二、信息安全服务标准化建议
继信息安全技术、产品和管理体系普遍实施标准化之后,有必要尽快形成信息安全服务标准的体系框架,并不断优化和充实其中的各类标准。国际标准化组织在2005年发布了ISO27001信息安全管理体系标准,这方面可以参考ISO27000标准族的层次化做法,将标准分为术语、通用要求、通用指南和特定领域的实施指南四个层面。在《信息安全服务
定义和分类》相当于ISO27000)之下:一方面尽快考虑《服务通用要求》(相当于ISO27001)、《服务过程指南》(相当于ISO27002)、《服务质量评价》(相当于ISO27004)、《服务能力评估》和《服务管理规范》等基础标准;另一方面在已有的风险评估、应急响应、灾难恢复等规范指南的基础上,重点研制安全规划设计、安全集成、安全运维、安全审计等不同类别的实施指南,以及政府、互联网、工业生产、金融等不同领域的实施指南。
更新时间:2016/10/10 17:44:55