安全技术信息技术安全性评估准则》

3术语和定义

3.1

信息安全服务InformationSecurityService

面向组织、信息系统或相关人员的信息安全保障需求，由服务提供方按照服务协议所执行的一个信息

安全过程或任务。

通常是基于信息安全技术、产品或管理体系的，通过外包的形式，由专业信息安全人员所提供的支持

和帮助。

3.2

信息安全服务需求方InformationSecurityServiceDemander

有偿采购（或免费使用）外部所提供的信息安全服务，以满足自身信息安全保障需求，实现自身业务

目标的组织（或个人用户）。

3.3

信息安全服务提供方InformationSecurityServiceProvider

按照服务协议，提供信息安全服务的各类组织机构，信息安全服务提供方在每项具体的服务中，其服