标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB/T 30283-2022 信息安全技术 信息安全服务 分类与代码.pdfGB/T30283—2022
表1信息安全服务分类与代码
表1信息安全服务分类与代码(续)
基于如上分类,需方根据自身的信息化现状和信息安全需求,对服务中类或小类进行组合,形成信 息安全服务实例。因此,信息安全服务可以服务实例的形式,由一个或多个服务中类或者服务小类构 成,某些还可能包含本文件不涉及的其他扩展的服务。通常信息安全服务实例有以下几种类型:安全咨 询、风险评估、安全集成、安全运维、应急响应、灾难恢复、安全培训、安全测评、安全监理、安全审计、安全 运营。信息安全服务分类新旧结构对照见附录A,信息安全服务分类新旧类目对照见附录B,典型的信 息安全服务实例及其对应服务类别见附录C。 信息安全服务贯穿信息系统的规划、设计、实施、运行、终止等阶段QJQS 0024S-2015 吉林省杞参食品有限公司 人参红糖,信息安全服务与信息系统生命 周期的对应关系见附录D。
信息安全服务分类的其他形式与本文件的服务类别的对应关系见附录E
7.1信息安全规划咨询
信息安全规划咨询主要是针对需方信 投资预算、信息安全现状以及发展趋势,基于人员利用资源、技术,通过规定的过程提出需方安全规划目 标,从管理、技术两个维度设计规划内容以形成一套指导性文件,系统指导需方信息安全建设,满足其可 持续发展的需要。信息安全规划咨询通常涉及多学科知识、工程实践经验、现代科学和管理技术,为信 息安全资源开发利用、工程建设、人员培训、管理体系建设、技术支撑等方面提供支持。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类。
7.2信息安全设计咨询
信息安全设计咨询主要是针对信息系统的安全防护需求,由供方落实需方的安全规划,设计总体安 全策略,制定信息安全建设方案和实施方案,并在此基础上形成安全策略、安全技术体系结构、安全管理 体系结构等的设计,指导需方信息安全防护具体实现。信息安全设计一般可分为项层设计、概要设计和 详细设计等不同的服务交付物。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类,
7.3信息安全管理体系咨询
信息安全管理体系咨询主要是针对需方信息安全管理体系需求,由供方结合需方的需要和目标、安 全要求、所采用的过程、规模和结构,通过确定信息安全管理体系范围和方针、明确责任、权限和角色,采 用风险评估的方法规划管理体系建设任务并落实,实施内部审核与管理评审等过程,协助需方建立、实 现、维护、并持续改进信息安全管理体系。信息安全管理体系是组织的过程和整体管理结构的一部分并 集成在其中,涵盖相关标准要求的文件化信息,应阑述被保护的资产、风险管理的方法、控制目标及控制 方式和需要的保证程度。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类
7.4信息安全工程监理
信息安全工程监理主要是针对需方各类信息系统工程中涉及信息安全的工程活动,由具有相关资 质的监理单位(供方)根据需方委托,在工程建设的规划设计、部署实施(招标、设计、实施、验收)各阶段 实施控制和管理,提供相关建议和意见,确保实现各阶段的监理目标和完成监理内容。信息安全工程监 理还可以包括对信息系统运行维护阶段的信息安全服务进行监理。 任何提供的主要服务内容与以上描述相符的服务,均可归人本类
7.5信息安全测试评估
7.5.1信息安全测试
信息安全测试主要是针对信息系统、软硬件产品等被测对象的安全属性,由供方在特定的测试环境 下,根据需方授权,按照测试准备、测试实施、测试分析、测试结果反馈等工作流程,选择适用的方法/工 具,动态分析测试数据,发现被测对象存在的安全隐患,验证被测对象安全保障措施的符合性及有效性, 提出安全整改建议。信息安全测试通常包括信息系统安全测试、APP安全测试、漏洞安全扫描、基线配 置核查、渗透测试、源代码审计等。信息安全测试工具应符合相关国家标准要求,确保可靠性和安全性。 任何提供的主要服务内容与以上描述相符的服务,均可归人本类,
7.5.2信息安全风险评估
信息安全风险评估主要是针对业务、信息系统、基础网络和平台、数据资源等被评估对象,由供方确 定风险评估的工作形式,按照风险评估流程,覆盖风险评估准备、资产识别、威胁识别、脆弱性识别、已有 安全措施确认、风险分析、风险处理等环节,对所面临的风险进行识别、分析和评价,制定和提出抵御风 险的安全策略和整改措施。信息安全风险评估通常贯穿被评估对象的规划、设计、实施、运行、废弃各生 命周期阶段,
7.5.3其他信息安全测试评估服务
不属于以上服务小类的其他信息安全测试评估服务。
7.6.1信息安全意识培训
信息安全意识培训主要是针对需方的全体人员,结合组织的信息安全管理制度,采用宣传资料(如 简报、短片等)、宣传周、网络媒介等多种方式,传递有关信息安全方面的基本常识,并对培训效果进行评 价,确保培训人员树立信息安全观念,提高信息安全风险意识,增强信息安全责任感。信息安全意识培 训通常提供的是一种较为初级的培训服务。 任何提供的主要服务内容与以上措述相符的服务,均可归入本类,
7.6.2信息安全基础培让
员,采取案例教学、课堂讲授等方式,传授有关信息安全的基础知识,并对培训效果进行评价,确保培训 对象掌握与自身工作相关的信息安全理论知识和基本技能,履行信息安全职责。信息安全基础培训通 常提供的是一种基于角色和职责的定制服务。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类
7.6.3信息安全专业培训
信息安全专业培训主要是针对需方的信息安全专业人员、专职人员和高级管理人员,根据信息安全 人才培养计划,采取在职培训、岗位培训、技能考核、多学科专题研讨等方式,传授有关信息安全的专业 知识,并对培训效果进行评价,确保培训对象全面了解信息安全知识体系,掌握信息安全专业知识和专 业技能,提高信息安全专业素养。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类
7.6.4其他信息安全培训服务
不属于以上服务小类的其他信息安全培训服务
于以上服务小类的其他信息安全培训服务。
7.7其他信息安全咨询服务
不属于以上服务中类的其他信息安全咨询服务
不属于以上服务中类的其他信息安全咨询服务
8信息安全设计与开发服务
8.1信息安全系统设计
信息安全系统设计主要是针对需方不能通过采购现有信息安全系统或产品予以满足的安全需求,
GB/T 30283—2022
由供方按照需求分析、概要设计、详细设计等流程设计信息安全系统,可按照GB/T38674一2020提出 的应用软件安全编程的通用框架的要求,并结合需方应用环境的特性,提出安全防护设计要求,以指导 后续的信息安全开发(见8.2)。信息安全系统设计一般包括安全实现技术框架设计、安全功能设计、性 能要求设计等。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类
8.3其他信息安全设计与开发服务
不属于以上服务中类的其他信息安全设计与开发
9.1信息安全硬件集成
信息安全硬件集成主要是针对需方采购或租赁的信息安全硬件设备,由供方根据已制定的系统集 成方案(包含设计方案和实施方案等),明确集成部署方式,接照部署环境搭建、安装配置、功能调试、性 能测试等工作流程规范开展集成部署工作,确保各个子系统实现安全互联互通。信息安全硬件集成通 常覆盖信息安全需求分析、规划设计、设备采购、集成部署、交付验收等过程,其中,集成部署环境一般有 以下几种:部署在需方本地机房,部署在托管数据中心,部署在云平台的虚拟资源上,或者以前面几种形 式混合部署等。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类
9.2信息安全软件集成
信息安全软件集成主要是针对需方采购或租货的信息安全软件、系统(包括软件构件),由供方根据 已制定的软件集成方案(包含设计方案和实施方案等),明确部署安装方式,按照部署环境搭建、软件集 成实施(包括现场系统开发)、现场部署、评测改进等工作流程规范开展集成部署工作,确保信息安全软 件、系统实现安全、高效应用。信息安全软件集成通常覆盖信息安全需求分析、设计、实施与运行、测试 前改进和验收等过程。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类
9.3其他信息安全集成服务
不属于以上服务中类的其他信息安全集成服务。
信息安全监测主要是针对信息系统的环境、网络、设备、系统、应用、不同区域间流动信息等被监测
GB/T30283—2022
信息安全分析主要是针对需方的信息系统,由供方采集并处理日志、流量、性能、漏洞等多类数据, 采用多类专业智能化分析引擎、AI检测模型和信息资源库,识别网络攻击、恶意软件、信息泄露等安全 威胁,并提出建议采取的解决方案或措施。信息安全分析可与信息安全报送(见10.5)、应急响应(见 10.7)和调查取证(见10.9)协同实施。信息安全分析通常采用大数据技术以实现对海量数据的快速、高 效、及时的分析与计算。信息安全分析包括现场分析和远程分析两种方式。其中,远程分析通常由供方 在远程的安全运行或运营中心进行,一般应有加密的网络连接,并在需方的信息系统上安装数据采集软 件或工具。 任何提供的主要服务内容与以上措述相符的服务,均可归入本类
GB/T302832022
任何提供的主要服务内容与以上描述相符的服务,均可归入本类,
10.6恶意代码防范和处理
10.7信息安全应急响应
信息安全演练主要是针对有信息安全演练需求的需方,由供方协助明确演练的组织架构,编制演练 规划,包括演练频次、规模、形式、时间、地点、预算等,制定演练的工作方案、保障方案、评估方案等,按照 演练规划和方案执行安全演练(必要时可安排一次或多次预演),监视、评价安全演练过程,并就演练过 程中存在的问题、取得的经验教训等加以改进,使安全演练符合预期设定目标,确保演练规划得到有效 执行。信息安全演练根据组织形式、内容、目的和作用的不同,通常体现不同的演练形式。如根据组织 衫式,可分为桌面推演、模拟演练、实操演练;根据演练内容,可分为专项演练、综合演练;根据演练目的 和作用,可分为检验性演练、示范性演练和研究性演练。 任何提供的主要服务内容与以上描述相符的服务,均可归人本类,
10.9信息安全调查取证
信息安全调查取证主要是针对信息安全相关的网络违法犯罪活动,由供方根据需方委托,使用符合 相关技术标准和规范的取证设备和方法,通过技术手段收集、保全和记录电子证据,形成证据链以支持 信息安全调查、分析、识别等工作。信息安全调查取证过程通常包括确定调查依据,制定调查取证实施 步骤,获取和保存电子证据,分析和验证证据链以及编写调查取证报告等。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类
10.10信息安全加固
信息安全加固主要是针对需方的网络设备、操作系统、数据库和应用系统等被加固对象,由供方在 获得需方允许的前提下,按照已制定的安全加固方案,采取补丁升级、关闭不必要的端口和服务、优化访 同控制策略、增加安全机制等措施对被加固对象存在的安全缺陷和漏洞进行弥补和修复,以增强被加固 对象的安全性,提高其安全保护能力。信息安全加固通常与信息安全测试评估(见7.5)、分析(见10.4) 办同实施。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类
0.11信息安全运维规效
信息安全运维规范管理主要是针对信息安全运维相关的活动,由供方协助需方制定安全运维基线, 10
GB/T30283—2022
范安全运维活动,以降低可能带来的风险。信息安全运维规范管理通常贯穿安全运维策略、安全运维组 织、安全运维支撑体系、安全运维规程各个方面。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类,
10.12信息安全审计
身份管理主要针对网络用户、网络设备等各类网络中的实体,由供方通过对网络实体身份的发布和 使用涉及的身份标识定义、身份验证与证明、身份鉴别、授权管理,以及涵盖开发与应用、互操作、接口与 协议、身份管理框架等在内的集成应用与身份管理等环节进行可信管理,构建网络信任体系的基础,解 快其身份管理问题。目前广泛应用的身份管理关键技术包括在线身份管理、多因素身份鉴别等。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类。
备份和恢复主要是针对需方的信息系统故障及灾难恢复相关活动,由供方围绕物理环境、网络、设 备、工具、组织及人员等方面,确定备份和恢复范围、恢复等级、恢复目标及策略,采取数据备份系统、备 用数据处理系统、备用网络系统、灾难恢复服务及工具等手段和措施,将信息系统从灾难造成的故障和 摊痪状态恢复到可正常运行状态。备份和恢复通常贯穿规划设计、建设实施和运行维护管理各个环节。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类。
10.15其他信息安全运营服务
不属于以上服务中类的其他信息安全运营服务
言息的安全处理和存储服
数据安全保护主要是针对需方生产经营活动中所涉及的业务数据以及其他重要数据、个人信息等, 由供方对数据收集、传输、存储、处理、使用以及销毁等数据生命周期中的相关行为以及数据的交易、公 开等活动,实施分类分级、标识、风险评估、应急处置、防泄漏、审计、隐藏(如水印、脱敏)、访问控制、加 密、备份恢复、数据抢救和修复等一系列的数据安全保护措施,协助需方保证数据的机密性、完整性和可 用性并保障数据得到有效保护和合法利用,持续处于安全状态。数据安全保护通常还应与信息安全风 险评估(见7.5.2)协同实施,针对个人信息和重要数据出境情形,按照国家相关要求,协助需方进行安全 评估。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类,
GB/T30283—2022
信息安全租赁主要是针对需方租赁的信息安全软件、硬件、云安全虚拟资源等,由供方(即出租人), 按照租赁申请、受理及调查、审核、合同签订和履行、租后管理等阶段向需方(承租人)提供产品或服务, 确保在规定的时间内(通常称之为租期)满足相应的信息安全需求。信息安全租赁通常包括安全设备租 赁、安全系统租赁以及安全虚拟资源(池)租赁等。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类。 注:出租人以在法律上拥有租赁设备所有权为前提,在租期内将该项产品的使用权出租给承租人;承租人则对租赁 产品在经济上拥有使用权,在租期内有权占有,并正常使用该项租赁产品。租期结策后,由承租人和出租人按 照服务合同或协商确定租赁设备的所有权,
11.3网络信息内容审核
11.4其他信息的安全处理和存储服务
12信息安全测评与认证服务
12.1.1信息安全产品测评
信息安全产品测评是针对保障信息安全的软件、硬件、固件或其组合体,由具有国家认可资格的测 评机构,依据相关测评标准和相关技术要求,按照一定的测评方法论,对信息安全产品的自主性、安全性 和可控性等进行验证、测试和评估,以验证产品是否达到相关要求或存在潜在的安全风险,并出具相应 的测试评估报告。信息安全产品测评类型包括但不限于信息安全产品分级测评、自主原创测评、选型对 比测评、定制测评等。 任何提供的主要服务内容与以上描述相符的服务,均可归人本类
12.1.2信息安全服务资质测评
信息安全服务资质测评主要是针对需方提出的信息安全服务资质测评需求,由具有相关服务资质 的测评方(供方)根据需方委托,依据相关标准和技术规范,结合测评对象服务形式的特点,明确具体的 则评依据、范围、对象和内容,按照测评准备、测评实施、测评结果分析、测评结果反馈等过程开展信息安 全服务能力测评。整个测评工作主要根据需求方的基本资格与基本能力、质量管理与项目管理能力、技 术服务过程能力等进行展开,测评结束后,由供方出具相关的测评报告并结合相应级别的测评证书作为 最终的测评结果。信息安全服务资质测评工作主要依据国际通用的能力成熟度模型五级架构展开,测 评类型包括安全工程、信息安全风险评估、安全开发、灾难恢复、信息系统审计、大数据安全、云计算安 全、安全运营等。 任何提供的主要服务内容与以上描述相符的服务,均可归人本类。
12.1.3信息安全人员测评
GB/T30283—2022
信息安全人员测评主要是针对需方(可以是组织或者个人)提出的信息安全人员测评需求,由具有 相关服务资质的测评方(供方)根据需方委托,依据相关标准、准则和规定,结合人员测评对象委托测评 类型的特点,明确具体的测评依据、范围、对象和内容,按照规定测评工作流程展开人员测评。信息安全 人员测评主要对信息安全从业人员的相应能力进行测评,测评通过者发放相应测评资质证书。信息安 全人员测评是对信息安全从业人员具备相应专业能力测评的系列活动。信息安全人员测评通常包括注 册信息安全工程师、注册信息安全管理员、注册信息系统审计师、注册信息安全开发人员、注册渗透工程 肺、注册渗透测试专家、注册应急响应工程师、注册应急响应专家、注册工业控制系统安全工程师、注册 云安全工程师、注册大数据安全分析师、注册电子数据取证专业人员、注册信息安全专业人员一密码技 术专家、注册个人信息保护专业人员、注册数据安全治理专业人员等。 任何提供的主要服务内容与以上 服务,均可归入本类
12.1.4等级保护测评
等级保护测评主要是针对需方的网络安全等级测评需求,由具有服务资质的测评机构(供方)根据 需方委托,依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,采用相关测评手段,遵 从一定的测评规程,结合等级保护对象的安全级别,对非涉及国家秘密的网络安全等级保护对象进行检 侧评估,并出具等级保护测评报告,协助需方评判是否达到特定级别安全保护能力。等级保护测评包括 单向测评和整体测评,其中单向测评包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数 据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理和安全运维管理等方面。 任何提供的主要服务内容与以上描述相符的服务,均可归人本类。
12.1.5分级保护测评
分级保护测评主要是针对需方的涉密信息系统测评需求,由具有相关资质的供方根据需方委托,依 据国家相关保密规定和标准,从风险管理角度,分析涉密信息系统所面临的威胁及其存在的脆弱性,提 出有针对性的防护对策和整改措施,并出具测评报告,防范和化解涉密信息系统安全保密风险,为涉密 信息系统安全保密提供科学依据, 任何提供的主要服务内容与以上描述相符的服务,均可归人本类
密码测评即商用密码应用安全性评估主要是针对需方使用密码的信息系统,包括相关配套密码产 品、通用设备、人员、制度文档等,由具有相关资质的供方根据需方委托,根据已通过评审的密码应用方 案、有关管理规范和技术标准,接照测评准备、方案编制、现场测评、分析与报告编制等过程开展测评,对 密码应用的合规性、正确性和有效性等进行评估,以规范密码应用和管理。密码测评通常包括物理和环 境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置 等方面。 任何提供的主要服务内容与以上描述相符的服务,均可归人本类
.1.7其他信息安全测评
不属于以上服务小类的其他信息安全测
据相关标准和其他补充技术要求与技术规范,采取审核、验证、考核、访谈、体验等手段,实施信息安全产 品认证,并向通过认证的信息安全产品颁发相应证书。信息安全产品认证是对信息安全产品符合规范 及安全标准要求的一种确认活动,其证明方式是获得认证证书和或认证标志。信息安全产品认证通常 包括网络关键设备和网络安全专用产品安全认证、国家信息安全产品认证、IT产品信息安全认证等。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类,
12.2.2信息安全管理体系认证
信息安全管理体系认证主要是针对需方信息安全管理体系认证证书的申请、维持换证等需求,由信 息安全认证机构依据相关标准和其他补充技术要求与技术规范,采取审核、验证、考核、访谈、体验等手 段,实施信息安全管理体系认证,并在其通过认证后颁发相应证书。信息安全管理体系认证是对需方的 信息安全管理体系符合规范及安全标准要求的一种确认活动,其证明方式是获得认证证书和或认证 标志。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类,
12.2.3信息安全服务资质认证
信息安全服务资质认证主要是针对需方信息安全服务资质的申请、维持换证等需求,由信息安全认 证机构依据相关标准和其他补充技术要求与技术规范,采取审核、验证、考核、访谈、体验等手段,衡量供 方的基本资格、服务管理能力、服务技术能力和服务过程等,并颁发不同级别的资质证书。网络安全服 务资质认证是对供方提供相应服务能力符合规范及安全标准要求的一种确认活动。信息安全服务资质 人证类型通常包括信息安全集成、安全运维、风险评估、应急处理、软件安全开发、灾难备份与恢复、工业 控制安全、信息系统审计、大数据安全、云计算安全等服务。 任何提供的主要服务内容与以上描述相符的服务,均可归人本类
2.4信息安全人员认证
信息安全人员认证主要是针对信息安全从业人员的审请、维持换证等需求,由信息安全认证机构依 据相关准则、大纲等,按照专业认证方向和级别要求,对信息安全从业人员的相应能力进行考核、评估和 认定,并颁发相应的能力证书。信息安全人员认证是对信息安全从业人员具备某方面的专业能力的一 种确认活动。信息安全人员认证通常包括注册信息安全专业人员、注册信息安全员、信息安全保障人员 认证、等级测评师认证、重要信息系统保护人员认证、注册信息安全开发人员、注册软件安全专业人员、 生册信息内容安全分析师、网络安全应急响应工程师认证等。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类
12.2.5其他信息安全认证
不屋于以上服务小类的其他信息安全认证服
不属于以上服务小类的其他信息安全认证服
12.3其他信息安全测评与认证服务
DB34T 1491-2011 电动葫芦升降机检验细则不属于以上服务中类的其他信息安全测评与认证
不属于以上类别的其他信息安全服务!
扩展原则如下: a),在能满足信息安全服务需求时,优先使用已有的信息安全服务,而不必扩展新的信息安全 服务; b)允许对现有信息安全服务施加比本文件更加详细的解释说明; c)扩展的信息安全服务原则上不改变本文件中现有信息安全服务的分类、名称等; d)扩展的信息安全服务的分类与代码符合第6章的规定。
原则如下: 在能满足信息安全服务需求时,优先使用已有的信息安全服务,而不必扩展新的信息安全 服务; 允许对现有信息安全服务施加比本文件更加详细的解释说明; 扩展的信息安全服务原则上不改变本文件中现有信息安全服务的分类、名称等; 扩展的信息安全服务的分类与代码符合第6章的规定。
扩展类型包括: a)增加新的服务大类 b)增加新的服务中类; c)增加新的服务小类
GB/T302832022
信息安全服务分类新旧结构对照表见表A.1。
附录A (资料性) 信息安全服务分类新旧结构对照
NY/T 1856-2010 农区鼠害控制技术规程表A.1信息安全服务分类新旧结构对照表