《信息安全技術(shù) 信息安全服務(wù)管理規(guī)范》編制說(shuō)明

一、工作簡(jiǎn)況

1.1任務(wù)來(lái)源

《信息安全服務(wù)提供方管理要求》（立項(xiàng)名稱為：《信息安全服務(wù)管理規(guī)范》）

是國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2010年下達(dá)的國(guó)家信息安全標(biāo)準(zhǔn)制定項(xiàng)目。該標(biāo)準(zhǔn)由

中國(guó)信息安全認(rèn)證中心主要負(fù)責(zé)，上海三零衛(wèi)士信息安全有限公司、中國(guó)電子技

術(shù)標(biāo)準(zhǔn)化研究院等單位共同參與起草工作。

1.2主要工作過(guò)程

自2005年起，中國(guó)信息安全認(rèn)證中心承擔(dān)了全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員

會(huì)下達(dá)的“國(guó)家信息安全戰(zhàn)略研究與標(biāo)準(zhǔn)制定工作專項(xiàng)項(xiàng)目---《信息系統(tǒng)安全服

務(wù)管理指南研究》”。在該項(xiàng)目的基礎(chǔ)上，中國(guó)信息安全認(rèn)證中心于2007年開(kāi)始

了《信息安全服務(wù)指南》的研究（側(cè)重于信息安全服務(wù)管理體系）。繼續(xù)《信息

安全服務(wù)指南》之后，2009年，國(guó)家安標(biāo)委布置中心重點(diǎn)研究《信息安全服務(wù)

標(biāo)準(zhǔn)體系框架》，通過(guò)我中心、中國(guó)信息安全測(cè)評(píng)中心共同研究，明確了信息安

全管理標(biāo)準(zhǔn)體系框架。在該框架中，信息安全服務(wù)分類、信息安全服務(wù)管理規(guī)范

是該框架中的基礎(chǔ)標(biāo)準(zhǔn)。2011年，國(guó)家安標(biāo)委下達(dá)了國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目《信息

安全服務(wù)管理規(guī)范》，該標(biāo)準(zhǔn)同《信息安全服務(wù)定義和分類》作為今后信息安全

服務(wù)標(biāo)準(zhǔn)框架中的兩個(gè)基礎(chǔ)性標(biāo)準(zhǔn)。

1.2011年初，中心承接了安標(biāo)委的信息安全服務(wù)管理規(guī)范。在2012年8

月份，中心針對(duì)已經(jīng)編制完成的標(biāo)準(zhǔn)文本組織專家進(jìn)行研討。經(jīng)過(guò)研討，

最終確定了信息安全服務(wù)標(biāo)準(zhǔn)框架，在課題中明確了信息安全服務(wù)定義

和分類、信息安全服務(wù)管理規(guī)范是基礎(chǔ)的標(biāo)準(zhǔn)之一。

2.2011年3月－4月，標(biāo)準(zhǔn)編寫組請(qǐng)外部專家對(duì)標(biāo)準(zhǔn)草案進(jìn)行評(píng)審，并對(duì)

標(biāo)準(zhǔn)提出修改意見(jiàn)，標(biāo)準(zhǔn)編寫組根據(jù)專家意見(jiàn)，對(duì)草案進(jìn)行了修改，使

得標(biāo)準(zhǔn)進(jìn)一步完善，形成新的標(biāo)準(zhǔn)草案稿。

3.2011年8月17日，本標(biāo)準(zhǔn)《信息安全服務(wù)管理規(guī)范》和另一個(gè)服務(wù)標(biāo)

準(zhǔn)《信息安全服務(wù)定義和分類》，共同接受了WG7工作組重點(diǎn)標(biāo)準(zhǔn)項(xiàng)目

的檢查，專家建議兩個(gè)標(biāo)準(zhǔn)需要進(jìn)行整合，尤其是對(duì)信息安全服務(wù)的分

類需要達(dá)成一致，并體現(xiàn)在《信息安全服務(wù)定義和分類》標(biāo)準(zhǔn)中?！缎?/p>

息安全服務(wù)管理規(guī)范》中重點(diǎn)放在如何對(duì)服務(wù)提供方提供的信息安全服

1

務(wù)進(jìn)行管理。

4.2012年4月，安標(biāo)委組織開(kāi)展“信息安全服務(wù)標(biāo)準(zhǔn)研討會(huì)”，研究信息

安全服務(wù)標(biāo)準(zhǔn)體系框架，推進(jìn)信息安全服務(wù)標(biāo)準(zhǔn)制定工作。

5.2012年6月28日，中心專門組織一次項(xiàng)目研討會(huì)，與會(huì)專家提出了信

息安全服務(wù)標(biāo)準(zhǔn)涉及到了政策方、評(píng)估方、服務(wù)采購(gòu)方、服務(wù)供應(yīng)方四

方，《信息安全服務(wù)管理規(guī)范》應(yīng)對(duì)服務(wù)供應(yīng)方提出要求，并清晰描述

與相關(guān)方的接口要求。同時(shí)明確該標(biāo)準(zhǔn)是框架的一個(gè)通用標(biāo)準(zhǔn)：信息安

全服務(wù)標(biāo)準(zhǔn)框架應(yīng)包括：術(shù)語(yǔ)模型、通用要求、通用指南、特定類別和

行業(yè)的要求和指南四個(gè)層次的標(biāo)準(zhǔn)，《信息安全服務(wù)管理規(guī)范》應(yīng)定位

于通用要求層次。

6.2013年，因?yàn)榘矘?biāo)委給予的項(xiàng)目資金有限，我中心專門設(shè)立體系建設(shè)項(xiàng)

目，撥付專款用于支持該項(xiàng)目。按上次會(huì)議達(dá)成的共識(shí)，重新進(jìn)行了調(diào)

整和編寫，形成當(dāng)前新的草案稿，主要針對(duì)信息安全服務(wù)提供者的“管

理能力”，從組織級(jí)管理、項(xiàng)目級(jí)管理兩個(gè)角度提出適用、全面的要求。

7.2013年9月3日，在重新調(diào)整和編寫標(biāo)準(zhǔn)的基礎(chǔ)上，中心組織召開(kāi)了標(biāo)

準(zhǔn)的專家研討會(huì)，就新的草案稿的適用范圍、管理結(jié)構(gòu)和具體的條款設(shè)

置進(jìn)行了詳細(xì)的匯報(bào)和深入的討論，專家分別從標(biāo)準(zhǔn)內(nèi)容的針對(duì)性和格

式的規(guī)范性等方面給出了詳細(xì)的意見(jiàn)，會(huì)后根據(jù)專家意見(jiàn)對(duì)標(biāo)準(zhǔn)做了相

應(yīng)的修改。

8.2013年9月12日，由安標(biāo)委組織了對(duì)本標(biāo)準(zhǔn)的項(xiàng)目檢查，專家普遍認(rèn)

可標(biāo)準(zhǔn)草案的完整性和成熟度，同時(shí)建議將信息安全服務(wù)管理的一些基

本要求（如：原則和目標(biāo)、數(shù)據(jù)和業(yè)務(wù)保護(hù)）獨(dú)立于組織管理和項(xiàng)目管

理單列前置，并就標(biāo)準(zhǔn)的一些用詞專業(yè)性提出了修改意見(jiàn)。

9.2013年10月17日，由安標(biāo)委組織了本標(biāo)準(zhǔn)草案在WG7工作組內(nèi)的專

家審查會(huì)，經(jīng)質(zhì)詢和討論一致認(rèn)為：1）該標(biāo)準(zhǔn)針對(duì)信息安全服務(wù)提供

方，提出了組織管理和項(xiàng)目管理的各項(xiàng)要求，有助于信息安全服務(wù)提供

方管理能力的形成，通過(guò)對(duì)服務(wù)要素的管控，規(guī)避服務(wù)風(fēng)險(xiǎn)，實(shí)現(xiàn)服務(wù)

目標(biāo)；2）該標(biāo)準(zhǔn)對(duì)信息安全服務(wù)的獲取方、評(píng)價(jià)機(jī)構(gòu)和監(jiān)管部門具有

參考意義；3）建議該標(biāo)準(zhǔn)的名稱改為《信息安全技術(shù)信息安全服務(wù)提

2

供方管理要求》。專家組同意該標(biāo)準(zhǔn)草案通過(guò)審查，并建議根據(jù)本次審

查會(huì)專家意見(jiàn)進(jìn)行修改后提交WG7工作組成員單位進(jìn)行表決，形成征

求意見(jiàn)稿。本次會(huì)議之后，本標(biāo)準(zhǔn)的名稱以及后續(xù)稿件版本，均正式變

更為《信息安全技術(shù)信息安全服務(wù)提供方管理要求》。

10.2014年3月18日，信息安全標(biāo)準(zhǔn)化委員會(huì)WG7工作組在北京召開(kāi)了本

標(biāo)準(zhǔn)草案的工作組投票，根據(jù)各成員單位的投票表決情況，本標(biāo)準(zhǔn)通過(guò)

了草案的投票，標(biāo)準(zhǔn)編制組根據(jù)相關(guān)意見(jiàn)，對(duì)標(biāo)準(zhǔn)文字和格式再次進(jìn)行

了完善，形成《征求意見(jiàn)稿》。

二、編制原則和主要內(nèi)容

2.1編制原則

本標(biāo)準(zhǔn)定位于信息安全服務(wù)標(biāo)準(zhǔn)框架中的基礎(chǔ)性標(biāo)準(zhǔn)，在本標(biāo)準(zhǔn)中主要是對(duì)

信息安全服務(wù)提供方的服務(wù)要素和服務(wù)風(fēng)險(xiǎn)提出管理要求。適用于信息安全服務(wù)

供需雙方在獲取和提供相關(guān)信息安全服務(wù)時(shí)，對(duì)服務(wù)要素進(jìn)行管控，從而規(guī)避服

務(wù)風(fēng)險(xiǎn)，實(shí)現(xiàn)服務(wù)目標(biāo)，也可用作信息安全評(píng)價(jià)機(jī)構(gòu)和監(jiān)管部門對(duì)信息安全服務(wù)

行業(yè)的規(guī)范管理。主要的編制原則是：體系清晰、結(jié)構(gòu)合理，要求符合國(guó)內(nèi)信息

安全服務(wù)提供方的管理現(xiàn)狀，同時(shí)與相關(guān)的國(guó)際和國(guó)家標(biāo)準(zhǔn)保持較高的融合度，

提出了對(duì)服務(wù)要素的可視性管控，具有一定的前瞻性。

2.2主要內(nèi)容

本標(biāo)準(zhǔn)從信息安全服務(wù)提供方的組織級(jí)管理、項(xiàng)目級(jí)管理兩個(gè)層面提供了管

理要求。本標(biāo)準(zhǔn)適用于信息安全服務(wù)提供方對(duì)其服務(wù)要素和服務(wù)風(fēng)險(xiǎn)進(jìn)行管控，

對(duì)信息安全服務(wù)需求方、評(píng)價(jià)機(jī)構(gòu)和監(jiān)管部門具有參考意義。

本標(biāo)準(zhǔn)主要框架如下：

前言

引言

1范圍

2規(guī)范性引用文件

3術(shù)語(yǔ)和定義

4信息安全服務(wù)原則

4.1合規(guī)性

3

4.2數(shù)據(jù)和業(yè)務(wù)保護(hù)

5.信息安全服務(wù)組織級(jí)管理

5.1制度和體系

5.2人力資源

5.3保密

5.4技術(shù)能力

5.5服務(wù)協(xié)議

5.6服務(wù)組合

5.7供應(yīng)鏈

6信息安全服務(wù)項(xiàng)目級(jí)管理

6.1服務(wù)方案

6.2服務(wù)人員

6.3服務(wù)過(guò)程

6.4服務(wù)工具和平臺(tái)

6.5服務(wù)風(fēng)險(xiǎn)

6.6服務(wù)變更

6.7服務(wù)溝通

6.8服務(wù)交付

本標(biāo)準(zhǔn)主要貢獻(xiàn)如下：

（1）、信息安全服務(wù)（提供方）管理要求

以信息安全服務(wù)提供方為標(biāo)靶，為信息安全服務(wù)提供方、需求方、評(píng)估方和

監(jiān)管方等提出一套用于信息安全服務(wù)設(shè)計(jì)和實(shí)施的通用規(guī)范，以及一組具體、現(xiàn)

實(shí)意義的組織級(jí)管理和項(xiàng)目級(jí)管理的管控點(diǎn)，保障信息安全服務(wù)始終處于可視狀

態(tài)，確保服務(wù)目標(biāo)的實(shí)現(xiàn)。

（2）、信息安全服務(wù)管理的重要術(shù)語(yǔ)界定

在《信息安全服務(wù)定義和分類》的基礎(chǔ)上，從信息安全服務(wù)提供方的角度

關(guān)注其信息安全服務(wù)過(guò)程的管理能力，給出了與這種管理相關(guān)的一系列重要術(shù)語(yǔ)

和定義，主要包括：服務(wù)級(jí)別、服務(wù)目錄、服務(wù)組合、供應(yīng)鏈、可視性、服務(wù)要

素、服務(wù)方案、服務(wù)工具和服務(wù)變更。

4

三、主要實(shí)驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果

信息安全服務(wù)是一項(xiàng)系統(tǒng)工程，不僅是安全產(chǎn)品的部署，還包括在安全咨詢、

風(fēng)險(xiǎn)評(píng)估、安全集成、安全監(jiān)控、安全管理、應(yīng)急響應(yīng)等方面采取措施，實(shí)施過(guò)

程中還需要第三方提供監(jiān)理、測(cè)評(píng)等。目前，國(guó)內(nèi)取得信息安全服務(wù)資格的廠商

超過(guò)了160家，知名的信息安全服務(wù)廠商也達(dá)到近15家，在政府和金融、電信

等行業(yè)領(lǐng)域用戶群體在迅速擴(kuò)大，我國(guó)的信息安全服務(wù)市場(chǎng)正在成為信息安全產(chǎn)

業(yè)新的業(yè)務(wù)增長(zhǎng)點(diǎn)。然而，國(guó)內(nèi)的信息安全服務(wù)市場(chǎng)還不夠成熟和規(guī)范，各服務(wù)

提供方所提供服務(wù)內(nèi)容的同質(zhì)化明顯，在實(shí)際操作中各自對(duì)信息安全服務(wù)的管理

方式方法、廣度深度都不盡相同，盡管在服務(wù)資格和技術(shù)能力上符合相關(guān)要求，

但在服務(wù)過(guò)程中由于缺乏統(tǒng)一的服務(wù)管理規(guī)范和標(biāo)準(zhǔn)，造成服務(wù)質(zhì)量和服務(wù)安全

往往得不到保障，甚至造成信息安全服務(wù)需求方產(chǎn)生服務(wù)信任問(wèn)題，在一定程度

上制約了信息安全服務(wù)產(chǎn)業(yè)的發(fā)展。

另一方面，一些政府部門和企業(yè)在信息安全方面往往不具備足夠的人力、技

術(shù)、時(shí)間來(lái)落實(shí)信息安全保障工作，使得他們不得不借助于外部的安全服務(wù)提供

方（SecurityServicesProvider）來(lái)提供信息安全的整體解決方案。用戶在外包信

息安全服務(wù)的同時(shí)也需要對(duì)外包過(guò)程加以管理，并對(duì)這些外包信息安全服務(wù)耗費(fèi)

的成本和帶來(lái)的效益加以統(tǒng)計(jì)和分析，以實(shí)現(xiàn)對(duì)其內(nèi)部最終用戶安全服務(wù)的可控

性。因?yàn)樾畔踩?zé)任是無(wú)法外包的，由于缺乏相關(guān)的服務(wù)外包管理規(guī)范，造成

目前用戶的安全需求和廠商的安全服務(wù)之間對(duì)接不清晰，用戶對(duì)安全服務(wù)提供方

的選擇和管理缺乏依據(jù)，不能對(duì)安全服務(wù)過(guò)程有效管理，對(duì)安全服務(wù)提供方的服

務(wù)成果也無(wú)法做出正確的評(píng)價(jià)。

本標(biāo)準(zhǔn)是根據(jù)當(dāng)前國(guó)內(nèi)信息安全服務(wù)市場(chǎng)中存在的“缺乏服務(wù)規(guī)范、缺少服

務(wù)管理”的實(shí)際情況而提出的，它的研究成果將促進(jìn)我國(guó)目前良莠不齊的信息安

全服務(wù)市場(chǎng)的規(guī)范化，有利于信息安全服務(wù)需求方與提供方明確信息安全和服務(wù)

安全責(zé)任，有利于實(shí)現(xiàn)信息安全服務(wù)始終處于可視狀態(tài)，解決信息安全服務(wù)外包

中的信息安全和服務(wù)可信可靠可控問(wèn)題，確保信息安全服務(wù)目標(biāo)的實(shí)現(xiàn)。同時(shí)，

一個(gè)科學(xué)、明晰的管理規(guī)范也有利于信息安全主管部門的行業(yè)管理，為我國(guó)整個(gè)

信息安全服務(wù)行業(yè)提供指導(dǎo)示范作用，從而提高我國(guó)信息安全保障的整體水平。

四、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國(guó)際、國(guó)外同類標(biāo)準(zhǔn)水平的對(duì)

比情況，或與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況

5

目前尚無(wú)專門針對(duì)“信息安全服務(wù)”進(jìn)行管理的國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn),

本標(biāo)準(zhǔn)主要涉及4個(gè)與服務(wù)管理相關(guān)的國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)。

NIST的SP800-35中涉及了信息安全服務(wù),但其重點(diǎn)是信息安全服務(wù)的生命

周期和信息安全服務(wù)的基本類別，在服務(wù)管理方面只提及了類似測(cè)量指標(biāo)

（Metrics）、服務(wù)協(xié)議（ServiceAgreements）等不多的管理工具，并沒(méi)有一個(gè)完

整的服務(wù)管理體系或規(guī)范。

ISO/IEC20000-1和ISO/IEC20000-2分別為服務(wù)提供方定義了向其顧客交付

可接受質(zhì)量的受管理服務(wù)的要求，描述了業(yè)界一致認(rèn)可的IT服務(wù)管理過(guò)程的質(zhì)

量標(biāo)準(zhǔn)，是基于一系列服務(wù)過(guò)程進(jìn)行的管理，對(duì)所有的信息技術(shù)服務(wù)都通用，從

管理點(diǎn)上為本標(biāo)準(zhǔn)提供了很多借鑒，但對(duì)于信息安全服務(wù)中必須且首要面對(duì)的信

息安全風(fēng)險(xiǎn)，在本標(biāo)準(zhǔn)中將重點(diǎn)展開(kāi)。

ISO/IEC27001和ISO/IEC27001關(guān)注組織的信息安全及其控制措施，站在

組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，提出信息安全管理體系的要求，本標(biāo)準(zhǔn)借鑒了其關(guān)注

組織信息保密性、系統(tǒng)可用性和業(yè)務(wù)連續(xù)性的視角，但在風(fēng)險(xiǎn)管理落腳點(diǎn)上并不

是信息安全技術(shù)和管理措施，而是不因信息安全服務(wù)提供方的各類服務(wù)要素的介

入，以及供需雙方的交互，導(dǎo)致對(duì)需求方的業(yè)務(wù)、資產(chǎn)、系統(tǒng)等造成損害。

同樣的，目前在編的ISO/IEC27036系列標(biāo)準(zhǔn)是站在供應(yīng)鏈關(guān)系的角度提出

信息安全要求，信息安全服務(wù)中也存在供應(yīng)鏈關(guān)系，不僅要關(guān)注信息安全，還需

要關(guān)注服務(wù)安全。

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的關(guān)系

根據(jù)YD/T1621-2007《網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評(píng)估方法》，信息安全服務(wù)

資質(zhì)認(rèn)證或能力評(píng)估一般包括：基本資格、管理能力、技術(shù)能力和過(guò)程能力。本

標(biāo)準(zhǔn)站在信息安全服務(wù)提供方的角度關(guān)注其信息安全服務(wù)過(guò)程的管理能力。本標(biāo)

準(zhǔn)與GB/T24405.1-2009《信息技術(shù)服務(wù)管理第1部分：規(guī)范》、GB/T

24405.2-2009《信息技術(shù)服務(wù)管理第2部分：實(shí)踐規(guī)則》相關(guān)但不等同，GB/T

24405.1-2009、GB/T24405.2-2009是基于服務(wù)過(guò)程進(jìn)行管理，本標(biāo)準(zhǔn)是基于服

務(wù)要素進(jìn)行管理。本標(biāo)準(zhǔn)與GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管

理體系要求》、GB/T22081-2008《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》

也是相關(guān)但不等同，GB/T22080-2008、GB/T22081-2008是基于組織的信息安

全及其控制措施進(jìn)行管理，本標(biāo)準(zhǔn)是基于服務(wù)安全及其控制措施的進(jìn)行管理。

6

本標(biāo)準(zhǔn)作為信息安全服務(wù)領(lǐng)域的基礎(chǔ)性標(biāo)準(zhǔn)，基于GB/TAAAA-AAAA《信息

安全技術(shù)信息安全服務(wù)定義和分類》中對(duì)信息安全服務(wù)的定義和類別劃分，重

點(diǎn)關(guān)注信息安全服務(wù)提供方在其信息安全服務(wù)過(guò)程的管理能力。在此基礎(chǔ)上將結(jié)

合目前已有的GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》、

GB/T22081-2008《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》、GB/Z

24364-2009《信息安全風(fēng)險(xiǎn)管理規(guī)范》、GB/T20984-2007《信息安全技術(shù)信息

安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、GB/Z20985-2007《信息安全技術(shù)信息安全事件管理指南》、

GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級(jí)指南》、GB/T24363-2009

《信息安全技術(shù)信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范等實(shí)施指南》、GB/T20988-2007《信

息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》等實(shí)施指南層面的專項(xiàng)類標(biāo)準(zhǔn)，以及今后

還可能制定的信息安全規(guī)劃設(shè)計(jì)、信息系統(tǒng)安全集成、信息安全運(yùn)行維護(hù)、信息

安全審計(jì)等實(shí)施指南層面的專項(xiàng)類標(biāo)準(zhǔn)，共同形成信息安全標(biāo)準(zhǔn)體系框架。

此外，本標(biāo)準(zhǔn)與國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)是一