【咨询内容介绍】

国家标准《信息安全服务定义和分类》研制过程中提出了一个相对完整、明确的定义：面向组织或个人的各类信息安全保障需求，由服务提供方按照服务协议所执行的一个信息安全过程或任务，通常是基于信息安全技术、产品或管理体系的，通过外包的形式，由专业信息安全人员所提供的支持和帮助。在这个定义中，强调了信息安全服务中的第一要素是"人"（如同其他IT服务一样），明确了"服务协议"应作为维系服务供需双方的基本约定，并描述了安全技术、安全产品、安全管理体系和安全服务之间的依赖关系。

将上述定义应用于信息安全服务实践中，其主体和客体、内容和形式均存在差异，因此需要对信息安全服务进一步分类，目的是便于需求方采购服务、提供方开发服务和行业规范管理。目前行业"约定俗成"的安全咨询、风险评估、安全集成、安全运维、应急处理、灾难恢复、安全培训、安全测评、安全监理、安全审计等服务名称，单独地看均有明确所指，但整体来看却又缺乏统一的分类原则，在实践中往往会造成不同服务之间存在交叉、同一服务中提供的内容存在差异等现象。事实上，如同医疗服务一样，医患双方都应该清楚在本次就医服务中做了哪些检查、开了哪些药剂、最后达到了怎样的效果，信息安全服务提供方所开的"方子"，其构成理应是基于同一标准并能被信息安全服务需求方所看懂的。

更新时间：2016/10/10 17:28:46