信息安全技術(shù) 信息安全服務(wù)能力評(píng)估準(zhǔn)則-編制說明

DOCPROPERTYSubject《信息安全服務(wù)能力評(píng)估準(zhǔn)則》編制情況說明SUBJECT《信息安全服務(wù)能力評(píng)估準(zhǔn)則》

編制情況說明文檔編號(hào)：SCEM-DOCPROPERTY"文檔編號(hào)"001版本：DOCPROPERTY"版本"1.2秘級(jí)說明本文檔包含的信息不得以任何形式泄露給除<對(duì)方單位>以外的任何人員2012年07月

-內(nèi)部文件內(nèi)容概述

文件編號(hào)SCEM-001版本編號(hào)1.2PagePAGE2ofNUMPAGES13發(fā)布日期TIME\@"yyyy-MM-dd"2023-10-19咨詢單位@DOCPROPERTYCompanyCNITSECDOCPROPERTY密級(jí)內(nèi)部文件編制背景在我國提出的“五年基本建成我國信息安全保障體系”的目標(biāo)中，信息安全服務(wù)能力的管理是其中的重要舉措之一，是國家將信息安全管理意志落實(shí)為信息安全管理要求的表現(xiàn)。目前，我國的信息安全服務(wù)尚處于成長階段，市場格局相對(duì)混亂，信息安全服務(wù)商在規(guī)模、環(huán)境資源、人員素質(zhì)、技術(shù)能力，服務(wù)質(zhì)量等方面存在著明顯的差異，加上各種信息安全服務(wù)概念之間的模糊，服務(wù)商之間的競爭關(guān)系和能力評(píng)估更是一個(gè)難解的問題，這使得信息安全服務(wù)的采購方在選擇符合國家規(guī)定又適合自身需求的信息安全服務(wù)提供商方面存在一定的困難性。另一方面，如何評(píng)價(jià)信息安全服務(wù)提供商提供的基本標(biāo)準(zhǔn)化服務(wù)的有效性，其服務(wù)能否滿足信息安全服務(wù)采購方的需求，以及信息安全服務(wù)提供商各自擅長何種信息安全服務(wù)內(nèi)容等，都是目前有待解決的問題。中國信息安全測(cè)評(píng)中心在國家信息安全管理部門的指導(dǎo)思想的指引下，充分調(diào)查和研究國內(nèi)外信息安全服務(wù)的狀況，針對(duì)我國信息安全服務(wù)的水平，結(jié)合已有工作的實(shí)際經(jīng)驗(yàn)基礎(chǔ)上，編制了《信息安全服務(wù)能力評(píng)估準(zhǔn)則》，旨在為評(píng)定信息安全服務(wù)能力提供科學(xué)、規(guī)范的指導(dǎo)。編制原則（1）立足于我國當(dāng)前信息化建設(shè)現(xiàn)狀，對(duì)我國信息系統(tǒng)安全服務(wù)進(jìn)行調(diào)研，注重吸納國外相關(guān)領(lǐng)域的先進(jìn)成果并為我所用，使其本土化。（2）可操作性和實(shí)用性。標(biāo)準(zhǔn)是對(duì)實(shí)際工作的總結(jié)與提升，但最終還要用于實(shí)踐，要經(jīng)得起實(shí)踐的檢驗(yàn)。因此要可用，可操作。（3）注重吸收信息安全服務(wù)方面已有的經(jīng)驗(yàn)與成果。如信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)、ISO20000等標(biāo)準(zhǔn)。（4）科學(xué)性與先進(jìn)性。所提供的方法要可信，要具有引領(lǐng)的作用。編制思路本標(biāo)準(zhǔn)的編制從信息安全服務(wù)本身的特殊性出發(fā)，本著對(duì)信息安全服務(wù)的咨詢、工程和運(yùn)維的實(shí)用性原則，參考國內(nèi)外與服務(wù)能力評(píng)價(jià)相關(guān)的標(biāo)準(zhǔn)和最佳實(shí)踐成果來制定信息安全服務(wù)能力評(píng)價(jià)的指標(biāo)體系。參考IT治理Cobit框架模型本標(biāo)準(zhǔn)的編制參考了當(dāng)前國際上公認(rèn)的IT治理的Cobit框架模型。Cobit框架將信息的業(yè)務(wù)要求與IT服務(wù)職能的治理目標(biāo)緊密結(jié)合起來。Cobit流程模型基于控制目標(biāo)促進(jìn)IT活動(dòng)及其資源的適當(dāng)管理和控制，并協(xié)調(diào)、監(jiān)控Cobit目標(biāo)和衡量指標(biāo)的使用。該模型分為四個(gè)域，分別是（1）計(jì)劃與組織；（2）獲取與實(shí)施；（3）交付與支持；（4）監(jiān)控與評(píng)價(jià)，站在組織高層的角度，以業(yè)務(wù)為中心，以流程為導(dǎo)向，以控制為基礎(chǔ)，以測(cè)評(píng)為驅(qū)動(dòng)，進(jìn)行組織IT治理。圖1Cobit框架模型本標(biāo)準(zhǔn)借鑒Cobit框架模型IT治理四個(gè)域觀點(diǎn)，結(jié)合PDCA質(zhì)量管理模型，從組織信息安全治理角度，根據(jù)用戶（服務(wù)采購方）的信息安全過程，確定信息安全服務(wù)涵蓋的各項(xiàng)活動(dòng)，闡述各活動(dòng)的目標(biāo)和具體內(nèi)容、工作產(chǎn)品。信息安全服務(wù)過程模型如下:圖2信息安全服務(wù)過程模型通過明確信息安全組織架構(gòu)，建立信息安全管理體系，指導(dǎo)信息系統(tǒng)規(guī)劃與設(shè)計(jì)、實(shí)施與交付、監(jiān)視與支持各階段信息安全工作，并建立檢查與改進(jìn)機(jī)制，以不斷的提升信息安全建設(shè)水平。參考安全工程能力成熟度模型SSE-CMM和服務(wù)過程能力成熟度模型CMMI本標(biāo)準(zhǔn)的編制借鑒了國際上公認(rèn)的能力成熟度標(biāo)準(zhǔn)SSE-CMM和CMMI，重點(diǎn)采用了其能力級(jí)別和成熟度等級(jí)思想。SSE-CMM將實(shí)施活動(dòng)劃分為公共特征，公共特征分為五個(gè)“能力級(jí)別”，表示依次增加的組織能力。每個(gè)公共特征表示為取得每一個(gè)級(jí)別需滿足的成熟安全工程屬性。圖3代表安全工程組織能力級(jí)別的成熟度CMMI雖然具有連續(xù)式和階段式兩種改善服務(wù)質(zhì)量的方式，但是等級(jí)的概念是相同的。為達(dá)到一個(gè)特定等級(jí)，組織必須滿足一個(gè)流程領(lǐng)域或一組流程領(lǐng)域中所有適當(dāng)?shù)哪繕?biāo)。ProcessAreaCategoryMaturityLevelCapacityandAvailabilityManagement(CAM)ProjectManagement3CausalAnalysisandResolution(CAR)Support5ConfigurationManagement(CM)Support2DecisionAnalysisandResolution(DAR)Support3IntegratedProjectManagement(IPM)ProjectManagement3IncidentResolutionandPrevention(IRP)ServiceEstablishmentandDelivery3MeasurementandAnalysis(MA)Support2圖4流程領(lǐng)域清單與其相關(guān)的類別及成熟度等級(jí)參考國際IT服務(wù)管理最佳實(shí)踐ITIL及國際標(biāo)準(zhǔn)ISO20000圖5ITILV3服務(wù)生命周期示意圖內(nèi)容簡介《信息安全服務(wù)能力評(píng)估準(zhǔn)則》的文檔框架如下圖所示，主要包括：范圍、規(guī)范性引用文件、術(shù)語和定義、概述、信息安全服務(wù)過程、信息安全服務(wù)能力級(jí)別和附錄共7部分組成。信息安全服務(wù)能力評(píng)估準(zhǔn)則信息安全服務(wù)能力評(píng)估準(zhǔn)則方法范圍規(guī)范性引用文件術(shù)語和定義信息安全服務(wù)過程信息安全服務(wù)能力級(jí)別附錄概述圖6《信息安全服務(wù)能力評(píng)估準(zhǔn)則》文檔框架第1章，首先介紹標(biāo)準(zhǔn)的范圍，說明本標(biāo)準(zhǔn)的編制目的、目標(biāo)讀者和適用范圍等內(nèi)容。第2、3章，分別說明本標(biāo)準(zhǔn)的規(guī)范性引用文件、術(shù)語和定義。第4章，文檔結(jié)構(gòu)，信息安全服務(wù)過程模型和能力評(píng)定原則。第5章，信息安全服務(wù)過程，將信息安全服務(wù)分為組織與管理、規(guī)劃與設(shè)計(jì)、實(shí)施與交付、監(jiān)視與支持、檢查與改進(jìn)5個(gè)過程域。第6章，信息安全服務(wù)能力級(jí)別，將信息安全服務(wù)能力級(jí)分為基本執(zhí)行級(jí)、計(jì)劃跟蹤級(jí)、充分定義級(jí)、量化控制級(jí)、連續(xù)改進(jìn)級(jí)5個(gè)服務(wù)能力級(jí)別，并針對(duì)每個(gè)服務(wù)能力級(jí)定義相應(yīng)的公共特征（CF）。附錄，資料性附錄，信息安全服務(wù)類型介紹。編制過程說明為了推動(dòng)信息安全服務(wù)工作的進(jìn)展，中國信息安全測(cè)評(píng)中心工作人員在中心內(nèi)部立項(xiàng)開始進(jìn)行有關(guān)信息安全評(píng)估標(biāo)準(zhǔn)和方法的研究工作，于2007年4月形成了《信息安全服務(wù)能力評(píng)估準(zhǔn)則（草案）》。2007年9月，經(jīng)全國信息安全標(biāo)準(zhǔn)化委員會(huì)專家評(píng)審?fù)ㄟ^，《信息安全服務(wù)能力評(píng)估準(zhǔn)則》標(biāo)準(zhǔn)編制項(xiàng)目正式立項(xiàng)。標(biāo)準(zhǔn)編制任務(wù)下達(dá)后，中國信息安全測(cè)評(píng)中心組織相關(guān)技術(shù)人員立即成立了標(biāo)準(zhǔn)編制小組，正式啟動(dòng)《信息安全服務(wù)能力評(píng)估準(zhǔn)則》編制工作，并于2008年3月形成第一稿。2008年4月對(duì)第一稿進(jìn)行了修改，形成第二稿。2008年8月對(duì)第二稿進(jìn)行了修改，形成第三稿。2009年3月，經(jīng)國家信息安全標(biāo)準(zhǔn)委員會(huì)評(píng)審，修改后形成《信息安全服務(wù)能力評(píng)估準(zhǔn)則（征求意見稿）》第一版，2010年4月，經(jīng)國家信息安全標(biāo)準(zhǔn)委員會(huì)評(píng)審，修改后形成《信息安全服務(wù)能力評(píng)估準(zhǔn)則（征求意見稿）》第二版。2011年7月，標(biāo)準(zhǔn)編制小組封閉，引入CMMI思路，對(duì)本標(biāo)準(zhǔn)征求意見稿進(jìn)行修改。2012年3月，標(biāo)準(zhǔn)編制小組再次進(jìn)行封閉，對(duì)術(shù)語與定義、信息安全服務(wù)過程各活動(dòng)項(xiàng)進(jìn)行梳理和完善，增加概述一章，同時(shí)對(duì)信息安全服務(wù)能力級(jí)別進(jìn)行了細(xì)化補(bǔ)充，以指導(dǎo)該標(biāo)準(zhǔn)的正確使用。《信息安全服務(wù)能力評(píng)估準(zhǔn)則》的編制主要經(jīng)歷了如下4個(gè)階段：前期準(zhǔn)備階段這一階段的主要任務(wù)是：討論標(biāo)準(zhǔn)文本的內(nèi)容、收集國內(nèi)外相關(guān)資料、商定標(biāo)準(zhǔn)編制進(jìn)度安排和編制小組人員安排及其它相關(guān)準(zhǔn)備工作。提綱編制階段這一階段的主要任務(wù)是：組織小組成員討論標(biāo)準(zhǔn)的編制提綱，商定此次標(biāo)準(zhǔn)應(yīng)涉及的內(nèi)容與范圍。討論核心方法與基本觀點(diǎn)，在基于多方共識(shí)的基礎(chǔ)上擬定編制提綱。任務(wù)細(xì)化階段這一階段的主要任務(wù)是：按照擬定的提綱根據(jù)小組成員的各自特點(diǎn)與專長進(jìn)行編制任務(wù)的劃分，在充分準(zhǔn)備之后請(qǐng)各位成員進(jìn)行主題發(fā)言，同時(shí)也根據(jù)實(shí)際工作經(jīng)驗(yàn)對(duì)指南的其它部分提出自己的意見與建議。具體實(shí)施階段這一階段的主要任務(wù)是：經(jīng)過多輪的討論，對(duì)標(biāo)準(zhǔn)文本進(jìn)行整合和改進(jìn)，對(duì)文本結(jié)構(gòu)和行文語句做了大量修改工作，完善標(biāo)準(zhǔn)文本，補(bǔ)充配套材料。TOC\o"1-3"第1章編制背景 1第2章編制原則 2第3章編制思路 3第