【咨询内容介绍】

二、信息安全服务标准化建议

继信息安全技术、产品和管理体系普遍实施标准化之后，有必要尽快形成信息安全服务标准的体系框架，并不断优化和充实其中的各类标准。国际标准化组织在2005年发布了ISO27001信息安全管理体系标准，这方面可以参考ISO27000标准族的层次化做法，将标准分为术语、通用要求、通用指南和特定领域的实施指南四个层面。在《信息安全服务 
 
定义和分类》相当于ISO27000）之下：一方面尽快考虑《服务通用要求》（相当于ISO27001）、《服务过程指南》（相当于ISO27002）、《服务质量评价》（相当于ISO27004）、《服务能力评估》和《服务管理规范》等基础标准；另一方面在已有的风险评估、应急响应、灾难恢复等规范指南的基础上，重点研制安全规划设计、安全集成、安全运维、安全审计等不同类别的实施指南，以及政府、互联网、工业生产、金融等不同领域的实施指南。

更新时间：2016/10/10 17:44:55