国家标准《信息安全技术信息安全服务提供方管理要求》草案稿编制说明.docx

国家标准信息安全技术信息安全服务提供方管理要求（草案稿）编制说明一'工作简况1.1任务来源信息安全服务提供方管理要求（立项名称为：信息安全服务管理规范） 是国家标准化管理委员会2010年下达的国家信息安全标准制定项目。该标准由 中国信息安全认证中心主要负责，上海三零卫士信息安全有限公司、中国电子技 术标准化研究院等单位共同参与起草工作。1. . 2主要工作过程自2005年起，中国信息安全认证中心承担了全国信息安全标准化技术委员 会下达的“国家信息安全战略研究与标准制定工作专项项目一信息系统安全服 务管理指南研究”。在该项目的基础上，中国信息安全认证中心于2007年开始 了信息安全服务指南的研究（侧重于信息安全服务管理体系）。继续信息 安全服务指南之后，2009年，国家安标委布置中心重点研究信息安全服务 标准体系框架，通过我中心、中国信息安全测评中心共同研究，明确了信息安 全管理标准体系框架。在该框架中，信息安全服务分类、信息安全服务管理规范 是该框架中的基础标准。2011年，国家安标委下达了国家标准制定项目信息 安全服务管理规范，该标准同信息安全服务定义和分类作为今后信息安全 服务标准框架中的两个基础性标准。1. 2011年初，中心承接了安标委的信息安全服务管理规范。在2012年8 月份，中心针对已经编制完成的标准文本组织专家进行研讨。经过研讨, 最终确定了信息安全服务标准框架，在课题中明确了信息安全服务定义 和分类、信息安全服务管理规范是基础的标准之一。2. 2011年3月一4月，标准编写组请外部专家对标准草案进行评审，并对 标准提出修改意见，标准编写组根据专家意见，对草案进行了修改，使 得标准进一步完善，形成新的标准草案稿。3. 2011年8月17日，本标准信息安全服务管理规范和另一个服务标 准信息安全服务定义和分类，共同接受了 WG7工作组重点标准项目 的检查，专家建议两个标准需要进行整合，尤其是对信息安全服务的分 类需要达成一致，并体现在信息安全服务定义和分类标准中。信 息安全服务管理规范中重点放在如何对服务提供方提供的信息安全服 务进行管理。4. 2012年4月，安标委组织开展“信息安全服务标准研讨会”，研究信息 安全服务标准体系框架，推进信息安全服务标准制定工作。5. 2012年6月28日，中心专门组织一次项目研讨会，与会专家提出了信 息安全服务标准涉及到了政策方、评估方、服务采购方、服务供应方四 方，信息安全服务管理规范应对服务供应方提出要求，并清晰描述 与相关方的接口要求。同时明确该标准是框架的一个通用标准：信息安 全服务标准框架应包括：术语模型、通用要求、通用指南、特定类别和 行业的要求和指南四个层次的标准，信息安全服务管理规范应定位 于通用要求层次。6. 2013年，因为安标委给予的项目资金有限，我中心专门设立体系建设项 目，拨付专款用于支持该项目。按上次会议达成的共识，重新进行了调 整和编写，形成当前新的草案稿，主要针对信息安全服务提供者的“管 理能力”，从组织级管理、项目级管理两个角度提出适用、全面的要求。7. 2013年9月3日，在重新调整和编写标准的基础上，中心组织召开了标 准的专家研讨会，就新的草案稿的适用范围、管理结构和具体的条款设 置进行了详细的汇报和深入的讨论，专家分别从标准内容的针对性和格 式的规范性等方面给出了详细的意见，会后根据专家意见对标准做了相 应的修改。8. 2013年9月12H,由安标委组织了对本标准的项目检查，专家普遍认 可标准草案的完整性和成熟度，同时建议将信息安全服务管理的一些基 本要求（如：原则和目标、数据和业务保护）独立于组织管理和项目管 理单列前置，并就标准的一些用词专业性提出了修改意见。9. 2013年10月17日，由安标委组织了本标准草案在WG7工作组内的专 家审查会，经质询和讨论一致认为：1）该标准针对信息安全服务提供 方，提出了组织管理和项目管理的各项要求，有助于信息安全服务提供 方管理能力的形成，通过对服务要素的管控，规避服务风险，实现服务 目标；2）该标准对信息安全服务的获取方、评价机构和监管部门具有 参考意义；3）建议该标准的名称改为信息安全技术信息安全服务提 供方管理要求。专家组同意该标准草案通过审查，并建议根据本次审 查会专家意见进行修改后提交WG7工作组成员单位进行表决，形成征 求意见稿。本次会议之后，本标准的名称以及后续稿件版本，均正式变 更为信息安全技术信息安全服务提供方管理要求。10. 2014年3月18日，信息安全标准化委员会WG7工作组在北京召开了本 标准草案的工作组投票，根据各成员单位的投票表决情况，本标准通过 了草案的投票，标准编制组根据相关意见，对标准文字和格式再次进行 了完善，形成征求意见稿。二' 编制原则和主要内容2. 1编制原则本标准定位于信息安全服务标准框架中的基础性标准，在本标准中主要是对 信息安全服务提供方的服务要素和服务风险提出管理要求。适用于信息安全服务 供需双方在获取和提供相关信息安全服务时，对服务要素进行管控，从而规避服 务风险，实现服务目标，也可用作信息安全评价机构和监管部门对信息安全服务 行业的规范管理。主要的编制原则是：体系清晰、结构合理，要求符合国内信息 安全服务提供方的管理现状，同时与相关的国际和国家标准保持较高的融合度， 提出了对服务要素的可视性管控，具有一定的前瞻性。3. 2主要内容本标准从信息安全服务提供方的组织级管理、项目级管理两个层面提供了管 理要求。本标准适用于信息安全服务提供方对其服务要素和服务风险进行管控， 对信息安全服务需求方、评价机构和监管部门具有参考意义。本标准主要框架如下：、一一刖S引言1范围2规范性引用文件3术语和定义4信息安全服务原则4. 1合规性5. 2数据和业务保护5.信息安全服务组织级管理6. 1制度和体系5.2人力资源5. 3保密5. 4技术能力5. 5服务协议5. 6服务组合5. 7供应链6信息安全服务项目级管理6.1服务方案6. 2服务人员6. 3服务过程6.4服务工具和平台6. 5服务风险6. 6服务变更6. 7服务沟通6. 8服务交付本标准主要贡献如下：（1）、信息安全服务（提供方）管理要求以信息安全服务提供方为标靶，为信息安全服务提供方、需求方、评估方和 监管方等提出一套用于信息安全服务设计和实施的通用规范，以及一组具体、现 实意义的组织级管理和项目级管理的管控点，保障信息安全服务始终处于可视状 态，确保服务目标的实现。（2）、信息安全服务管理的重要术语界定在信息安全服务定义和分类的基础上，从信息安全服务提供方的角度 关注其信息安全服务过程的管理能力，给出了与这种管理相关的一系列重要术语 和定义，主要包括：服务级别、服务目录、服务组合、供应链、可视性、服务要 素、服务方案、服务工具和服务变更。三、主要实验(或验证)的分析、综述报告，技术经济论证，预期的经济效果信息安全服务是一项系统工程，不仅是安全产品的部署，还包括在安全咨询、 风险评估、安全集成、安全监控、安全管理、应急响应等方面采取措施，实施过 程中还需要第三方提供监理、测评等。目前，国内取得信息安全服务资格的厂商 超过了 160家，知名的信息安全服务厂商也达到近15家，在政府和金融、电信 等行业领域用户群体在迅速扩大，我国的信息安全服务市场正在成为信息安全产 业新的业务增长点。然而，国内的信息安全服务市场还不够成熟和规范，各服务 提供方所提供服务内容的同质化明显，在实际操作中各自对信息安全服务的管理 方式方法、广度深度都不尽相同，尽管在服务资格和技术能力上符合相关要求， 但在服务过程中由于缺乏统一的服务管理规范和标准，造成服务质量和服务安全 往往得不到保障，甚至造成信息安全服务需求方产生服务信任问题，在一定程度 上制约了信息安全服务产业的发展。另一方面，一些政府部门和企业在信息安全方面往往不具备足够的人力、技 术、时间来落实信息安全保障工作，使得他们不得不借助于外部的安全服务提供 方(Security Services Provider)来提供信息安全的整体解决方案。用户在外包信 息安全服务的同时也需要对外包过程加以管理，并对这些外包信息安全服务耗费 的成本和带来的效益加以统计和分析，以实现对其内部最终用户安全服务的可控 性。因为信息安全责任是无法外包的，由于缺乏相关的服务外包管理规范，造成 目前用户的安全需求和厂商的安全服务之间对接不清晰，用户对安全服务提供方 的选择和管理缺乏依据，不能对安全服务过程有效管理，对安全服务提供方的服 务成果也无法做出正确的评价。本标准是根据当前国内信息安全服务市场中存在的“缺乏服务规范、缺少服 务管理”的实际情况而提出的，它的研究成果将促进我国目前良莠不齐的信息安 全服务市场的规范化，有利于信息安全服务需求方与提供方明确信息安全和服务 安全责任，有利于实现信息安全服务始终处于可视状态，解决信息安全服务外包 中的信息安全和服务可信可靠可控问题，确保信息安全服务目标的实现。同时， 一个科学、明晰的管理规范也有利于信息安全主管部门的行业管理，为我国整个 信息安全服务行业提供指导示范作用，从而提高我国信息安全保障的整体水平。 四'采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对 比情况，或与测试的国外样品、样机的有关数据对比情况目前尚无专门针对“信息安全服务”进行管理的国际标准和国外先进标准, 本标准主要涉及4个与服务管理相关的国际标准和国外先进标准。NIST的SP800-35中涉及了信息安全服务，但其重点是信息安全服务的生命 周期和信息安全服务的基本类别，在服务管理方面只提及了类似测量指标 (Metrics)s服务协议(Service Agreements)等不多的管理工具，并没有一个完 整的服务管理体系或规范。ISO/IEC 20000-1和ISO/IEC 20000-2分别为服务提供方定义了向其顾客交付 可接受质量的受管理服务的要求，描述了业界一致认可的IT服务管理过程的质 量标准，是基于一系列服务过程进行的管理，对所有的信息技术服务都通用，从 管理点上为本标准提供了很多借鉴，但对于信息安全服务中必须且首要面对的信 息安全风险，在本标准中将重点展开。ISO/IEC 27001和ISO/IEC 27001关注组织的信息安全及其控制措施，站在 组织整体业务风险的角度，提出信息安全管理体系的要求，本标准借鉴了其关注 组织信息保密性、系统可用性和业务连续性的视角，但在风险管理落脚点上并不 是信息安全技术和管理措施，而是不因信息安全服务提供方的各类服务要素的介 入，以及供需双方的交互，导致对需求方的业务、资产、系统等造成损害。同样的，目前在编的ISO/IEC 27036系列标准是站在供应链关系的角度提出 信息安全要求，信息安全服务中也存在供应链关系，不仅要关注信息安全，还需 要关注服务安全。五' 与有关的现行法律、法规和强制性国家标准的关系根据YD/T 1621-2007网络与信息安全服务资质评估方法，信息安全服务 资质认证或能力评估一般包括：基本资格、管理能力、技术能力和过程能力。本 标准站在信息安全服务提供方的角度关注其信息安全服务过程的管理能力。本标 准与GB/T 24405. 1-2009信息技术 服务管理第1部分：规范、GB/T 24405. 2-2009信息技术 服务管理 第2部分：实践规则相关但不等同，GB/T 24405. 1-2009、GB/T 24405. 2-2009是基于服务过程进行管理，本标准是基于服 务要素进行管理。本标准与GB/T 22080-2008信息技术安全技术信息安全管 理体系要求、GB/T 22081-2008信息技术安全技术信息安全管理实用规则 也是相关但不等同，GB/T 22080-2008> GB/T 22081-2008是基于组织的信息安 全及其控制措施进行管理，本标准是基于服务安全及其控制措施的进行管理。本标准作为信息安全服务领域的基础性标准，基于GB/T AAAA-AAAA信息 安全技术信息安全服务定义和分类中对信息安全服务的定义和类别划分，重 点关注信息安全服务提供方在其信息安全服务过程的管理能力。在此基础上将结 合目前已有的GB/T22080-2008信息技术安全技术信息安全管理体系要求、 GB/T22081-2008信息技术安全技术信息安全管理实用规则、GB/Z 24364-2009信息安全风险管理规范、GB/T 20984-2007信息安全技术信息 安全风险评估规范、GB/Z 20985-2007信息安全技术 信息安全事件管理指南、 GB/Z 20986-2007信息安全技术 信息安全事件分类分级指南、GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范等实施指南、GB/T 20988-2007信 息安全技术信息系统灾难恢复规范等实施指南层面的专项类标准，以及今后 还可能制定的信息安全规划设计、信息系统安全集成、信息安全运行维护、信息 安全审计等实施指南层面的专项类标准，共同形成信息安全标准体系框架。此外，本标准与国家信息系统安全等级保护系列标准是一致的，即所有的 信息安全服务均应该遵循信息安全基本政策（如：等级保护）的相关规定。同时, 本标准的信息安全服务管控点，为等级保护咨询、实施和培训等服务的具体实施 过程提供了管理依据。六、重大分歧意见的处理经过和依据详见标准草案稿的意见汇总处理表。七、国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准作为推荐性国家标准发布实施。八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内 容）本标准作为信息安全服务领域对信息安全服务提供方服务管理能力的通用 要求，今后将支撑信息安全服务标准体系框架的形成和完善，有助于信息安全行 业对信息安全服务的进一步规范化管理，配合信息安全服务具体类别的技术规范 标准共同提高服务水平。因此，本标准贯彻实施时，应注意与现有的信息安全服 务资质管理、信息安全服务市场采购相关联，建议后期可以选择一些重点行业， 通过信息安全服务基础类和专项类标准试点推广的方式，提高各行业对信息安全 服务的认识和重视，争取相关部门对信息安全服务采购的认可和支持，有效推进 一些有普遍需求的信息安全服务的真正落地，并通过开展对信息安全服务的规范 和管控，实现对更广义的信息技术服务的安全管控。九、 其他事项说明本标准不涉及专利。信息安全技术信息安全服务提供方管理要求标准编写组2014年3月25日