搜索结果: GB/T 30271-2013, GB/T30271-2013, GBT 30271-2013, GBT30271-2013
| 标准编号 | GB/T 30271-2013 (GB/T30271-2013) | | 中文名称 | 信息安全技术 信息安全服务能力评估准则 | | 英文名称 | Information security technology -- Assessment criteria for information security service capability | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 68,675 | | 引用标准 | GB/T 20984-2007; GB/T 25069-2010; GB/T 30283 | | 标准依据 | 国家标准公告2013年第27号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了服务过程模型和信息安全服务商的服务能力的评估准则。本标准适用于对信息安全服务提供商的能力进行评估, 也适用于服务提供商对于自身能力的改善提供指导。 | GB/T 30271-2013
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术
信息安全服务能力评估准则
2013-12-31发布
2014-07-15实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅰ
引言 Ⅱ
1 范围 1
2 规范性引用文件 1
3 术语、定义和缩略语 1
3.1 术语和定义 1
3.2 缩略语 2
4 概述 3
4.1 信息安全服务过程概述 3
4.2 能力评定原则 4
5 信息安全服务过程 4
5.1 D01组织战略 4
5.2 D02规划设计 15
5.3 D03实施交付 31
5.4 D04监视支持 39
5.5 D05检查改进 52
6 信息安全服务能力级别 57
6.1 概述 57
6.2 能力级别1 基本执行 57
6.3 能力级别2 计划跟踪 57
6.4 能力级别3 充分定义 58
6.5 能力级别4 量化控制 59
6.6 能力级别5 连续改进 59
7 信息安全服务能力评定 60
参考文献 62
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准主要起草单位:中国信息安全测评中心、北京江南博仁科技有限公司、北京中天安信息技术
服务有限公司。
本标准主要起草人:张利、佟鑫、李斌、班晓芳、王琰、刘作康、任育波、吴慎夕。
引 言
本标准是对提供信息安全服务的组织进行能力评估,在编制过程中考虑到国内环境与信息安全行
业的实际情况,同时结合GB/T 20261-2006、ISO/IEC 20000-2011、COBIT4.1、NISTSP800系列等
国际或区域标准制定而成。
信息安全技术
信息安全服务能力评估准则
1 范围
本标准规定了服务过程模型和信息安全服务商的服务能力的评估准则。
本标准适用于对信息安全服务提供商的能力进行评估,也适用于服务提供商对于自身能力的改善
提供指导。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20984-2007 信息安全风险评估规范
GB/T 25069-2010 信息安全技术 术语
GB/T 30283 信息安全技术 信息安全服务 分类
3 术语、定义和缩略语
3.1 术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1.1
能力等级 abilitylevel
流程领域内流程改善达到的程度。
注:能力等级由流程领域内适当的特定及一般执行方法所定义。
3.1.2
基本实践 basepractices
系统工程过程中应存在的性质,只有当所有这些性质完全实现后,才可说满足了这个过程域的
要求。
注:一个过程域由基本实践(BP)组成。
3.1.3
有关组织的服务或开发过程中各个发展阶段的定义、实现、质量控制和改善的模型化描述。
注:模型专注于改善组织的流程,包含一个或多个有效流程的必要元素,并且描述由特定的、不成熟的流程到有组
织的、成熟的流程的品质改善与效率的成熟模型。
3.1.4
面向组织或个人的各类......
|