




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
DOCPROPERTYSubject《信息安全服務(wù)能力評(píng)估準(zhǔn)則》編制情況說明SUBJECT《信息安全服務(wù)能力評(píng)估準(zhǔn)則》
編制情況說明文檔編號(hào):SCEM-DOCPROPERTY"文檔編號(hào)"001版本:DOCPROPERTY"版本"1.2秘級(jí)說明本文檔包含的信息不得以任何形式泄露給除<對(duì)方單位>以外的任何人員2012年07月
-內(nèi)部文件內(nèi)容概述
文件編號(hào)SCEM-001版本編號(hào)1.2PagePAGE2ofNUMPAGES13發(fā)布日期TIME\@"yyyy-MM-dd"2023-10-19咨詢單位@DOCPROPERTYCompanyCNITSECDOCPROPERTY密級(jí)內(nèi)部文件編制背景在我國提出的“五年基本建成我國信息安全保障體系”的目標(biāo)中,信息安全服務(wù)能力的管理是其中的重要舉措之一,是國家將信息安全管理意志落實(shí)為信息安全管理要求的表現(xiàn)。目前,我國的信息安全服務(wù)尚處于成長階段,市場格局相對(duì)混亂,信息安全服務(wù)商在規(guī)模、環(huán)境資源、人員素質(zhì)、技術(shù)能力,服務(wù)質(zhì)量等方面存在著明顯的差異,加上各種信息安全服務(wù)概念之間的模糊,服務(wù)商之間的競爭關(guān)系和能力評(píng)估更是一個(gè)難解的問題,這使得信息安全服務(wù)的采購方在選擇符合國家規(guī)定又適合自身需求的信息安全服務(wù)提供商方面存在一定的困難性。另一方面,如何評(píng)價(jià)信息安全服務(wù)提供商提供的基本標(biāo)準(zhǔn)化服務(wù)的有效性,其服務(wù)能否滿足信息安全服務(wù)采購方的需求,以及信息安全服務(wù)提供商各自擅長何種信息安全服務(wù)內(nèi)容等,都是目前有待解決的問題。中國信息安全測(cè)評(píng)中心在國家信息安全管理部門的指導(dǎo)思想的指引下,充分調(diào)查和研究國內(nèi)外信息安全服務(wù)的狀況,針對(duì)我國信息安全服務(wù)的水平,結(jié)合已有工作的實(shí)際經(jīng)驗(yàn)基礎(chǔ)上,編制了《信息安全服務(wù)能力評(píng)估準(zhǔn)則》,旨在為評(píng)定信息安全服務(wù)能力提供科學(xué)、規(guī)范的指導(dǎo)。編制原則(1)立足于我國當(dāng)前信息化建設(shè)現(xiàn)狀,對(duì)我國信息系統(tǒng)安全服務(wù)進(jìn)行調(diào)研,注重吸納國外相關(guān)領(lǐng)域的先進(jìn)成果并為我所用,使其本土化。(2)可操作性和實(shí)用性。標(biāo)準(zhǔn)是對(duì)實(shí)際工作的總結(jié)與提升,但最終還要用于實(shí)踐,要經(jīng)得起實(shí)踐的檢驗(yàn)。因此要可用,可操作。(3)注重吸收信息安全服務(wù)方面已有的經(jīng)驗(yàn)與成果。如信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)、ISO20000等標(biāo)準(zhǔn)。(4)科學(xué)性與先進(jìn)性。所提供的方法要可信,要具有引領(lǐng)的作用。編制思路本標(biāo)準(zhǔn)的編制從信息安全服務(wù)本身的特殊性出發(fā),本著對(duì)信息安全服務(wù)的咨詢、工程和運(yùn)維的實(shí)用性原則,參考國內(nèi)外與服務(wù)能力評(píng)價(jià)相關(guān)的標(biāo)準(zhǔn)和最佳實(shí)踐成果來制定信息安全服務(wù)能力評(píng)價(jià)的指標(biāo)體系。參考IT治理Cobit框架模型本標(biāo)準(zhǔn)的編制參考了當(dāng)前國際上公認(rèn)的IT治理的Cobit框架模型。Cobit框架將信息的業(yè)務(wù)要求與IT服務(wù)職能的治理目標(biāo)緊密結(jié)合起來。Cobit流程模型基于控制目標(biāo)促進(jìn)IT活動(dòng)及其資源的適當(dāng)管理和控制,并協(xié)調(diào)、監(jiān)控Cobit目標(biāo)和衡量指標(biāo)的使用。該模型分為四個(gè)域,分別是(1)計(jì)劃與組織;(2)獲取與實(shí)施;(3)交付與支持;(4)監(jiān)控與評(píng)價(jià),站在組織高層的角度,以業(yè)務(wù)為中心,以流程為導(dǎo)向,以控制為基礎(chǔ),以測(cè)評(píng)為驅(qū)動(dòng),進(jìn)行組織IT治理。圖1Cobit框架模型本標(biāo)準(zhǔn)借鑒Cobit框架模型IT治理四個(gè)域觀點(diǎn),結(jié)合PDCA質(zhì)量管理模型,從組織信息安全治理角度,根據(jù)用戶(服務(wù)采購方)的信息安全過程,確定信息安全服務(wù)涵蓋的各項(xiàng)活動(dòng),闡述各活動(dòng)的目標(biāo)和具體內(nèi)容、工作產(chǎn)品。信息安全服務(wù)過程模型如下:圖2信息安全服務(wù)過程模型通過明確信息安全組織架構(gòu),建立信息安全管理體系,指導(dǎo)信息系統(tǒng)規(guī)劃與設(shè)計(jì)、實(shí)施與交付、監(jiān)視與支持各階段信息安全工作,并建立檢查與改進(jìn)機(jī)制,以不斷的提升信息安全建設(shè)水平。參考安全工程能力成熟度模型SSE-CMM和服務(wù)過程能力成熟度模型CMMI本標(biāo)準(zhǔn)的編制借鑒了國際上公認(rèn)的能力成熟度標(biāo)準(zhǔn)SSE-CMM和CMMI,重點(diǎn)采用了其能力級(jí)別和成熟度等級(jí)思想。SSE-CMM將實(shí)施活動(dòng)劃分為公共特征,公共特征分為五個(gè)“能力級(jí)別”,表示依次增加的組織能力。每個(gè)公共特征表示為取得每一個(gè)級(jí)別需滿足的成熟安全工程屬性。圖3代表安全工程組織能力級(jí)別的成熟度CMMI雖然具有連續(xù)式和階段式兩種改善服務(wù)質(zhì)量的方式,但是等級(jí)的概念是相同的。為達(dá)到一個(gè)特定等級(jí),組織必須滿足一個(gè)流程領(lǐng)域或一組流程領(lǐng)域中所有適當(dāng)?shù)哪繕?biāo)。ProcessAreaCategoryMaturityLevelCapacityandAvailabilityManagement(CAM)ProjectManagement3CausalAnalysisandResolution(CAR)Support5ConfigurationManagement(CM)Support2DecisionAnalysisandResolution(DAR)Support3IntegratedProjectManagement(IPM)ProjectManagement3IncidentResolutionandPrevention(IRP)ServiceEstablishmentandDelivery3MeasurementandAnalysis(MA)Support2圖4流程領(lǐng)域清單與其相關(guān)的類別及成熟度等級(jí)參考國際IT服務(wù)管理最佳實(shí)踐ITIL及國際標(biāo)準(zhǔn)ISO20000圖5ITILV3服務(wù)生命周期示意圖內(nèi)容簡介《信息安全服務(wù)能力評(píng)估準(zhǔn)則》的文檔框架如下圖所示,主要包括:范圍、規(guī)范性引用文件、術(shù)語和定義、概述、信息安全服務(wù)過程、信息安全服務(wù)能力級(jí)別和附錄共7部分組成。信息安全服務(wù)能力評(píng)估準(zhǔn)則信息安全服務(wù)能力評(píng)估準(zhǔn)則方法范圍規(guī)范性引用文件術(shù)語和定義信息安全服務(wù)過程信息安全服務(wù)能力級(jí)別附錄概述圖6《信息安全服務(wù)能力評(píng)估準(zhǔn)則》文檔框架第1章,首先介紹標(biāo)準(zhǔn)的范圍,說明本標(biāo)準(zhǔn)的編制目的、目標(biāo)讀者和適用范圍等內(nèi)容。第2、3章,分別說明本標(biāo)準(zhǔn)的規(guī)范性引用文件、術(shù)語和定義。第4章,文檔結(jié)構(gòu),信息安全服務(wù)過程模型和能力評(píng)定原則。第5章,信息安全服務(wù)過程,將信息安全服務(wù)分為組織與管理、規(guī)劃與設(shè)計(jì)、實(shí)施與交付、監(jiān)視與支持、檢查與改進(jìn)5個(gè)過程域。第6章,信息安全服務(wù)能力級(jí)別,將信息安全服務(wù)能力級(jí)分為基本執(zhí)行級(jí)、計(jì)劃跟蹤級(jí)、充分定義級(jí)、量化控制級(jí)、連續(xù)改進(jìn)級(jí)5個(gè)服務(wù)能力級(jí)別,并針對(duì)每個(gè)服務(wù)能力級(jí)定義相應(yīng)的公共特征(CF)。附錄,資料性附錄,信息安全服務(wù)類型介紹。編制過程說明為了推動(dòng)信息安全服務(wù)工作的進(jìn)展,中國信息安全測(cè)評(píng)中心工作人員在中心內(nèi)部立項(xiàng)開始進(jìn)行有關(guān)信息安全評(píng)估標(biāo)準(zhǔn)和方法的研究工作,于2007年4月形成了《信息安全服務(wù)能力評(píng)估準(zhǔn)則(草案)》。2007年9月,經(jīng)全國信息安全標(biāo)準(zhǔn)化委員會(huì)專家評(píng)審?fù)ㄟ^,《信息安全服務(wù)能力評(píng)估準(zhǔn)則》標(biāo)準(zhǔn)編制項(xiàng)目正式立項(xiàng)。標(biāo)準(zhǔn)編制任務(wù)下達(dá)后,中國信息安全測(cè)評(píng)中心組織相關(guān)技術(shù)人員立即成立了標(biāo)準(zhǔn)編制小組,正式啟動(dòng)《信息安全服務(wù)能力評(píng)估準(zhǔn)則》編制工作,并于2008年3月形成第一稿。2008年4月對(duì)第一稿進(jìn)行了修改,形成第二稿。2008年8月對(duì)第二稿進(jìn)行了修改,形成第三稿。2009年3月,經(jīng)國家信息安全標(biāo)準(zhǔn)委員會(huì)評(píng)審,修改后形成《信息安全服務(wù)能力評(píng)估準(zhǔn)則(征求意見稿)》第一版,2010年4月,經(jīng)國家信息安全標(biāo)準(zhǔn)委員會(huì)評(píng)審,修改后形成《信息安全服務(wù)能力評(píng)估準(zhǔn)則(征求意見稿)》第二版。2011年7月,標(biāo)準(zhǔn)編制小組封閉,引入CMMI思路,對(duì)本標(biāo)準(zhǔn)征求意見稿進(jìn)行修改。2012年3月,標(biāo)準(zhǔn)編制小組再次進(jìn)行封閉,對(duì)術(shù)語與定義、信息安全服務(wù)過程各活動(dòng)項(xiàng)進(jìn)行梳理和完善,增加概述一章,同時(shí)對(duì)信息安全服務(wù)能力級(jí)別進(jìn)行了細(xì)化補(bǔ)充,以指導(dǎo)該標(biāo)準(zhǔn)的正確使用。《信息安全服務(wù)能力評(píng)估準(zhǔn)則》的編制主要經(jīng)歷了如下4個(gè)階段:前期準(zhǔn)備階段這一階段的主要任務(wù)是:討論標(biāo)準(zhǔn)文本的內(nèi)容、收集國內(nèi)外相關(guān)資料、商定標(biāo)準(zhǔn)編制進(jìn)度安排和編制小組人員安排及其它相關(guān)準(zhǔn)備工作。提綱編制階段這一階段的主要任務(wù)是:組織小組成員討論標(biāo)準(zhǔn)的編制提綱,商定此次標(biāo)準(zhǔn)應(yīng)涉及的內(nèi)容與范圍。討論核心方法與基本觀點(diǎn),在基于多方共識(shí)的基礎(chǔ)上擬定編制提綱。任務(wù)細(xì)化階段這一階段的主要任務(wù)是:按照擬定的提綱根據(jù)小組成員的各自特點(diǎn)與專長進(jìn)行編制任務(wù)的劃分,在充分準(zhǔn)備之后請(qǐng)各位成員進(jìn)行主題發(fā)言,同時(shí)也根據(jù)實(shí)際工作經(jīng)驗(yàn)對(duì)指南的其它部分提出自己的意見與建議。具體實(shí)施階段這一階段的主要任務(wù)是:經(jīng)過多輪的討論,對(duì)標(biāo)準(zhǔn)文本進(jìn)行整合和改進(jìn),對(duì)文本結(jié)構(gòu)和行文語句做了大量修改工作,完善標(biāo)準(zhǔn)文本,補(bǔ)充配套材料。TOC\o"1-3"第1章編制背景 1第2章編制原則 2第3章編制思路 3第
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 夫妻共同債務(wù)分擔(dān)與忠誠協(xié)議效力鑒定合同
- XX縣先進(jìn)性動(dòng)鞏固擴(kuò)大整改成果和“回頭看”工作向中央督導(dǎo)組的匯報(bào)
- 魚塘買賣合同協(xié)議書
- 餐廳合作入股協(xié)議書
- 韓式餐具轉(zhuǎn)讓協(xié)議書
- 餐廳勞務(wù)合同協(xié)議書
- 做生意租房合同協(xié)議書
- 轉(zhuǎn)租合同解除協(xié)議書
- 裝修外包施工協(xié)議書
- 配偶父母分家協(xié)議書
- 氮化爐安全操作規(guī)程
- XK5036數(shù)控立式銑床總體及橫向進(jìn)給傳動(dòng)機(jī)構(gòu)畢業(yè)設(shè)計(jì)畢業(yè)論文
- 核醫(yī)學(xué)主治醫(yī)師考試:核醫(yī)學(xué)專業(yè)知識(shí)真題模擬匯編(共569題)
- 英語論文Result-Discussion課件
- 單層鋼結(jié)構(gòu)工程施工作業(yè)指導(dǎo)書
- 第五單元群文閱讀(共28張PPT) 部編版語文八年級(jí)下冊(cè)
- 相似三角形的判定與性質(zhì)復(fù)習(xí)課(原創(chuàng)修訂)課件
- 買賣車輛不過戶協(xié)議書
- 青春期學(xué)生性教育PPT資料
- 文博考研-博物館學(xué)名詞解釋
- 安全信息管理程序
評(píng)論
0/150
提交評(píng)論