国家标准软件工程软件测量过程送审稿编制说明-全国信息安全.DOCVIP

国家标准《信息安全服务 定义和分类》 （草案稿）编制说明 一、任务来源 自2005年起，上海三零卫士信息安全有限公司等承担了全国信息安全标准化技术委员会下达的“国家信息安全战略研究与标准制定工作专项项目---《信息系统安全服务管理指南研究》”。在该项目的基础上，上海三零卫士信息安全有限公司于2007年开始了《信息安全服务指南》的研究（侧重于信息安全服务体系）。2009年，继续《信息安全服务指南》的深入研究（侧重于不同信息安全服务的内容和实施要点），在研究过程中逐渐认识到信息安全服务分类的重要性。2011年，结果几次评审和讨论后，本标准编写组的各家成员达成一致，决定将标准名称正式改为《信息安全服务 定义和分类》，作为今后信息安全服务标准框架中的一个基础性标准。 二、目的意义 网络和信息安全是一项系统工程，除了安全产品的部署外，还要在安全监控、安全管理、应急响应等方面采取措施，在前期还需要安全咨询和安全设计，实施过程中还需要第三方提供监理、测评等。由于一些政府部门和企业在信息安全方面往往不具备足够的人力、技术、时间来落实信息安全保障工作，使得他们不得不借助于外部的安全服务提供商（Security Services Provider）来提供信息安全的整体解决方案。 另外，即使政府或企业具有信息安全相关的人力和技术资源，他们也需要对自身的安全服务加以管理，并对组织自身安全服务耗费的成本和带来的效益加以统计和分析，以实现对内部安全服务的可控性。 目前，国内取得安全服务资格的厂商超过了30家，知名的安全服务厂商也达到近10家，在政府和金融、电信等行业领域用户群体在迅速扩大，我国的信息安全服务市场正在成为信息安全产业新的业务增长点。 然而，国内的信息安全服务市场还不够成熟和规范。各服务提供商所提供服务内容的同质化明显，各种安全服务新概念层出不穷，在实际操作中各自对信息安全服务的内涵和外延的理解、做法又不尽相同，往往不能真正提升用户的信息安全水平。从用户角度来看，目前国内政府和企业中信息安全建设多处在较初级的阶段，用户的安全意识和安全技术能力都较为落后，使得用户的安全需求和厂商的安全服务之间对接不清晰，无法选择适当的安全服务提供商，不能对安全服务过程有效管理，对安全服务提供商的服务质量无法做出正确的评价。 本研究项目是根据当前国内安全服务市场中存在的实际情况而提出的，它的研究成果将促进我国目前良莠不齐的信息安全服务市场的规范化，有利于信息安全服务需求方与提供方安全服务责任的明确，有利于促进安全服务提供方的服务质量，并引导安全服务提供方大力推广自己的服务。同时一个科学、明晰的分类体系也有利于信息安全主管部门的行业管理，为我国整个信息安全服务行业提供指导示范作用，从而提高我国信息安全保障的整体水平。 三、编制原则 信息安全服务方面有很多内容需要规范，本标准定位于信息安全服务标准框架中的基础性标准，重点在于信息安全服务的定义和分类，拟用作信息安全服务供需双方在采购和提供相关服务的指导，也可用作信息安全行业对信息安全服务的管理。主要的编制原则是：体系清晰、定义明确，分类能概括共性特点并符合业界习惯，具有可扩展性。 四、主要起草单位 上海三零卫士信息安全有限公司等。 五、编制过程 自2005年起，参编单位的有关人员就对服务相关的标准进行研究，包括OMSS、SP800-35、ITIL、ISO20000等，完成了《信息系统安全服务管理指南研究报告》。 2006年，在标准研究期间，结合参编单位的信息安全服务内容以及服务管理经验，形成了第一稿《信息安全服务管理指南》。 2007年，全国信息安全标准化技术委员会对安全服务方面的标准进行了初步梳理，将安全服务管理指南和安全服务指南的内容进行分离，本标准定位于后者。 2008年3月，将标准内容定位于服务内容、服务保障、服务级别，服务级别参照了SSE-CMM的要求（将其作为附录），并与服务保障的主要方面进行了对应。形成了《信息安全服务指南》（草案稿）。 2008年4月1～2日，全国信息安全标准化技术委员会在北京召开了一次项目评审和交流会，与会专家对标准草案进行了讨论，提出了修改意见。 2008年5月－9月，标准编写组根据专家意见，以及近期对服务外包管理的研究，对标准草案稿进行了修改，使得标准进一步完善，形成了新的标准草案稿。 2008年10月16日，全国信息安全标准化技术委员会在北京又召开一次项目评审和交流会，与会专家对标准草案进行了讨论并提出修改意见。 2008年11－2009年2月，标准编写组根据专家意见，对标准草案稿进行了内部讨论，确定信息安全服务指南定位于为信息安全服务提供者提供实施指南，删除服务保障、服务级别内容，对信息安全服务内容进行梳理分类，并重点阐述信息安全服务的实施过程。 2009年3月－4月，标准编