标准规范下载简介
GB/T 30283-2022 信息安全技术 信息安全服务 分类与代码.pdf范围 规范性引用文件 术语和定义 缩略语 信息安全服务特点 信息安全服务分类与代码 6.1 编码方法 6.2分类与代码 信息安全咨询服务 7.1 信息安全规划咨询 7.2 信息安全设计咨询 7.3 信息安全管理体系咨询 7.4 信息安全工程监理 7.5 信息安全测试评估 7.6 信息安全培训 7.7 其他信息安全咨询服务 信息安全设计与开发服务 8.1 信息安全系统设计 8.2 信息安全开发 8.3 其他信息安全设计与开发服务 信息安全集成服务 9.1 信息安全硬件集成 9.2 信息安全软件集成 9.3 其他信息安全集成服务 10 信息安全运营服务 10.1 信息安全监测, 10.2 信息安全检查· 10.3 威胁信息共享. 10.4 信息安全分析 10.5 信息安全报送 10.6 恶意代码防范和处理 10.7 信息安全应急响应 10 10.8 信息安全演练 10.9 信息安全调查取证 10.10信息安全加固
GB/T30283—2022
10.11 信息安全运维规获 10.12 信息安全审计 10.13 身份管理· 10.14 备份和恢复· 10.15其他信息安全运营服务: 11信息的安全处理和存储服务 11.1 数据安全保护 11.21 信息安全租赁 11.3网络信息内容审核 11.4其他信息的安全处理和存储服务 12信息安全测评与认证服务 12.1信息安全测评 12.2信息安全认证 12.3其他信息安全测评与认证服务 13其他信息安全服务 13.1概述 13.2扩展原则 13.3扩展类型 耐录A(资料性) 信息安全服务分类新旧结构对照 附录B(资料性) 信息安全服务分类新旧类目对照 附录C(资料性) 信息安全服务实例及其对应服务类别 耐录D(资料性) 信息安全服务与信息系统生命周期的对应关系 附录E(资料性) 信息安全服务分类的其他形式与本文件服务类别的对应关系
GBT 228.1-2010 金属材料 拉伸试验 第1部分:室温试验方法.pdfC件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定
信息安全技术信息安全服务 分类与代码
本文件描述了信息安全服务的分类与代码,主要包括信息安全咨询类、信息安全设计与开发类、信 息安全集成类、信息安全运营类、信息的安全处理和存储类、信息安全测评与认证类及其他类七个方面。 本文件适用于信息安全服务提供方和信息安全服务需求方使用,也可供其他相关方参考。
GB/T30283—2022
信息安全运营服务informationsecurityoperationservice
面向组织或个人,围绕实现组织的业务持续、稳定运行的安全目标,通过提出安全解决构想、分析向 题、诊断问题、协调资源、解决问题、验证效果并持续迭代优化的统筹管理过程,满足组织信息安全的动 态性、持续性和整体性需求的信息安全服务
信息的安全处理和存储服务 information securityprocessing and storage service 面向组织,围绕信息和数据的分析、整理、计算、编辑、存储等加工处理业务,以及应用软件、信息系 统基础设施等租用业务的信息安全需求而提供的信息安全服务
面向组织或个人,由信息安全测评与认证机构围绕产品、系统、服务、人员、管理体系证明其符合租 关技术规范、相关技术规范的强制性要求或者标准合格评定活动面提供的信息安全服务
下列缩略语适用于本文件。
AI人工智能(ArtificialIntelligence) APT:高级持续性威胁(AdvancedPersistentThreat) APP:应用软件(ApplicationSoftware) CDN:内容分发网络(ContentDeliveryNetwork) IT:信息技术(InformationTechnology)
本文件所涉及的信息安全服务除了信息技术服务所具有的共同特点之外,还具有如下特点: a)不依附于某一单独的、具体的、批量生产的信息安全产品; b)针对不同的信息安全需求,供方提供不同服务内容的组合; c)信息安全服务具有敏感的动态性要求和突出的个性化要求; d)信息安全服务的形式多样,分为现场服务、远程联机服务、远程非联机服务等; 供方的服务人员、过程和工具保证可信和可控; f)供方符合国家和行业相关信息安全标准的要求
市信息安全服务分类与代码
本文件采用“服务大类一服务中类一服务小类”层次结构来描述服务分类,从左到右: a)服务大类由1位大写英文字母表示,信息安全咨询服务、信息安全设计与开发服务、信息安全 集成服务、信息安全运营服务、信息的安全处理和存储服务、信息安全测评与认证服务、其他信 息安全服务分别用A、B、C、D、E、F、Z表示; b) 服务中类由1位大写英文字母和2位阿拉伯数字表示,第1位是大类代码,后两位是中类顺序 代码,如“A01”表示信息安全规划咨询,数字为“99”表示收容类目,如“A99”表示其他信息安全 咨询服务; c) 服务小类由1位大写英文字母和4位阿拉伯数字表示,前三位为中类代码,后两位为小类顺序 代码,如“A0601”表示信息安全意识培训,后两位数字为“99”表示收容类目,如“A0699”表示其 他信息安全培训服务。 信息安全服务的分类代码结构见图1。
息安全服务分类与代码见
第三层,表示小类代码(两位数字) 第二层,表示中类代码(两位数字) 第一层,表示大类代码(一位字母)
图1信息安全服务的分类代码结构
GB/T30283—2022
表1信息安全服务分类与代码
表1信息安全服务分类与代码(续)
基于如上分类,需方根据自身的信息化现状和信息安全需求,对服务中类或小类进行组合,形成信 息安全服务实例。因此,信息安全服务可以服务实例的形式,由一个或多个服务中类或者服务小类构 成,某些还可能包含本文件不涉及的其他扩展的服务。通常信息安全服务实例有以下几种类型:安全咨 询、风险评估、安全集成、安全运维、应急响应、灾难恢复、安全培训、安全测评、安全监理、安全审计、安全 运营。信息安全服务分类新旧结构对照见附录A,信息安全服务分类新旧类目对照见附录B,典型的信 息安全服务实例及其对应服务类别见附录C。 信息安全服务贯穿信息系统的规划、设计、实施、运行、终止等阶段,信息安全服务与信息系统生命 周期的对应关系见附录D。
信息安全服务分类的其他形式与本文件的服务类别的对应关系见附录E
7.1信息安全规划咨询
信息安全规划咨询主要是针对需方信 投资预算、信息安全现状以及发展趋势,基于人员利用资源、技术,通过规定的过程提出需方安全规划目 标,从管理、技术两个维度设计规划内容以形成一套指导性文件,系统指导需方信息安全建设,满足其可 持续发展的需要。信息安全规划咨询通常涉及多学科知识、工程实践经验、现代科学和管理技术,为信 息安全资源开发利用、工程建设、人员培训、管理体系建设、技术支撑等方面提供支持。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类。
7.2信息安全设计咨询
信息安全设计咨询主要是针对信息系统的安全防护需求,由供方落实需方的安全规划,设计总体安 全策略,制定信息安全建设方案和实施方案,并在此基础上形成安全策略、安全技术体系结构、安全管理 体系结构等的设计,指导需方信息安全防护具体实现。信息安全设计一般可分为项层设计、概要设计和 详细设计等不同的服务交付物。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类,
7.3信息安全管理体系咨询
信息安全管理体系咨询主要是针对需方信息安全管理体系需求,由供方结合需方的需要和目标、安 全要求、所采用的过程、规模和结构,通过确定信息安全管理体系范围和方针、明确责任、权限和角色,采 用风险评估的方法规划管理体系建设任务并落实,实施内部审核与管理评审等过程,协助需方建立、实 现、维护、并持续改进信息安全管理体系。信息安全管理体系是组织的过程和整体管理结构的一部分并 集成在其中,涵盖相关标准要求的文件化信息,应阑述被保护的资产、风险管理的方法、控制目标及控制 方式和需要的保证程度。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类
7.4信息安全工程监理
信息安全工程监理主要是针对需方各类信息系统工程中涉及信息安全的工程活动,由具有相关资 质的监理单位(供方)根据需方委托,在工程建设的规划设计、部署实施(招标、设计、实施、验收)各阶段 实施控制和管理,提供相关建议和意见,确保实现各阶段的监理目标和完成监理内容。信息安全工程监 理还可以包括对信息系统运行维护阶段的信息安全服务进行监理。 任何提供的主要服务内容与以上描述相符的服务,均可归人本类
7.5信息安全测试评估
7.5.1信息安全测试
信息安全测试主要是针对信息系统、软硬件产品等被测对象的安全属性,由供方在特定的测试环境 下,根据需方授权,按照测试准备、测试实施、测试分析、测试结果反馈等工作流程,选择适用的方法/工 具,动态分析测试数据,发现被测对象存在的安全隐患,验证被测对象安全保障措施的符合性及有效性, 提出安全整改建议。信息安全测试通常包括信息系统安全测试、APP安全测试、漏洞安全扫描、基线配 置核查、渗透测试、源代码审计等。信息安全测试工具应符合相关国家标准要求,确保可靠性和安全性。 任何提供的主要服务内容与以上描述相符的服务,均可归人本类,
7.5.2信息安全风险评估
信息安全风险评估主要是针对业务、信息系统、基础网络和平台、数据资源等被评估对象,由供方确 定风险评估的工作形式,按照风险评估流程,覆盖风险评估准备、资产识别、威胁识别、脆弱性识别、已有 安全措施确认、风险分析、风险处理等环节,对所面临的风险进行识别、分析和评价,制定和提出抵御风 险的安全策略和整改措施。信息安全风险评估通常贯穿被评估对象的规划、设计、实施、运行、废弃各生 命周期阶段,
7.5.3其他信息安全测试评估服务
不属于以上服务小类的其他信息安全测试评估服务。
7.6.1信息安全意识培训
信息安全意识培训主要是针对需方的全体人员,结合组织的信息安全管理制度,采用宣传资料(如 简报、短片等)、宣传周、网络媒介等多种方式,传递有关信息安全方面的基本常识,并对培训效果进行评 价,确保培训人员树立信息安全观念,提高信息安全风险意识,增强信息安全责任感。信息安全意识培 训通常提供的是一种较为初级的培训服务。 任何提供的主要服务内容与以上措述相符的服务,均可归入本类,
7.6.2信息安全基础培让
员,采取案例教学、课堂讲授等方式,传授有关信息安全的基础知识,并对培训效果进行评价,确保培训 对象掌握与自身工作相关的信息安全理论知识和基本技能,履行信息安全职责。信息安全基础培训通 常提供的是一种基于角色和职责的定制服务。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类
7.6.3信息安全专业培训
信息安全专业培训主要是针对需方的信息安全专业人员、专职人员和高级管理人员,根据信息安全 人才培养计划,采取在职培训、岗位培训、技能考核、多学科专题研讨等方式,传授有关信息安全的专业 知识,并对培训效果进行评价,确保培训对象全面了解信息安全知识体系,掌握信息安全专业知识和专 业技能,提高信息安全专业素养。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类
7.6.4其他信息安全培训服务
不属于以上服务小类的其他信息安全培训服务
发泡陶瓷墙板隔墙建筑构造--绿能LSEE发泡陶瓷墙板(2019版 ).pdf于以上服务小类的其他信息安全培训服务。
7.7其他信息安全咨询服务
不属于以上服务中类的其他信息安全咨询服务
不属于以上服务中类的其他信息安全咨询服务
8信息安全设计与开发服务
8.1信息安全系统设计
信息安全系统设计主要是针对需方不能通过采购现有信息安全系统或产品予以满足的安全需求,
DLT1457-2015 电力工程接地用锌包钢技术条件GB/T 30283—2022
由供方按照需求分析、概要设计、详细设计等流程设计信息安全系统,可按照GB/T38674一2020提出 的应用软件安全编程的通用框架的要求,并结合需方应用环境的特性,提出安全防护设计要求,以指导 后续的信息安全开发(见8.2)。信息安全系统设计一般包括安全实现技术框架设计、安全功能设计、性 能要求设计等。 任何提供的主要服务内容与以上描述相符的服务,均可归入本类