信息安全技术 信息安全服务能力评估准则-编制说明

《信息安全服务能力评估准则》编制情况说明文档编号SCEM-001秘级说明本文档包含的信息不得以任何形式泄露给除V对方单位＞以外的任何人员2012年07月JK务:l!图5ITIL V3服务生命周期示意图内容简介U!《信息安全服务能力评估准则》的文档框架如下图所示，主要包括范围、规范性引用文件、术语和定义、概述、信息安全服务过程、信息安全服务能力级别和附录共7部分组成图6《信息安全服务能力评估准则》文档框架文件编号版本编号SCEM-

0011.2Page5of15发布日期咨询单位内部文件2023-10-20@CNITSEC第1章，首先介绍标准的范围，说明本标准的编制目的、目标读者和适用范围等内容第

2、3章，分别说明本标准的规范性引用文件、术语和定义第4章，文档结构，信息安全服务过程模型和能力评定原则第5章，信息安全服务过程，将信息安全服务分为组织与管理、规划与设计、实施与交付、监视与支持、检查与改进5个过程域第6章，信息安全服务能力级别，将信息安全服务能力级分为基本执行级、计划跟踪级、充分定义级、量化控制级、连续改进级5个服务能力级别，并针对每个服务能力级定（义相应的公共特征CF）附录，资料性附录，信息安全服务类型介绍

五、编制过程说明为了推动信息安全服务工作的进展，中国信息安全测评中心工作人员在中心内部立项开始进行有关信息安全评估标准和方法的研究工作，于2007年4月形成了《信息安全服务能力评估准则（草案）》2007年9月，经全国信息安全标准化委员会专家评审通过，《信息安全服务能力评估准则》标准编制项目正式立项标准编制任务下达后，中国信息安全测评中心组织相关技术人员立即成立了标准编制小组，正式启动《信息安全服务能力评估准则》编制工作，并于2008年3月形成第一稿2008年4月对第一稿进行了修改，形成第二稿2008年8月对第二稿进行了修改，形成第三稿2009年3月，经国家信息安全标准委员会评审，修改后形成《信息安全服务能力评估准则（征求意见稿）》第一版，2010年4月，经国家信息安全标准委员会评审，修改后形成《信息安全服务能力评估准则（征求意见稿）》第二版2011年7月，标准编制小组封闭，引入CMMI思路，对本标准征求意见稿进行修改文件编号版本编号SCEM-

0011.2Page6of15发布日期咨询单位内部文件2023-10-20@CNITSEC2012年3月，标准编制小组再次进行封闭，对术语与定义、信息安全服务过程各活动项进行梳理和完善，增加概述一章，同时对信息安全服务能力级别进行了细化补充，以指导该标准的正确使用《信息安全服务能力评估准则》的编制主要经历了如下4个阶段

1.前期准备阶段这一阶段的主要任务是讨论标准文本的内容、收集国内外相关资料、商定标准编制进度安排和编制小组人员安排及其它相关准备工作

2.提纲编制阶段这一阶段的主要任务是组织小组成员讨论标准的编制提纲，商定此次标准应涉及的内容与范围讨论核心方法与基本观点，在基于多方共识的基础上拟定编制提纲

3.任务细化阶段这一阶段的主要任务是按照拟定的提纲根据小组成员的各自特点与专长进行编制任务的划分，在充分准备之后请各位成员进行主题发言，同时也根据实际工作经验对指南的其它部分提出自己的意见与建议

4.具体实施阶段这一阶段的主要任务是经过多轮的讨论，对标准文本进行整合和改进，对文本结构和行文语句做了大量修改工作，完善标准文本，补充配套材料文件编号版本编号SCEM-

0011.2Page7of15发布日期咨询单位内部文件2023-10-20@CNITSEC第1章编制背景…….第2章编制原则…….第3章编制思路…….第4章内容简介…….第5章编制过程说明错错误误!!未未定定义义书书签签错错误误!!未未定定义义书书签签错错误误!!未未定定义义书书签签错错误误!!未未定定义义书书签签错错误误!!未未定定义义书书签签文件编号版本编号SCEM-

0011.2Page8of15发布日期咨询单位内部文件2023-10-20@CNITSEC第1章编制背景…….第2章编制原则…….第3章编制思路…….第4章内容简介…….第5章编制过程说明文件编号版本编号SCEM-

0011.2Page9of15发布日期咨询单位内部文件2023-10-20@CNITSEC第1章编制背景…….第2章编制原则…….第3章编制思路…….第4章内容简介…….第5章编制过程说明错误!未定义书签错误!未定义书签错误!未定义书签错误!未定义书签错误!未定义书签文件编号版本编号SCEM-

0011.2Pagel Oof15发布日期咨询单位内部文件2023-10-20@CNITSEC文档管理文档信息项目名称《信息安全服务能力评估准则》编写文档名称《信息安全服务能力评估准则》编制情况说明项目经理张利文档编号SCEM-001分发名单来自行动日期电话发到行动日期电话*行动名称批准，复审，通知，归档，讨论，其他版本记录创建新增修改删除*C AM D版本时间作者概要描述CAMD佟鑫

1.

02010.2C佟鑫

1.

12011.7M佟鑫

1.

22012.7M编制说明敏感级别内部文件内容概述-II--Ill-编制背景在我国提出的“五年基本建成我国信息安全保障体系”的目标中，信息安全服务能力的管理是其中的重要举措之一，是国家将信息安全管理意志落实为信息安全管理要求的表现目前，我国的信息安全服务尚处于成长阶段，市场格局相对混乱，信息安全服务商在规模、环境资源、人员素质、技术能力，服务质量等方面存在着明显的差异，加上各种信息安全服务概念之间的模糊，服务商之间的竞争关系和能力评估更是一个难解的问题，这使得信息安全服务的采购方在选择符合国家规定又适合自身需求的信息安全服务提供商方面存在一定的困难性另一方面，如何评价信息安全服务提供商提供的基本标准化服务的有效性，其服务能否满足信息安全服务采购方的需求，以及信息安全服务提供商各自擅长何种信息安全服务内容等,都是目前有待解决的问题中国信息安全测评中心在国家信息安全管理部门的指导思想的指引下，充分调查和研究国内外信息安全服务的状况，针对我国信息安全服务的水平，结合已有工作的实际经验基础上，编制了《信息安全服务能力评估准则》，旨在为评定信息安全服务能力提供科学、规范的指导

二、编制原则1立足于我国当前信息化建设现状，对我国信息系统安全服务进行调研，注重吸纳国外相关领域的先进成果并为我所用，使其本土化2可操作性和实用性标准是对实际工作的总结与提升，但最终还要用于实践，要经得起实践的检验因此要可用，可操作3注重吸收信息安全服务方面已有的经验与成果如信息系统风险评估、等级保护、ISO20000等标准4科学性与先进性所提供的方法要可信，要具有引领的作用

三、编制思路文件编号版本编号SCEM-

0011.2Pagel of15发布日期咨询单位内部文件2023-10-20@CNITSEC本标准的编制从信息安全服务本身的特殊性出发，本着对信息安全服务的咨询、工程和运维的实用性原则，参考国内外与服务能力评价相关的标准和最佳实践成果来制定信息安全服务能力评价的指标体系参考■治理框架模型

1.H Cobit本标准的编制参考了当前国际上公认的IT治理的Cobit框架模型Cobit框架将信息的业务要求与IT服务职能的治理目标紧密结合起来Cobit流程模型基于控制目标促进IT活动及其资源的适当管理和控制，并协调、监控Cobit目标和衡量指标的使用该模型分（（（（为四个域，分别是1）计划与组织；2）获取与实施；3）交付与支持；4）监控与评价，站在组织高层的角度，以业务为中心，以流程为导向，以控制为基础，以测评P01DefineastrategicITplanBusinessObjectives P02DefineinformationarchkctureP03DeterminetechnologydirectionP04DefinetheITprocesses,organisationandrelationshipsP05岫nagetheITinvestmentGovernarceObjectivesP06CommunicatemanagementaimsanddirectionMEI岫而orandevaluateITPerformanceP07toageIThumanresourcesME2MonitorandevaluateinternalcontrolP08岫nagequalityME3BisurecompliancewithexternalrequirementsPOOAssessandmanageITrisksME4ProvideITgovernanceP010ManageprojectsInformationCriteriaIEffectiveness,Efficiency■ConfidentialityMonitorand•Integrity♦幅Evaluate labilityPlanand•Compliance•Reliability OrganiseITResources,Applications,InDeliverandformation,InfraSupportstructire,PeopleDS1DefineandmanageservicelevelsDS2kitanagethird-partyservicesDS3伽ageperformanceandcapacityDS4EnsurecontinuousserviceDS5EnsureAcquireandsystemsecurityDS6Identifyandallocate AllIdentifyautomatedsolutionscostsDS7EducateandtrainusersDS8Implement局2Squireandmaintainapplicationsoftwareh^nageservicedeskincidentsDS9岫局34quireandmaintaintechnologyAJ4EnableoperationandusenagetheconfigurationDS10KihnageAI5ProcureITresourcesproblemsDS11Managedata局6KtinagechangesDS12kifanagethephysicalenvironment A17InstallaccreditsolutionsandchangesDS13岫nageoperations为驱动，进行组织IT治理图1Cob it框架模型本标准借鉴Cobit框架模型IT治理四个域观点，结合PDCA质量管理模型，从组织信息安全治理角度，根据用户（服务采购方）的信息安全过程，确定信息安全服务涵盖的各项活动，阐述各活动的目标和具体内容、工作产品文件编号版本编号SCEM-

0011.2Page2of15发布日期咨询单位内部文件2023-10-20@CNITSEC信息安全服务过程模型如下:图2信息安全服务过程模型通过明确信息安全组织架构，建立信息安全管理体系，指导信息系统规划与设计、实施与交付、监视与支持各阶段信息安全工作，并建立检查与改进机制,以不断的提升信息安全建设水平参考安全工程能力成熟度模型和服务过程能力成熟度模型

2.SSE-CMMCMMI本标准的编制借鉴了国际上公认的能力成熟度标准SSE-CMM和CMMI,重点采用了其能力级别和成熟度等级思想SSE-CMM将实施活动划分为公共特征，公共特征分为五个“能力级别”，表示依次增加的组织能力每个公共特征表示为取得每一个级别需满足的成熟安全工程属性文件编号版本编号SCEM-

0011.2Page3of15发布日期咨询单位内部文件2023-10-20@CNITSEC图3代表安全工程组织能力级别的成熟度CMMI虽然具有连续式和阶段式两种改善服务质量的方式，但是等级的概念是相同的为达到一个特定等级，组织必须满足一个流程领域或一组流程领域中所有适当的目标Process AreaCategory MaturityLevelCapacityand AvailabilityProject Management3Management CAMCausalAnalysis andSupport5Resolution CARSupport2ConfigurationManagement CMDecisionAnalysis andSupport3Resolution DARProjectManagement3Integrated ProjectManagementIPMIncident Resolutionand ServiceEstablishment3Prevention IRPand DeliverySupport2Measurement andAnalysisMA图4流程领域清单与其相关的类别及成熟度等级参考国际服务管理最佳实践及国际标准

3.IT ITILIS020000文件编号版本编号SCEM-

0011.2Page4of15发布日期咨询单位内部文件2023-10-20@CNITSEC。