国家标准《信息安全服务定义和分类》研制过程中提出了一个相对完整、明确的定义:面向组织或个人的各类信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全过程或任务,通常是基于信息安全技术、产品或管理体系的,通过外包的形式,由专业信息安全人员所提供的支持和帮助。在这个定义中,强调了信息安全服务中的第一要素是"人"(如同其他IT服务一样),明确了"服务协议"应作为维系服务供需双方的基本约定,并描述了安全技术、安全产品、安全管理体系和安全服务之间的依赖关系。
将上述定义应用于信息安全服务实践中,其主体和客体、内容和形式均存在差异,因此需要对信息安全服务进一步分类,目的是便于需求方采购服务、提供方开发服务和行业规范管理。目前行业"约定俗成"的安全咨询、风险评估、安全集成、安全运维、应急处理、灾难恢复、安全培训、安全测评、安全监理、安全审计等服务名称,单独地看均有明确所指,但整体来看却又缺乏统一的分类原则,在实践中往往会造成不同服务之间存在交叉、同一服务中提供的内容存在差异等现象。事实上,如同医疗服务一样,医患双方都应该清楚在本次就医服务中做了哪些检查、开了哪些药剂、最后达到了怎样的效果,信息安全服务提供方所开的"方子",其构成理应是基于同一标准并能被信息安全服务需求方所看懂的。
更新时间:2016/10/10 17:28:46