信息安全技术 信息安全服务能力评估准则-编制说明.docVIP

2012年07月

《信息安全服务能力评估准则》编制情况说明

文档编号：SCEM-001

版本：1.2

秘级说明

秘级说明

本文档包含的信息不得以任何形式泄露给除对方单位以外的任何人员

—1—

文档管理

文档信息

项目名称

《信息安全服务能力评估准则》编写

文档名称

《信息安全服务能力评估准则》编制情况说明

项目经理

张利

文档编号

SCEM-001

分发名单

来自

行动

日期

电话

发到

行动

日期

电话

*行动名称：批准，复审，通知，归档，讨论，其他

版本记录

*C创建A新增M修改D删除

版本

时间

作者

CAMD

概要描述

1.0

2010.2

佟鑫

C

1.1

2011.7

佟鑫

M

1.2

2012.7

佟鑫

M

编制说明

敏感级别

内部文件

内容概述

--

-Ⅲ-

一、编制背景

在我国提出的“五年基本建成我国信息安全保障体系”的目标中，信息安全服务能力的管理是其中的重要举措之一，是国家将信息安全管理意志落实为信息

安全管理要求的表现。

目前，我国的信息安全服务尚处于成长阶段，市场格局相对混乱，信息安全服务商在规模、环境资源、人员素质、技术能力，服务质量等方面存在着明显的差异，加上各种信息安全服务概念之间的模糊，服务商之间的竞争关系和能力评估更是一个难解的问题，这使得信息安全服务的采购方在选择符合国家规定又适合自身需求的信息安全服务提供商方面存在一定的困难性。另一方面，如何评价信息安全服务提供商提供的基本标准化服务的有效性，其服务能否满足信息安全服务采购方的需求，以及信息安全服务提供商各自擅长何种信息安全服务内容等，

都是目前有待解决的问题。

中国信息安全测评中心在国家信息安全管理部门的指导思想的指引下，充分调查和研究国内外信息安全服务的状况，针对我国信息安全服务的水平，结合已有工作的实际经验基础上，编制了《信息安全服务能力评估准则》,旨在为评定

信息安全服务能力提供科学、规范的指导。

二、编制原则

(1)立足于我国当前信息化建设现状，对我国信息系统安全服务进行调研，

注重吸纳国外相关领域的先进成果并为我所用，使其本土化。

(2)可操作性和实用性。标准是对实际工作的总结与提升，但最终还要用

于实践，要经得起实践的检验。因此要可用，可操作。

(3)注重吸收信息安全服务方面已有的经验与成果。如信息系统风险评估、

等级保护、ISO20000等标准。

(4)科学性与先进性。所提供的方法要可信，要具有引领的作用。

三、编制思路

文件编号

SCEM-001

版本编号

1.2

Page1of15

发布日期

2023-10-20

咨询单位

@CNITSEC

内部文件

本标准的编制从信息安全服务本身的特殊性出发，本着对信息安全服务的咨询、工程和运维的实用性原则，参考国内外与服务能力评价相关的标准和最佳实

践成果来制定信息安全服务能力评价的指标体系。

1.参考IT治理Cobit框架模型

本标准的编制参考了当前国际上公认的IT治理的Cobit框架模型。Cobit框架将信息的业务要求与IT服务职能的治理目标紧密结合起来。Cobit流程模型基于控制目标促进IT活动及其资源的适当管理和控制，并协调、监控Cobit目标和衡量指标的使用。该模型分为四个域，分别是(1)计划与组织；(2)获取与实施；(3)交付与支持；(4)监控与评价，站在组织高层的角度，以业务

为中心，以流程为导向，以控制为基础，以测评为驱动，进行组织IT治理。

BisressOketve

CovemsrteCkiedives

MEIhenitorandevaluateITPerfomance

ME2Moritorandevaluateintemalcontrol

ME)Ensurecorplznoeuthestemalrequrements

ME4FrovideITgovemance

PO1DefiheastrategicTplan

P02Defnertematonarchtecture

P03Dererminetechnelogydiretion

P04DefihetheITprocesses,onganisationandrelationshipsP05ManagetheITinvestment

P08Communicatemaragementaimsanddirecticn

P07ManageIThumanresourees

PO8Managequaity

P00AssessandmanageITnsks