2022信息安全服務(wù)企業(yè)能力評(píng)估標(biāo)準(zhǔn)

信息安全服務(wù)企業(yè)能力評(píng)估標(biāo)準(zhǔn)目次前 言 II引 言 III范圍 1規(guī)性用件 1術(shù)和義 1信安服原則 3規(guī)性 3據(jù)業(yè)保護(hù) 4能評(píng)要求 4級(jí)力求 4級(jí)力求 5級(jí)力求 6級(jí)力求 8級(jí)力求 10附錄A（料附）息安服類及應(yīng)目級(jí)劃分 13I信息安全服務(wù)企業(yè)能力評(píng)估標(biāo)準(zhǔn)范圍本標(biāo)準(zhǔn)規(guī)定了對(duì)信息安全服務(wù)提供方的服務(wù)能力通用等級(jí)要求。GB/T32914-201630271-201330283-2013YD/T1621-2007GB/T32914-2016所界定的以及下列術(shù)語和定義適用于本文件。信息全務(wù) informationsecurityservice信息安全服務(wù)通常以信息安全服務(wù)提供方和信息安全服務(wù)需求方之間的服務(wù)項(xiàng)目形式進(jìn)行。信息安全服務(wù)需求方informationsecurityserviceacquirer。信息安全服務(wù)提供方informationsecurityserviceprovider按照服務(wù)協(xié)議，通過專業(yè)的信息安全人員提供信息安全服務(wù)的組織。服務(wù)協(xié)議serviceagreement服務(wù)需求方和服務(wù)提供方在服務(wù)開始前共同簽署的約定，并在服務(wù)過程中共同遵守。1通常包含服務(wù)原則、服務(wù)內(nèi)容、服務(wù)形式、服務(wù)級(jí)別、服務(wù)價(jià)格、服務(wù)交付成果、服務(wù)安全要求等，在形式上可以是服務(wù)合同及其附屬的工作說明書。服務(wù)級(jí)別servicelevel在服務(wù)協(xié)議中對(duì)服務(wù)交付成果明確約定、可測(cè)量和文檔化的一系列服務(wù)指標(biāo)。服務(wù)目錄servicecatalogue在服務(wù)協(xié)議中明確展示服務(wù)內(nèi)容、服務(wù)形式、服務(wù)價(jià)格、服務(wù)交付成果和服務(wù)級(jí)別等的一份列表。服務(wù)組合serviceportfolio多個(gè)服務(wù)類別或服務(wù)項(xiàng)目以及其他工作的集合。供應(yīng)鏈supplychain服務(wù)要素servicefactors服務(wù)方案serviceplans服務(wù)工具servicetools為達(dá)成服務(wù)目標(biāo)或提高服務(wù)質(zhì)量和效率所需要的設(shè)備、軟件、模板、知識(shí)庫等。服務(wù)變更servicechange任何可能對(duì)服務(wù)產(chǎn)生影響的新增、修改或解除的活動(dòng)。服務(wù)變更可能涉及服務(wù)的范圍、人員、內(nèi)容、形式、價(jià)格、時(shí)間、方案、流程、工具、服務(wù)級(jí)別等。2信息安全風(fēng)險(xiǎn)評(píng)估informationsecurityriskassessment信息安全風(fēng)險(xiǎn)評(píng)估貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)以及廢棄各個(gè)階段。信息安全系統(tǒng)集成informationsecuritysystemintegration信息安全系統(tǒng)運(yùn)維informationsecuritysystemoperationandmaintenance信息安全應(yīng)急處理informationsecurityemergencytreatment針對(duì)各類信息安全事件，提供實(shí)施層面的應(yīng)急響應(yīng)和應(yīng)急演練。信息安全服務(wù)能力級(jí)別informationsecurityservicelevel信息安全服務(wù)提供方在提供滿足需求方的安全服務(wù)的組織、協(xié)調(diào)、技術(shù)水平和管理的能力成熟程度。合規(guī)性3數(shù)據(jù)和業(yè)務(wù)保護(hù)在信息安全服務(wù)實(shí)施過程中，對(duì)信息安全服務(wù)需求方的數(shù)據(jù)和業(yè)務(wù)進(jìn)行保護(hù)。具體原則如下：IT例）。肆級(jí)能力要求綜合要求制度和體系要求4人力資源要求1151叁級(jí)能力要求綜合要求100100300制度和體系要求5a)150人力資源要求212105121102150萬。貳級(jí)能力要求綜合要求）6100010003000制度和體系要求（辦公場(chǎng)所要求a)500人力資源要求4245020105527保密要求技術(shù)能力要求業(yè)績(jī)要求21551500壹級(jí)能力要求綜合要求）5000500038制度和體系要求GB/T24405.1或）辦公場(chǎng)所要求a)1500人力資源要求535200100301025名，其中高級(jí)項(xiàng)目經(jīng)理人數(shù)不少于10名。保密要求9技術(shù)能力要求325101.5億。特級(jí)能力要求綜合要求）111010制度和體系要求GB/T24405.1或）辦公場(chǎng)所要求a)3000人力資源要求848400200602050名，其中高級(jí)項(xiàng)目經(jīng)理人數(shù)不少于20名。保密要求11技術(shù)能力要求440155億。12附錄A（資料性附錄）信息安全服務(wù)類別及對(duì)應(yīng)項(xiàng)目級(jí)別劃分信息安全服務(wù)類別與服務(wù)項(xiàng)目級(jí)別對(duì)應(yīng)關(guān)系見表A.1。表A.1信息安全服務(wù)類別與服務(wù)項(xiàng)目級(jí)別對(duì)應(yīng)關(guān)系序號(hào)信息安全服務(wù)類別服務(wù)代碼服務(wù)項(xiàng)目級(jí)別定義一級(jí)二級(jí)三級(jí)四級(jí)1風(fēng)險(xiǎn)評(píng)估ISS001合同額≥50萬50萬＞合同額≥20萬20萬＞合同額≥5萬合同額＜5萬2（硬件）ISS002合同額≥1000萬1000萬＞合同額≥200萬200萬＞合同額≥50萬合同額＜50萬（軟件）合同額≥50萬50萬＞合同額≥20萬20萬＞合同額≥5萬合同額＜5萬3系統(tǒng)運(yùn)維IS