大数据安全服务能力评估准则（含PA模板）@20170911 KC.docx

《大数据安全服务能力评估准则（含PA模板）@20170911 KC.docx》由会员分享，可在线阅读，更多相关《大数据安全服务能力评估准则（含PA模板）@20170911 KC.docx（9页珍藏版）》请在优知文库上搜索。

1、ICS35.401.80OB中华人民共和国国家标准GB/TXXXXX-20XX信息安全技术大数据安全服务能力评估准则Informationsecuritytechnology-assessmentcriteriaforinformationsecurityservicecapability点击此处添加与国际标准一致性程度的标识（报批稿）20XX-XX-XX发布20XX-XX-XX实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会-.Z,1刖S本标准按照GB“1.1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件某些内容可能涉

2、及专利，本文件的发布机构不承担识别这些专利的责任。本标准主要起草单位：。本标准主要起草人：等。本标准是对提供信息安全服务的组织进行能力评估,在编制过程中考虑到国内环境与信息安全行业的实际情况，同时结合GB/T30271、ISO/IEC20000-2011ISO/IEC27001-201KCOBIT5、NISTSP800系列等国际或区域标准制定而成。信息安全技术大数据安全服务能力评估准则1范围本标准定义了服务过程模型和大数据安全服务商的服务能力的评估准则。本标准既可用于对大数据安全服务提供商的能力进行评估，也可为服务提供商对于自身能力的改善提供指导。2规范性引用文件下列文件对于本文件的应用是必不

3、可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T20984-2007信息安全风险评估规范GB/T25069-2010信息安全技术术语3术语、定义和缩略语3.1术语和定义GB/T25069-2010中界定的以及下列术语和定义适用于本文件。3.1.1过程域processarea一个过程域(PA)是一组相关系统工程过程的性质，当这些性质全部实施后则能够达到过程域定义的目的。3.1.2基本实践basepractices一个过程域由基本实践(BP)组成。这些基本实践是系统工程过程中必须存在的性质，只有当所有这些性质完全

4、实现后，才可说满足了这个过程域的要求。3.1.3能力等级abilitylevel流程领域内流程改善达到的程度，能力等级由流程领域内适当的特定及一般执行方法所定义。3.1.4能力成熟度模型CaPabiIitymaturitymodel模型专注于改善组织的流程，包含一个或多个有效流程的必要元素，并且描述由特定的、不成熟的流程到有组织的、成熟的流程的品质改善与效率的成熟模型。3.1.5信息安全服务informationsecurityservice面向组织或个人的各类信息安全保隙需求，由服务提供方按照服务协议所执行的一个信息安全过程或任务。通常是基于信息安全技术、产品或管理体系的，通过外包的形式，由

5、专业信息安全人员所提供的支持和帮助。3.1.6信息安全服务提供方informationsecurityserviceprovider按照服务协议，通过专业的信息安全人员提供信息安全服务的各类组织机构。3.1.7信息安全月艮务需求方informationsecurityservicedemander有偿采购（或免费使用）外部所提供的信息安全服务，以满足信息系统安全保障需求，实现自身业务目标的组织（或个人用户）。3.1.8信息安全服务能力informationsafetyserviceability是指信息安全服务提供方能够满足需求方规定和潜在需求的特征和特性的程度。3.1.9信息安全服务能力级别

6、informationsafetyservicelevel信息安全服务能力级别是指提供信息安全服务的组织在完成工程、服务项目时，执行组织已定义过程的能力成熟程度。3.1.10过程process一个过程是指为了一个给定目的而执行的一系列活动。过程包括活动定义、每个活动的输入输出定义以及控制活动执行的机制。3.1.11过程能力processcapabiIity过程能力是遵循一个过程可达到的可量化范围。一个组织的过程能力可帮助预见项目目标的能力。低能力级别组织的项目在达到预定的成本、进度、功能和质量目标上会有很大的变化。3.1.12过程管理processmanagement过程管理是一系列用于预见、

7、评价和控制过程执行的活动和基础设施。过程管理意味着过程已定义好。注重过程管理含义是项目或组织需在计划、执行、评价、监控和校正活动中既要考虑产品相关因素，也要考虑过程相关因素。3. 1.13工作产品workproducts工作产品是指在执行任何过程中产生出的所有文档、报告、文件、数据等。本标准按特定的基本实践列出其“典型的工作产品”，其目的在于对所需的基本实践范围可做进一步定义。列举的工作产品只是说明性的，目的在于反映组织机构和产品的范围。这些典型的工作产品不是“强制”的产品。3.2缩略语下列缩略语适用于本文件。PA过程域(ProcessArea)BP基本实践(BasePractices)GP通

8、用实践(GenericPractices)CF公共特征(CommonFunction)4概述4.1 大数据安全服务过程模型图1大数据安全服务过程模型组织战略是信息安全活动的基础，各大数据安全活动涵盖在信息系统规划设计、实施交付、监视支持生命周期的各阶段，并通过有效的检查和改进机制，提升组织大数据安全管理能力。4.1.1 组织战略组织战略作为大数据安全服务过程模型的中心环节，是本模型的重要组成并处于主导地位。大数据安全服务提供者通过对本标准的学习和认识，建立有效的、全面的安全制度和管理规定，全面覆盖规划设计、实施交付、监视支持、检查改进等各个环节，确保其符合本标准的相关要求。4.1.2 规划设计

9、从客户战略出发，以客户需求为中心，参考组织管理与本标准中对大数据安全的规定，对其进行全面系统的规划设计，并建立业务战略、IT战略和安全服务之间清晰的匹配和连接关系。规划设计阶段需要根据业务战略、运营模式及业务流程的特点确定所需要的业务服务组件，为安全服务的部署实施做好准备，以确保为最终客户提供满足其需求的服务。4.1.3 实施交付在规划设计的基础上，依据本标准建立管理体系、部署专用工具及服务解决方案。实施完成后根据其结果，依据本标准要求，实现服务与业务的有机结合。重点包括业务运营和IT运营，主要采用过程方法，对基础设施、服务流程、人员和业务连续性进行全面管理。4. 1.4监视支持在交付过程中，

10、应根据本标准要求，对业务运营和IT运营等交付措施过程进行记录。并确保交付记录的实时性、可追溯性、完整性以及可用性。还应根据客户的需求采用外包、供应商等形式在可控的情况下完善大数据安全服务的交付过程。5. 1.5检查改进检查与改进过程伴随着整个大数据安全服务生命周期的始终。依据本标准中的规定，检查改进过程伴随着组织管理、规划设计、实施交付、监视支持的方方面面。通过对监视支持产生的记录进行详细的分析，并结合本标准的内容，对现有规章制度、规划设计、交付过程和支持手段进行改进和完善，且应采用可控制、可记录的手段来完成这一过程。2. 2能力评定原则4. 2.1综合考虑原则大数据安全服务能力级别的划分必须

11、对组织的综合能力进行考察，它主要与组织的技术实力、信息安全服务能力等级以及其他要求有关。5. 2.2可裁剪原则安全服务有多种类型，对不同类型的安全服务可进行适当的裁剪，同时可灵活定义新的服务类型。6. 2.3符合性原则必须遵从国家有关主管部门颁布的相关法律、法规、规章、制度、与相关网络与大数据安全标准相致。7. 2.4可操作性原则应考虑国内安全服务商以及安全服务市场的实际情况，保证标准客观、实际、可操作性。5大数据安全服务过程7.1 D01嚣聋S能7.1.1 D01PAO1制定大数据安全章程7.1.1.1 概述大数据安全章程是大数据安全管理的方针，制定大数据安全章程，需要明确安全管理目标、宗旨

12、，确定并定义安全管理范围，符合相关法律法规要求，并建立适用性声明。大数据安全章程应定期评审其合理性和适用性。8. 1.1.2目标建立清晰的安全方针指导，并在整个组织中颁布实施，从而支持组织大数据安全活动。5.1.1.3 过程域注解无。5.1.1.4 基本实践清单基本实践清单包括：a) BPO1O1O1明确安全管理目的、宗旨b) BP010102定义安全边界和范围c) BPolOl03遵从法规、合约与安全要求d) BP010104建立适用性声明e) BPOIOI05管理层评审5.1.1.5 BP010101明确安全管理目的、宗旨5.1.1.5.1描述安全管理的宗旨、权力和职责应在章程中进行定义并

13、获取认可。章程应：a)确定安全管理活动在组织中的地位；b)授权人员接触与开展工作相关的记录、人员和实物财产；c)规定安全管理活动的范围；d)证据以书面形式存在并批准；。)定期评价章程中所规定的宗旨、权力和职责是否足以使安全管理活动实现其目标。这种定期评价的结果必须通报高级管理层。5.1.1.5.2工作产品大数据安全管理章程。5.1.1.6BP010102定义安全管理范围5.1.1.6.1描述应根据组织目标与安全需求，结合业务特点、组织结构、位置、资产和技术，确定安全管理的边界与范围。5.1.1.6.2工作产品大数据安全管理范围。5.1.1.7BPOIOl03遵从法规、合约与安全要求5.1.1.

14、7.1描述安全管理首先要求考虑区域法律、行业规章、机构规定、合同等方面的要求，并综合考虑系统的安全需求。5.1.1.7.2工作产品大数据安全符合性规范。5.1.1.8BP010104建立适用性声明5.1.1.8.1描述应建立安全管理相关适用性声明。适用性声明应包括：a）选择的过程域目标和措施，以及选择的理由；b）当前实施的过程域目标和措施。5.1.1.8.2工作产品适用性声明。5.1.1.9BP010105管理层评审5.1.1.9.1描述大数据安全管理层机构应负责定期组织相关部门和相关人员对大数据安全章程的合理性和适用性进行审定。对存在不足或需要改进的内容进行修订。5.1.1.9.2工作产品管理评审记录。