分享获18个赞,截图公众号后台回复,获本文中提及取思维导图清晰版!
在《信息安全技术 信息安全服务 分类》中给出了信息安全服务的特点:
——不依附于某一单独的、具体的、批益生产的信息安全产品;
——就某项具体的服务而言,信息安全服务提供方只能以乙方或第三方的一种角色出现;
——针对不同的信息安全保障需求,信息安全服务提供方可提供不同服务内容的组合;
——信息安全服务的形式可以分为现场服务、远程联机服务、远程非联机服务等;
——信息安全服务提供方应保证其服务人员、过程和工具的可信和可控;
——信息安全服务需求方的信息安全责任部门(或个人自身)应承担对服务的采购、管理等责任;
——信息安全服务提供方应符合国家信息安全基本政策的相关规定(如等级保护),并接受国家信息安全管理部门的行业管理。
![信息安全服务与信息系统生命周期的对应关系]( "信息安全服务与信息系统生命周期的对应关系")
其中信息安全实施服务的服务界面为:
a) 服务对象
b) 服务供需
服务提供方提供与信息安全相关的技术保障、管理保障等直接支撑,以满足组织(或个人)对专业技能、专业人员、专业工具的需求,从而保障信息系统整体或各层面的安全性。
c) 服务特征
基于对信息系统全生命周期的信息安全保障,为系统的建设和运行提供相关的实现,具有较高的重复性。
d) 服务质量
取决于服务提供方的整体专业能力和服务成熟度,主要包括:组织管理、专业知识、技术能力、人员素质、工具平台、服务经验、外部资源等方面。服务需求方的积极参与可以提高实施服务成效。
e) 服务组件
包括:信息安全设计、信息安全产品部署、信息安全开发、信息安全加固和优化、信息安全检查和测试、信息安全监控、信息安全应急处理、信息安全通告、备份和恢复、数据修复、电子认证服务、信息安全监理、信息安全审计、其他信息安全实施服务。
![信息安全服务与信息系统生命周期的对应关系]( "信息安全服务与信息系统生命周期的对应关系")
另外,设计信息安全服务的采购问题,我们则以思维导图加表格形式进行展现,思维导图如下所示:
![信息安全服务与信息系统生命周期的对应关系]( "信息安全服务与信息系统生命周期的对应关系")
信息安全服务从大类的分信息安全咨询服务、信息安全实施服务、信息安全培训服务等,再细分可分为服务组件,如信息安全咨询服务包括信息安全规划、信息安全管理体系咨询、信息安全风险评估等等,而不同的服务组件在整个信息系统生命周期有不同的切入时间点,其将信息系统生命周期大致分为规划、设计、建设、运行四个大阶段,不同时间段引入不同的安全服务组件,可以参考下表:
|
信息安全服务
|
信息系统生命周期
|
|
服务类别
|
服务组件
|
规划
|
设计
|
建设
|
运行
|
|
信息安全咨询服务
|
信息安全规划
|
R
|
|
|
|
|
信息安全管理体系咨询
|
R
|
|
|
R
|
|
信息安全风险评估
|
R
|
R
|
R
|
R
|
|
信息安全应急管理咨询
|
R
|
|
|
R
|
|
业务连续性管理咨询
|
R
|
|
|
R
|
|
信息安全实施服务
|
信息安全设计
|
|
R
|
|
|
|
信息安全产品部署
|
|
|
R
|
R
|
|
信息安全开发
|
|
|
R
|
R
|
|
信息安全加固和优化
|
|
|
R
|
R
|
|
信息安全检查和测试
|
|
|
R
|
R
|
|
信息安全监控
|
|
|
|
R
|
|
信息安全应急
|
|
|
|
R
|
|
信息安全通告
|
|
|
|
R
|
|
备份和恢复
|
|
|
R
|
R
|
|
数据修复
|
|
|
|
R
|
|
电子认证服务
|
|
|
R
|
R
|
|
信息安全监理
|
|
|
R
|
R
|
|
信息安全审计
|
|
|
|
R
|
|
信息安全培训服务
|
信息安全培训
|
R
|
R
|
R
|
R
|
注:在《信息安全技术 信息安全服务 分类》标准中服务类别中统一采用信息安全实施服务,而不直接使用“安全集成服务”“安全运维服务”等服务实例名称,原因是安全集成服务、安全运维服务的服务内容在不同的服务场景下差异较大。例如,安全集成服务可能包含信息安全设计、信息安全产品部署、信息安全开发等多项信息安全实施服务,也可能只包含信息安全产品部署;安全运维服务可能包含信息安全检查和测试、信息安全监控、信息安全应急处理等多项信息安全实施服务,也可能只包含信息安全应急处理服务。
结合前期整理的《信息安全服务分类思维导图及安全服务对应信息系统生命周期》,我们重新为大家整理了《信息安全技术 信息安全服务 分类》这个标准,同时也一定程度上纠正市场上常常把“渗透测试”作为“安全服务”的全部的误解,这里就是子集与全集之间的关系了,而且是真子集与全集之间的关系,渗透测试∈安全服务,所以渗透测试是安全服务,但是安全服务不是渗透测试。这点其实与等级保护测评和等级保护之间的关系类似,等级保护测评是等级保护工作中的一个真子集,而并非是等级保护本身。从数学关系来说,两个概念是需要区分的,不然则会误导网络运营者,最终造成各类工作开展出现偏差或不到位的情况。
开启等级保护之路:GB 17859网络安全等级保护上位标准
网络安全等级保护:等级保护测评过程及各方责任
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:什么是等级保护?
网络安全等级保护:信息技术服务过程一般要求
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
闲话等级保护:什么是网络安全等级保护工作的内涵?
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
闲话等级保护:测评师能力要求思维导图
闲话等级保护:应急响应计划规范思维导图
闲话等级保护:浅谈应急响应与保障
闲话等级保护:如何做好网络总体安全规划
闲话等级保护:如何做好网络安全设计与实施
闲话等级保护:要做好网络安全运行与维护
闲话等级保护:人员离岗管理的参考实践
原文始发于微信公众号(祺印说信安):信息安全服务与信息系统生命周期的对应关系
评论