【咨詢內容介紹】

國家標準《信息安全服務定義和分類》研制過程中提出了一個相對完整、明確的定義：面向組織或個人的各類信息安全保障需求，由服務提供方按照服務協(xié)議所執(zhí)行的一個信息安全過程或任務，通常是基于信息安全技術、產品或管理體系的，通過外包的形式，由專業(yè)信息安全人員所提供的支持和幫助。在這個定義中，強調了信息安全服務中的第一要素是"人"（如同其他IT服務一樣），明確了"服務協(xié)議"應作為維系服務供需雙方的基本約定，并描述了安全技術、安全產品、安全管理體系和安全服務之間的依賴關系。

將上述定義應用于信息安全服務實踐中，其主體和客體、內容和形式均存在差異，因此需要對信息安全服務進一步分類，目的是便于需求方采購服務、提供方開發(fā)服務和行業(yè)規(guī)范管理。目前行業(yè)"約定俗成"的安全咨詢、風險評估、安全集成、安全運維、應急處理、災難恢復、安全培訓、安全測評、安全監(jiān)理、安全審計等服務名稱，單獨地看均有明確所指，但整體來看卻又缺乏統(tǒng)一的分類原則，在實踐中往往會造成不同服務之間存在交叉、同一服務中提供的內容存在差異等現(xiàn)象。事實上，如同醫(yī)療服務一樣，醫(yī)患雙方都應該清楚在本次就醫(yī)服務中做了哪些檢查、開了哪些藥劑、最后達到了怎樣的效果，信息安全服務提供方所開的"方子"，其構成理應是基于同一標準并能被信息安全服務需求方所看懂的。

更新時間：2016/10/10 17:28:46