当前位置:文档之家 › 信息安全服务能力评估准则

信息安全服务能力评估准则

  • 格式:docx
  • 大小:951.49 KB
  • 文档页数:68

下载文档原格式

  / 12
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全服务能力评估准则Assessment criteria for information security service capability

目次

前言................................................................................ IV 引言................................................................................. I

1 范围 (1)

2 规范性引用文件 (1)

3 术语、定义和缩略语 (1)

4 概述 (4)

4.1 信息安全服务过程模型 (4)

4.1.1 组织战略 (5)

4.1.2 规划设计 (5)

4.1.3 实施交付 (5)

4.1.4 监视支持 (5)

4.1.5 检查改进 (6)

4.2 能力评定原则 (6)

4.2.1 综合考虑原则 (6)

4.2.2 可裁剪原则 (6)

4.2.3 符合性原则 (6)

4.2.4 可操作性原则 (6)

5 信息安全服务过程 (6)

5.1 D01组织战略 (6)

5.1.1 D01PA01制定信息安全章程 (6)

5.1.2 D01PA02建立信息安全组织 (8)

5.1.3 D01PA03制定信息安全策略 (9)

5.1.4 D01PA04制定安全管理程序 (10)

5.1.5 D01PA05协调信息安全 (14)

5.2 D02规划与设计 (16)

5.2.1 D02PA01指定安全需求 (16)

5.2.2 D02PA02评估影响 (19)

5.2.3 D02PA03评估威胁 (21)

5.2.4 D02PA04评估脆弱性 (23)

5.2.5 D02PA05评估安全风险 (25)

5.2.6 D02PA06提供安全输入 (27)

5.2.7 D02PA07识别资产 (30)

5.3 D03实施与交付 (31)

5.3.1 DO3PA01获取资源 (31)

5.3.2 D03PA02管理实施过程 (33)

5.3.3 D03PA03建立保证论据 (34)

5.3.4 D03PA04验证和证实安全 (36)

5.3.5 D03PA05确保交付 (38)

5.4 D04监视与支持 (39)

5.4.1 D04PA01定义服务水平 (39)

5.4.2 D04PA02监视安全态势 (40)

5.4.3 D04PA03管理服务台 (43)

5.4.4 D04PA04管理问题 (44)

5.4.5 D04PA05管理物理环境 (45)

5.4.6 D04PA06管理数据 (46)

5.4.7 D04PA07管理操作 (47)

5.4.8 D04PA08管理性能与容量 (49)

5.4.9 D04PA09管理配置 (49)

5.4.10 D04PA10确保业务连续性 (51)

5.5 D05检查与改进 (52)

5.5.1 D05PA01执行安全检查 (52)

5.5.2 D05PA02实施与跟踪改进 (53)

5.5.3 D05PA03实施培训 (53)

6 信息安全服务能力级别 (56)

6.1 能力级别1 基本执行 (56)

6.1.1 摘要描述 (56)

6.1.2 公共特征列表 (56)

6.2 能力级别2 计划跟踪 (57)

6.2.1 摘要描述 (57)

6.2.2 公共特征列表 (57)

6.3 能力级别3 充分定义 (57)

6.3.1 摘要描述 (57)

6.3.2 公共特征列表 (57)

6.4 能力级别4 量化控制 (58)

6.4.1 摘要描述 (58)

6.4.2 公共特征列表 (58)

6.5 能力级别5 连续改进 (58)

6.5.1 摘要描述 (58)

6.5.2 公共特征列表 (59)

7 信息安全服务能力评定 (59)

附录A(资料性附录)信息安全服务类型 (62)

参考文献 (64)

引言

本标准的目的是对提供信息安全服务的组织进行能力评估,为国家有关主管部门评估信息安全服务能力提供技术依据。

本标准的评估对象是提供信息安全服务的组织,包括信息安全工程的设计、施工及其相关的咨询和培训组织。

本标准分为以下几个章节:

第1章,介绍标准的范围,说明本标准的编制目的、目标读者和适用范围等内容。

第2和3章,分别说明本标准的规范性引用文件、术语和定义。

第4章,文档结构,信息安全服务过程模型和能力评定原则

第5章,信息安全服务过程,将信息安全服务分为组织与战略、规划与设计、实施与交付、监视与支持、检查与改进5个过程域。

第6章,信息安全服务能力级别,将信息安全服务能力级分为基本执行级、计划跟踪级、充分定义级、量化控制级、连续改进级5个服务能力级别,并针对每个服务能力级定义相应的公共特征(CF)。

附录A,资料性附录,介绍信息安全服务类型的种类和定义。

信息安全服务能力评估准则

1 范围

本标准制定了信息安全服务行业对于服务提供能力的评估标准,并对标准内容和具体实践提供了明确的定义和指导意见。既可用于对信息安全服务提供商的能力进行评估,也可为服务提供商对于自身能力的改善提供指导。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T 20984-2007 信息安全风险评估规范

3 术语、定义和缩略语

GB/T 5271.8确立的下列术语和定义适用于此标准。

3.1

过程域 Process area

一个过程域(PA)是一组相关系统工程过程的性质,当这些性质全部实施后则能够达到过程域定义的目的。

3.2

基本实践 Base pratices

一个过程域由基本实践(BP)组成。这些基本实践是系统工程过程中必须存在的性质,只有当所有这些性质完全实现后,才可说满足了这个过程域的要求。

3.3

能力等级(Ability level)

流程领域内流程改善达到的程度,能力等级由流程领域内适当的特定及一般执行方法所定义。

3.4

基准 (Benchmark)

经正式审查及同意的一组规格或工作产品,据以用作未来发展的基础,而且仅能由变更管制程序变更。

3.5

相关主题