《信息安全服务人员能力评估标准》团体标准Word文档格式.docx
《《信息安全服务人员能力评估标准》团体标准Word文档格式.docx》由会员分享,可在线阅读,更多相关《《信息安全服务人员能力评估标准》团体标准Word文档格式.docx(26页珍藏版)》请在冰豆网上搜索。
实施
XXXX-XX-XX
浙江省计算机信息系统集成行业协会发布
T/ZJXTJC002—2020
目?
?
次
前言.....................................................................................................................................................................II
引言...................................................................................................................................................................III
1
范围...................................................................................................................................................................
2
规范性引用文件...............................................................................................................................................
3
术语和定义.......................................................................................................................................................
4
信息安全服务原则
...........................................................................................................................................3
4.1
合规性.......................................................................................................................................................
4.2
数据和业务保护.......................................................................................................................................4
5
能力评估要求...................................................................................................................................................
5.1
肆级能力要求...........................................................................................................................................4
5.2
叁级能力要求...........................................................................................................................................5
5.3
贰级能力要求...........................................................................................................................................7
5.4
壹级能力要求...........................................................................................................................................8
5.5
特级能力要求.........................................................................................................................................10
附录A(规范性附录)信息安全服务类别及对应项目级别划分
.................................................................14
I
前?
言
本标准依据GB/T1.1—2009给出的规则起草。
本标准由浙江省计算机信息系统集成行业协会提出并归口管理。
本标准由浙江省计算机信息系统集成行业协会牵头组织制定。
本标准主要起草单位:
本标准主要起草人:
本标准由浙江省计算机信息系统集成行业协会负责解释。
II
引?
本标准是对提供信息安全服务的组织进行能力评估,在编制过程中考虑到省内环境与信息安全行业的实际情况,同时结合GB/T32914-2016、GB/T30271-2013、GB/T30283-2013等国家或行业标准制定而成。
III
信息安全服务企业能力评估标准
1范围
本标准规定了对信息安全服务提供方的服务能力通用等级要求。
本标准适用于评估组织和监管部门对信息安全服务提供方的服务能力进行评估,也为信息安全服务提供方对其自身服务能力的改善提供指导,同样对信息安全服务需求方具有参考意义。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T32914-2016信息安全技术信息安全服务提供方管理要求
GB/T30271-2013信息安全技术信息安全服务能力评估准则
GB/T30283-2013信息安全技术信息安全服务分类
YD/T1621-2007网络与信息安全服务资质评估准则
3术语和定义
GB/T32914-2016所界定的以及下列术语和定义适用于本文件。
3.1
信息安全服务informationsecurityservice
面向组织或个人的各类信息安全需求和信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全过程或任务。
注:
信息安全服务通常以信息安全服务提供方和信息安全服务需求方之间的服务项目形式进行。
3.2
信息安全服务需求方informationsecurityserviceacquirer
获取外部所提供的信息安全服务,以满足信息安全需求和信息安全保障需求,实现自身业务目标的组织(或个人用户)。
3.3
信息安全服务提供方informationsecurityserviceprovider按照服务协议,通过专业的信息安全人员提供信息安全服务的组织。
3.4
服务协议serviceagreement
服务需求方和服务提供方在服务开始前共同签署的约定,并在服务过程中共同遵守。
通常包含服务原则、服务内容、服务形式、服务级别、服务价格、服务交付成果、服务安全要求等,在形式上
可以是服务合同及其附属的工作说明书。
3.5
服务级别servicelevel
在服务协议中对服务交付成果明确约定、可测量和文档化的一系列服务指标。
3.6
服务目录servicecatalogue
在服务协议中明确展示服务内容、服务形式、服务价格、服务交付成果和服务级别等的一份列表。
3.7
服务组合serviceportfolio
多个服务类别或服务项目以及其他工作的集合。
3.8
供应链supplychain
通过多个资源和过程联系在一起的一系列组织,根据由服务协议或其他采购协议建立连续的供应关系,每个组织充当一个需求方、提供方或双重角色。
3.9
服务要素servicefactors
设计和实施服务的关键要素,包括服务人员、服务流程、服务工具、规章,以及其他服务所需的资
源。
3.10
服务方案serviceplans
基于服务目标,对服务各阶段中所需执行的过程、任务、活动以及相关服务要素、服务级别进行详细描述的文档。
3.11
服务工具servicetools
为达成服务目标或提高服务质量和效率所需要的设备、软件、模板、知识库等。
3.12
服务变更servicechange
任何可能对服务产生影响的新增、修改或解除的活动。
服务变更可能涉及服务的范围、人员、内容、形式、价格、时间、方案、流程、工具、服务级别等。
3.13
信息安全风险评估informationsecurityriskassessment
从风险管理角度,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行识别、分析和评价的过程。
信息安全风险评估贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段。
3.14
信息安全系统集成informationsecuritysystemintegration
按照信息系统建设的安全需求,采用信息系统安全工程的方法和理论,将安全单元、产品部件进行
集成的行为或活动。
3.15
信息安全系统运维informationsecuri