国家标准软件工程软件测量过程送审稿编制说明全国信息安全.docx
《国家标准软件工程软件测量过程送审稿编制说明全国信息安全.docx》由会员分享,可在线阅读,更多相关《国家标准软件工程软件测量过程送审稿编制说明全国信息安全.docx(10页珍藏版)》请在冰豆网上搜索。
国家标准软件工程软件测量过程送审稿编制说明全国信息安全
国家标准《信息安全服务定义和分类》
(草案稿)编制说明
一、任务来源
自2005年起,上海三零卫士信息安全有限公司等承担了全国信息安全标准化技术委员会下达的“国家信息安全战略研究与标准制定工作专项项目---《信息系统安全服务管理指南研究》”。
在该项目的基础上,上海三零卫士信息安全有限公司于2007年开始了《信息安全服务指南》的研究(侧重于信息安全服务体系)。
2009年,继续《信息安全服务指南》的深入研究(侧重于不同信息安全服务的内容和实施要点),在研究过程中逐渐认识到信息安全服务分类的重要性。
2011年,结果几次评审和讨论后,本标准编写组的各家成员达成一致,决定将标准名称正式改为《信息安全服务定义和分类》,作为今后信息安全服务标准框架中的一个基础性标准。
二、目的意义
网络和信息安全是一项系统工程,除了安全产品的部署外,还要在安全监控、安全管理、应急响应等方面采取措施,在前期还需要安全咨询和安全设计,实施过程中还需要第三方提供监理、测评等。
由于一些政府部门和企业在信息安全方面往往不具备足够的人力、技术、时间来落实信息安全保障工作,使得他们不得不借助于外部的安全服务提供商(SecurityServicesProvider)来提供信息安全的整体解决方案。
另外,即使政府或企业具有信息安全相关的人力和技术资源,他们也需要对自身的安全服务加以管理,并对组织自身安全服务耗费的成本和带来的效益加以统计和分析,以实现对内部安全服务的可控性。
目前,国内取得安全服务资格的厂商超过了30家,知名的安全服务厂商也达到近10家,在政府和金融、电信等行业领域用户群体在迅速扩大,我国的信息安全服务市场正在成为信息安全产业新的业务增长点。
然而,国内的信息安全服务市场还不够成熟和规范。
各服务提供商所提供服务内容的同质化明显,各种安全服务新概念层出不穷,在实际操作中各自对信息安全服务的内涵和外延的理解、做法又不尽相同,往往不能真正提升用户的信息安全水平。
从用户角度来看,目前国内政府和企业中信息安全建设多处在较初级的阶段,用户的安全意识和安全技术能力都较为落后,使得用户的安全需求和厂商的安全服务之间对接不清晰,无法选择适当的安全服务提供商,不能对安全服务过程有效管理,对安全服务提供商的服务质量无法做出正确的评价。
本研究项目是根据当前国内安全服务市场中存在的实际情况而提出的,它的研究成果将促进我国目前良莠不齐的信息安全服务市场的规范化,有利于信息安全服务需求方与提供方安全服务责任的明确,有利于促进安全服务提供方的服务质量,并引导安全服务提供方大力推广自己的服务。
同时一个科学、明晰的分类体系也有利于信息安全主管部门的行业管理,为我国整个信息安全服务行业提供指导示范作用,从而提高我国信息安全保障的整体水平。
三、编制原则
信息安全服务方面有很多内容需要规范,本标准定位于信息安全服务标准框架中的基础性标准,重点在于信息安全服务的定义和分类,拟用作信息安全服务供需双方在采购和提供相关服务的指导,也可用作信息安全行业对信息安全服务的管理。
主要的编制原则是:
体系清晰、定义明确,分类能概括共性特点并符合业界习惯,具有可扩展性。
四、主要起草单位
上海三零卫士信息安全有限公司等。
五、编制过程
自2005年起,参编单位的有关人员就对服务相关的标准进行研究,包括OMSS、SP800-35、ITIL、ISO20000等,完成了《信息系统安全服务管理指南研究报告》。
2006年,在标准研究期间,结合参编单位的信息安全服务内容以及服务管理经验,形成了第一稿《信息安全服务管理指南》。
2007年,全国信息安全标准化技术委员会对安全服务方面的标准进行了初步梳理,将安全服务管理指南和安全服务指南的内容进行分离,本标准定位于后者。
2008年3月,将标准内容定位于服务内容、服务保障、服务级别,服务级别参照了SSE-CMM的要求(将其作为附录),并与服务保障的主要方面进行了对应。
形成了《信息安全服务指南》(草案稿)。
2008年4月1~2日,全国信息安全标准化技术委员会在北京召开了一次项目评审和交流会,与会专家对标准草案进行了讨论,提出了修改意见。
2008年5月-9月,标准编写组根据专家意见,以及近期对服务外包管理的研究,对标准草案稿进行了修改,使得标准进一步完善,形成了新的标准草案稿。
2008年10月16日,全国信息安全标准化技术委员会在北京又召开一次项目评审和交流会,与会专家对标准草案进行了讨论并提出修改意见。
2008年11-2009年2月,标准编写组根据专家意见,对标准草案稿进行了内部讨论,确定信息安全服务指南定位于为信息安全服务提供者提供实施指南,删除服务保障、服务级别内容,对信息安全服务内容进行梳理分类,并重点阐述信息安全服务的实施过程。
2009年3月-4月,标准编写组请外部专家对标准草案进行评审,并对标准提出修改意见,标准编写组根据专家意见,对草案进行了修改,使得标准进一步完善,形成新的标准草案稿。
2010年4月-5月,标准编写组就信息安全服务的基础分类,对新的标准草案稿进行了内部讨论,确立了依据“信息安全服务生命周期”来对信息安全服务分类的原则,将信息安全服务分为安全咨询服务、安全工程服务、安全运维服务、安全支持服务和安全培训服务五大类,并就各类服务的细分、环节和要求进行了重点阐述。
2010年9月-10月,标准编写组请外部专家在上海对新的标准草案进行评审,重点对信息安全服务分类依据,一二级分类的覆盖面和代表性提出了修改意见,标准编写组根据专家意见,对草案进行了修改,使得标准进一步完善,形成新的标准草案稿。
2011年5月,标准编写组对信息安全服务分类重新进行调整,着重新增第三方服务,形成了安全咨询、安全实施、安全培训、第三方安全服务等四大类,并对二级分类的服务内容也作了调整。
2011年6月,标准编写组在北京举行了专家征求意见会,专家认为原先的标准名称《信息安全服务指南》过于泛化,且目前的内容主要是对服务的分类,建议将名称变更为《信息安全服务定义和分类》,并对信息安全服务模型提出完善意见。
2011年8月,本标准和另一个服务标准《信息安全服务管理规范》,共同接受了WG7工作组重点标准项目的检查,专家建议两个标准需要进行整合,尤其是对信息安全服务的分类需要达成一致,并体现在本标准中。
此外,各方还形成一致的观点:
今后需要建立完整的信息安全服务标准的体系框架。
2011年9月,上海三零卫士信息安全有限公司、中国信息安全测评中心、中国信息安全认证中心作为信息安全服务类相关标准的主要编制单位,结合两个中心联合研究的《信息安全服务标准框体系架研究》课题,一起就“信息安全服务分类”、“信息安全服务标准框架”等关键问题进行了充分的讨论,在认可“层次化分类”的基础上,与目前常见的10类服务进行了对应,各方就信息安全服务采用类似CC的分类组织方式达成一致。
2011年10月,标准编写组对标准进行了再次修改,将信息安全服务分类和信息安全服务实例(目前业界常见的信息安全服务)进行了对应,并重点修改了信息安全服务模型,增加了分类方法所需的相关术语,提交并通过了专家组对标准草案的审查。
2011年11月,标准编写组根据本次审查会专家意见,就服务模型图、服务分类表进行了针对性的修改,补充了分类原则、分类代码的说明,并对附录A的章节进行了补充和调整,更突出标准在实际服务采购工作中的应用。
现提交WG7工作组成员单位进行表决,形成征求意见稿。
六、主要内容
本标准规定了信息安全服务的定义、一般模型和主要类别,包括信息安全咨询服务、信息安全实施服务、信息安全培训服务、第三方信息安全服务和其他信息安全服务五大类。
标准适用于各类组织或个人用户对信息安全服务的选用和采购,各类信息安全服务提供方开发服务产品,以及信息安全行业对信息安全服务的分类管理。
但那些不以专业信息安全人员为主导因素的服务(如信息安全产品的维保服务等)不包含在本标准的规范范围内。
1、信息安全服务定义
面向组织、信息系统或相关人员的信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全过程或任务,通常是基于信息安全技术、产品或管理体系的,通过外包的形式,由专业信息安全人员所提供的支持和帮助。
2、信息安全服务模型
本标准采用“服务类别--服务组件”这种层次结构来描述服务分类。
基于这种分类,常见的信息安全服务均可以服务实例的形式,由一个或多个服务类别或者(及其)服务组件所构成,某些还可能包含本标准不涉及的其他扩展的服务。
图1信息安全服务模型
信息安全服务模型还描述了信息安全服务中各相关方的角色和相互关系。
信息安全服务需求方可分为组织和个人两类。
信息安全服务提供方按照服务角色,可分为乙方服务和第三方服务两类。
信息安全管理部门对信息安全服务提供方进行行业管理,并为信息安全服务需求方提供相关的法律、法规、政策、标准等指导和支持。
3、信息安全服务分类
本标准采用服务类别和服务组件的方式,将信息安全服务按照其服务的目标对象和服务特征,分为两级。
第一级为服务类别,可分为信息安全咨询服务、信息安全实施服务、信息安全培训服务和第三方信息安全服务。
第二级为服务组件,根据国内外主要的信息安全服务提供商的服务业务进行梳理(见附件:
《国内外主要的信息安全服务梳理》),在此基础上列举了21种服务组件。
1)信息安全咨询服务是面向组织的信息安全服务,围绕组织信息系统所支持的业务和管理,通过知识传递、工作辅导和系统规划等形式提供信息安全服务。
主要包括:
信息安全规划、信息安全管理体系咨询、信息安全风险评估、信息安全应急管理、业务连续性管理等服务组件。
2)信息安全实施服务是面向组织或个人用户的信息安全服务,围绕组织信息系统或个人信息设备,及其基础设施、业务应用和信息数据的安全和可用,通过人力派遣、设施租用、流程外包等形式提供信息安全服务。
主要包括:
信息安全设计、信息安全产品部署、信息安全加固和优化、信息安全检查、信息安全测试、信息安全监控、信息安全应急处理、信息安全通告、备份和恢复、数据修复、电子认证服务等服务组件。
3)信息安全培训服务是面向个人或组织内人员的信息安全服务,围绕信息安全意识、技术、管理等方面,通过授课、实操、考核等形成提供信息安全服务。
培训内容可能涉及:
信息安全意识、技术、管理、体系、工程、法律、政策和标准等方面。
4)第三方信息安全服务是面向组织及其信息系统的信息安全服务,根据相关法律法规、政策、标准中,对组织、信息系统、信息安全产品或人员的信息安全要求,提供基于第三方角色的独立服务(建立在乙方服务的基础之上),以确保相关方的质量、责任、要求得到了有效保障。
主要包括:
信息安全测评服务、信息安全监理服务、信息安全审计服务等服务组件。
在上述分类的基础上,本标准就目前业界形成的10类典型信息安全服务,作为服务实例,与相关的服务组件进行了一一对应。
4、信息安全服务特点
本标准在各服务类别和服务组件的描述之后,就信息安全服务所共有的特点进行了必要的说明,通常这些基于服务中不同角色及其职责的要求,在目前的服务中往往不被重视或缺乏约束机制,从完备性角度考虑,标准最后增加了这部分。
5、相关附录
本标准在最后给出了2个附录:
《信息安全服务的采购》、《信息安全服务与信息系统生命周期的对应关系》,为各类组织在不同阶段采购不同的信息安全服务提供了相关参考。
《信息安全服务定义和分类》标准草案编写组
上海三零卫士信息安全有限公司
2011年10月
附录、国内外主要信息安全服务梳理
1.SP800-35
在NIST的SP800-35(GuidetoInformationTechnologySecurityServices)中,将IT安全服务分为三大类:
1)管理类服务:
关注在组织机构内部管理信息技术安全程序和风险的服务。
2)运行类服务:
关注由人(相对于系统)所实施和执行的安全控制措施。
3)技术类服务:
关注由信息技术系统所执行的特定功能和效果的安全服务。
具体来看,管理类服务包括了:
安全程序、安全策略、风险管理、安全架构、认证认可、IT产品安全评估;运行类服务包括了:
业务连续性规划、事件处理、测试、培训。
在国内的信息安全服务实践中,管理类服务通常采用咨询(含设计)的方式开展,运行类服务通常采用实施(以安全运维为主)的方式开展,技术类服务通常采用体现在解决方案(以安全集成为主)中的安全产品开展。
2.SP800-33
在NIST的SP800-33(UnderlyingTechnicalModelsforInformationTechnologySecurity)中,将安全服务模型分为三大类:
1)支持类服务:
通用的、基础的服务,和其他服务有着普遍的相互联系。
2)预防类服务:
注重防止安全破坏的发生。
3)恢复类服务:
注重对安全破坏进行检测、并将系统尽快恢复。
在国内的信息安全服务实践中,通常将上述实现IT安全能力的三类服务整合在安全工程或信息系统全生命周期中,通过评估、方案、实施、运行等阶段开展,一般不会提供只针对某一类或其中一项的单独服务。
3.国内典型的信息安全服务
在中国信息安全认证中心和中国信息安全测评中心的联合研究报告《信息安全服务标准体系框架研究》中,结合目前我国信息安全服务业的发展状况,列出了九种典型的信息安全服务类型:
风险评估服务、系统测评服务、应急处理服务、灾难恢复服务、安全运维服务、安全监理服务、安全培训服务、安全咨询服务、安全审计服务。
这种分类比较符合国内信息安全服务的实际情况,但缺少层次感,从服务名称来看,有些很具体,有些较抽象,未能像SP800-35那样充分体现服务的界面和特点。
4.国外主要的信息安全服务
1)IBM
▪管理安全服务(实时安全管理:
监控、应急、7*24保护等)
▪应急响应服务
▪安全咨询服务(风险、业务、合规等)
▪合规性(满足行业和政府要求)
▪X-Force威胁分析服务(通告类)
▪业务连续与灾难恢复服务
2)CliftonGunderson
▪IT安全服务(定制和评估安全策略/标准/流程、具体的安全开发/设计/实施、安全威胁和脆弱性评估等)
▪安全审计服务(SAS70等)
▪业务连续与灾难恢复计划
▪数据分析服务(恢复、取证等)
▪事件应急和调查
3)SUNERA
▪信息安全评估(脆弱性、渗透测试、Web应用安全、无线安全、安全代码等)
▪网络基础设施的安全设计/部署/加固
▪业务连续与灾难恢复
4)Concordant
▪事件响应
▪风险评估
▪安全程序(规划)验证和开发
▪安全设施和实施
▪安全监控(人员、服务等)
5)SecureAssure
▪专业安全服务(漏洞评估、渗透测试、策略部署、事件应急)
▪管理安全服务(主动态势评估,网络和设备监控)
6)Symantec
▪安全响应中心(安全情报/报告等)
▪托管安全服务(监控、分析和管理)
7)HCLISD
▪信息安全咨询服务(合规性、安全设计/架构、安全审计、漏洞评估、渗透测试、安全策略/流程、安全路线图/框架)
▪身份和访问管理服务(体系设计、解决方案、实施/集成等)
▪管理安全服务(事件监控、基础设施管理、预防服务、认证服务等)
▪专业安全服务(方案集成/实施、产品支持、产品评估、技术更新和迁移、现场支持等)
整体来看,国外主流的IT服务或信息安全公司都提供“信息安全服务”之一专门的服务项目,一般可以分为安全咨询类、安全管理类和安全操作类(专业类)。
安全咨询类以规划、计划、评估等为主,安全管理类以日常管理、应急管理、辅助管理等为主,安全操作类以方案实施、现场支持、漏洞评估、渗透测试等为主。
此外,还有两类信息安全服务发展趋势:
1)管理化,提出了“管理服务(ManagedServices)”的概念,通过具有互操作性的远程服务和管理平台,从响应式服务到主动管理式服务转型;2)专业化,通过在咨询、评估、实施、应急等不同领域的最佳实践不断提炼,提高信息安全安全专业服务效率,实现安全服务效果。
5.国内主要的信息安全服务
1)启明星辰
▪安全风险评估
▪安全管理咨询(ISMS等)
▪等级保护咨询
▪安全审计咨询
▪M2S安全管理监控服务(托管服务中的实时监控、实时响应、脆弱评估、系统加固、设备部署与维护等)
2)天融信
▪安全风险评估
▪安全体系建设
▪合规性安全咨询(等级保护等)
▪安全监控、加固及应急响应
▪安全集成和安全管理软件定制
3)神州绿盟
▪专业安全服务
o安全咨询服务(安全评估、安全策略流程、合规性及认证辅导等)
o安全支持服务(预警分析、安全加固、应急处理等)
▪可管理安全服务(信息安全运维外包服务)
o威胁管理和分析、安全预警
o现场值守
▪网站安全监测服务(网站漏洞、网页木马、敏感内容、网页篡改、网站平稳度等)
4)太极
▪安全管理体系
▪安全评估
▪安全加固
▪应急影响
▪安全值守
▪信息通告
▪安全培训
5)上海理想
▪信息安全咨询(风险评估、策略制定、管理制度、技术规范、教育培训、认证辅导等)
▪信息安全建设(规划设计、加固优化、产品配置、工程监理等)
▪信息安全维护(日志审计、事件响应、安全公告、数据备份和灾难恢复、安全监控等)
6)联想网御(网御星云)
▪安全咨询
▪应急响应
▪渗透测试
▪源代码审计
▪安全运维
▪安全培训
▪安全通告
7)网御神州
▪网站安全监测(内容监测、挂马监测、篡改监测、性能监测、漏洞监测等)
▪安全风险管理(风险评估、安全加固)
▪安全保障服务(定期巡检、日志审计、渗透测试、远程监控、预警通告、安全加固、策略制定、配置优化、安全规划、安全培训等)
▪等级保护咨询
▪认证咨询(ISO27K等)
▪安全体系咨询(管理体系、技术体系、运营体系等)
8)蓝盾
▪事件处置和应急预案
▪业务流评估
▪远程监控
▪安全培训
▪安全通告
▪安全巡检
▪安全加固
▪体系建设咨询(ISMS、等级保护等管理策略和制度)
8)三零卫士
▪信息安全咨询服务(信息安全规划、风险评估、ISMS、等级保护、应急预案等)
▪信息安全集成服务(安全分析及设计、安全集成、安全开发、安全加固和优化等)
▪信息安全运维服务(日常安全运维—检查+监控+应急、漏洞扫描、渗透性测试、安全加固和优化、应急演练、安全通告等)
▪信息安全培训服务
整体来看,国内主流的信息安全服务企业所提供的服务,主要围绕国家信息安全保障的基本政策,如:
风险评估、等级保护、应急响应、以及信息化工程中对安全系统的建设和运维要求。
此外,从需方信息安全保障的需求出发,普遍还提供安全管理体系、安全培训、漏洞和渗透、安全审计等服务。
此外,从行业管理和产业自身发展来看,已逐渐形成了安全咨询、安全集成、安全运维等基本类别,如《北京市信息安全服务能力评估评定条件》就是类似的分类分级管理。
升级会员 