ICS35.040 L80 中华人民共和国国家标准 GB/T30271—2013 信 息安全技术 信息安全服务能力评估准则 Informationsecuritytechnology—Assessmentcriteriaforinformation securityservicecapability 2013-12-31发布 2014-07-15实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语、定义和缩略语 1 ……………………………………………………………………………………… 3.1 术语和定义 1 ………………………………………………………………………………………… 3.2 缩略语 2 ……………………………………………………………………………………………… 4 概述 3 ……………………………………………………………………………………………………… 4.1 信息安全服务过程概述 3 …………………………………………………………………………… 4.2 能力评定原则 4 ……………………………………………………………………………………… 5 信息安全服务过程 4 ……………………………………………………………………………………… 5.1 D01组织战略 4 ……………………………………………………………………………………… 5.2 D02规划设计 15 ……………………………………………………………………………………… 5.3 D03实施交付 31 ……………………………………………………………………………………… 5.4 D04监视支持 39 ……………………………………………………………………………………… 5.5 D05检查改进 52 ……………………………………………………………………………………… 6 信息安全服务能力级别 57 ………………………………………………………………………………… 6.1 概述 57 ………………………………………………………………………………………………… 6.2 能力级别1 基本执行 57 …………………………………………………………………………… 6.3 能力级别2 计划跟踪 57 …………………………………………………………………………… 6.4 能力级别3 充分定义 58 …………………………………………………………………………… 6.5 能力级别4 量化控制 59 …………………………………………………………………………… 6.6 能力级别5 连续改进 59 …………………………………………………………………………… 7 信息安全服务能力评定 60 ………………………………………………………………………………… 参考文献 62 ……………………………………………………………………………………………………GB/T30271—2013 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准主要起草单位:中国信息安全测评中心、北京江南博仁科技有限公司、北京中天安信息技术 服务有限公司。 本标准主要起草人:张利、佟鑫、李斌、班晓芳、王琰、刘作康、任育波、吴慎夕。 ⅠGB/T30271—2013 引 言 本标准是对提供信息安全服务的组织进行能力评估,在编制过程中考虑到国内环境与信息安全行 业的实际情况,同时结合GB/T20261—2006、ISO/IEC20000—2011、COBIT4.1、NISTSP800系列等 国际或区域标准制定而成。 ⅡGB/T30271—2013 信息安全技术 信息安全服务能力评估准则 1 范围 本标准规定了服务过程模型和信息安全服务商的服务能力的评估准则。 本标准适用于对信息安全服务提供商的能力进行评估,也适用于服务提供商对于自身能力的改善 提供指导。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20984—2007 信息安全风险评估规范 GB/T25069—2010 信息安全技术 术语 GB/T30283 信息安全技术 信息安全服务 分类 3 术语、定义和缩略语 3.1 术语和定义 GB/T25069—2010界定的以及下列术语和定义适用于本文件。 3.1.1 能力等级 abilitylevel 流程领域内流程改善达到的程度。 注:能力等级由流程领域内适当的特定及一般执行方法所定义。 3.1.2 基本实践 basepractices 系统工程过程中应存在的性质,只有当所有这些性质完全实现后,才可说满足了这个过程域的 要求。 注:一个过程域由基本实践(BP)组成。 3.1.3 能力成熟度模型 capabilitymaturitymodel 有关组织的服务或开发过程中各个发展阶段的定义、实现、质量控制和改善的模型化描述。 注:模型专注于改善组织的流程,包含一个或多个有效流程的必要元素,并且描述由特定的、不成熟的流程到有组 织的、成熟的流程的品质改善与效率的成熟模型。 3.1.4 信息安全服务 informationsecurityservice 面向组织或个人的各类信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全过 程或任务。 注:通常是基于信息安全技术、产品或管理体系的,通过外包的形式,由专业信息安全人员所提供的支持和帮助。 1GB/T30271—2013 3.1.5 信息安全服务提供方 informationsecurityserviceprovider 按照服务协议,通过专业的信息安全人员提供信息安全服务的各类组织机构。 信息安全服务提供方在每项具体的服务中,其服务角色和服务职责应是明确的。如果服务内容仅 涉及供需双方的,则服务提供方为乙方角色;在上述服务的基础上,就所涉及的问题,独立于有关各方提 供评估、证明等服务并承担相关社会责任的,则服务提供方为第三方角色。服务角色与服务提供方的组 织机构类型无关。 3.1.6 信息安全服务能力 informationsafetyserviceability 信息安全服务提供方能够满足需求方规定和潜在需求的特征和特性的程度。 3.1.7 信息安全服务需求方 informationsecurityservicedemander 有偿采购(或免费使用)外部所提供的信息安全服务,以满足信息系统安全保障需求,实现自身业务 目标的组织(或个人用户)。 3.1.8 信息安全服务能力级别 informationsafetyservicelevel 提供信息安全服务的组织在完成工程、服务项目时,执行组织已定义过程的能力成熟程度。 3.1.9 过程 process 为了一个给定目的而执行的一系列活动。 注:过程包括活动定义、每个活动的输入输出定义以及控制活动执行的机制。 3.1.10 过程域 processarea 一组相关系统工程过程的性质,当这些性质全部实施后即能够达到过程域定义的目的。 3.1.11 过程能力 processcapability 遵循一个过程可达到的可量化范围。 注:一个组织的过程能力可帮助预见项目目标的能力。低能力级别组织的项目在达到预定的成本、进度、功能和质 量目标上会有很大的变化。 3.1.12 过程管理 processmanagement 一系列用于预见、评价和控制过程执行的活动和基础设施。 注:过程管理意味着过程已定义好。注重过程管理含义是项目或组织需在计划、执行、评价、监控和校正活动中既 要考虑产品相关因素,也要考虑过程相关因素。 3.1.13 工作产品 workproducts 在执行任何过程中产生出的所有文档、报告、文件、数据等。 注:本标准按特定的基本实践列出其“典型的工作产品”,其目的在于对所需的基本实践范围可做进一步定义。列 举的工作产品只是说明性的,目的在于反映组织机构和产品的范围,不是“强制”的产品。 3.2 缩略语 下列缩略语适用于本文件。 BP:基本实践(BasePractices) 2GB/T30271—2013 CF:公共特征(CommonFunction) GP:通用实践(GenericPractices) PA:过程域(ProcessArea) 4 概述 4.1 信息安全服务过程概述 4.1.1 信息安全服务过程模型 从组织信息安全治理角度,描述信息安全服务过程模型如图1所示。 图1 信息安全服务过程模型 组织战略是信息安全活动的基础,各信息安全活动涵盖在信息系统规划设计、实施交付、监视支持 生命周期的各阶段,并通过有效的检查和改进机制,提升组织信息安全管理能力。 4.1.2 组织战略 组织战略作为信息安全服务过程模型的中心环节,是本模型的重要组成并处于主导地位。信息安 全服务提供者建立有效的、全面的安全制度和管理规定,全面覆盖规划设计、实施交付、监视支持、检查 改进等各个环节,确保其符合本标准的相关要求。