《信息安全技术 信息安全服务能力评估准则》编制说明

《信息安全服务能力评估准则》编制情况说明

《信息安全服务能力评估准则》

编制情况说明

文档编号：SCEM-001

版本：1.2

秘级说明

本文档包含的信息不得以任何形式泄露给除<对方单位>以外的任何人员

2012年07月

《信息安全服务能力评估准则》编制情况说明

《信息安全服务能力评估准则》编制情况说明

-I-

《信息安全服务能力评估准则》编制情况说明

-II-

《信息安全服务能力评估准则》编制情况说明

文档管理

文档信息

项目名称《信息安全服务能力评估准则》编写

文档名称《信息安全服务能力评估准则》编制情况说明

项目经理张利文档编号SCEM-001

分发名单

来自行动日期电话

发到行动日期电话

*行动名称：批准，复审，通知，归档，讨论，其他

版本记录

*C创建A新增M修改D删除

版本时间作者CAMD概要描述

1.02010.2佟鑫C

1.12011.7佟鑫M

1.22012.7佟鑫M

编制说明

敏感级别内部文件

内容概述

-III-

《信息安全服务能力评估准则》编制情况说明

-IV-

《信息安全服务能力评估准则》编制情况说明

一、编制背景

在我国提出的“五年基本建成我国信息安全保障体系”的目标中，信息安全

服务能力的管理是其中的重要举措之一，是国家将信息安全管理意志落实为信息

安全管理要求的表现。

目前，我国的信息安全服务尚处于成长阶段，市场格局相对混乱，信息安全

服务商在规模、环境资源、人员素质、技术能力，服务质量等方面存在着明显的

差异，加上各种信息安全服务概念之间的模糊，服务商之间的竞争关系和能力评

估更是一个难解的问题，这使得信息安全服务的采购方在选择符合国家规定又适

合自身需求的信息安全服务提供商方面存在一定的困难性。另一方面，如何评价

信息安全服务提供商提供的基本标准化服务的有效性，其服务能否满足信息安全

服务采购方的需求，以及信息安全服务提供商各自擅长何种信息安全服务内容

等，都是目前有待解决的问题。

中国信息安全测评中心在国家信息安全管理部门的指导思想的指引下，充分

调查和研究国内外信息安全服务的状况，针对我国信息安全服务的水平，结合已

有工作的实际经验基础上，编制了《信息安全服务能力评估准则》，旨在为评定

信息安全服务能力提供科学、规范的指导。

二、编制原则

（1）立足于我国当前信息化建设现状，对我国信息系统安全服务进行调研，

注重吸纳国外相关领域的先进成果并为我所用，使其本土化。

（2）可操作性和实用性。标准是对实际工作的总结与提升，但最终还要用

于实践，要经得起实践的检验。因此要可用，可操作。

（3）注重吸收信息安全服务方面已有的经验与成果。如信息系统风险评估、

等级保护、ISO20000等标准。

（4）科学性与先进性。所提供的方法要可信，要具有引领的作用。

三、编制思路

文件编号SCEM-001版本编号1.2Page1of13

发布日期2023-10-19咨询单位@CNITSEC内部文件

《信息安全服务能力评估准则》编制情况说明

本标准的编制从信息安全服务本身的特殊性出发，本着对信息安全服务的咨

询、工程和运维的实用性原则，参考国内外与服务能力评价相关的标准和最佳实

践成果来制定信息安全服务能力评价的指标体系。

1.参考IT治理Cobit框架模型

本标准的编制参考了当前国际上公认的IT治理的Cobit框架模型。Cobit框

架将信息的业务要求与IT服务职能的治理目标紧密结合起来。Cobit流程模型基

于控制目标促进IT活动及其资源的适当管理和控制，并协调、监控Cobit目标

和衡量指标的使用。该模型分为四个域，分别是（1）计划与组织；（2）获取

与实施；（3）交付与支持；（4）监控与评价，站在组织高层的角度，以业务

为中心，以流程为导向，以控制为基础，以测评为驱动，进行组织IT治理。

图1Cobit框架模型

本标准借鉴Cobit框架模型IT治理四个域观点，结合PDCA质量管理模型，

从组织信息安全治理角度，根据用户（服务采购方）的信息安全过程，确定信息

安全服务涵盖的各项活动，阐述各活动的目标和具体内容、工作产品。

文件编号SCEM-001版本编号1.2Page2of13

发布日期2023-10-19咨询单位@CNITSEC内部文件

《信息安全服务能力评估准则》编制情况说明

信息安全服务过程模型如下:

图2信息安全服务过程模型

通过明确信息安全组织架构，建立信息安全管理体系，指导信息系统规划与

设计、实施与交付、监视与支持各阶段信息安全工作，并建立检查与改进机制，

以不断的提升信息安全建设水平。

2.参考安全工程能力成熟度模型SSE-CMM和服务过程能力成熟度模型

CMMI

本标准的编制借鉴了国际上公认的能力成熟度标准SSE-CMM和CMMI，

重点采用了其能力级别和成熟度等级思想。

SSE-CMM将实施活动划分为公共特征，公共特征分为五个“能力级别”，

表示依次增加的组织能力。每个公共特征表示为取得每一个级别需满足的成熟安

全工程属性。

文件编号SCEM-001版本编号1.2Page3of13

发布日期2023-10-19咨询单位@CNITSEC内部文件

《信息安全服务能力评估准则》编制情况说明

图3代表安全工程组织能力级别的成熟度

CMMI虽然具有连续式和阶段式两种改善服务质量的方式，但是等级的概念

是相同的。为达到一个特定等级，组织必须满足一个流程领域或一组流程领域中

所有适当的目标。

ProcessAreaCategoryMaturity

Level

CapacityandAvailabilityProjectManagement3

Management(CAM)

CausalAnalysisandSupport5

Resolution(CAR)

ConfigurationSupport2

Management(CM)

DecisionAnalysisandSupport3

Resolution(DAR)

IntegratedProjectProjectManagement3

Management(IPM)

IncidentResolutionandServiceEstablishment3

Prevention(IRP)andDelivery

MeasurementandSupport2

Analysis(MA)

图4流程领域清单与其相关的类别及成熟度等级

3.参考国际IT服务管理最佳实践ITIL及国际标准ISO20000

文件编号SCEM-001版本编号1.2Page4of13

发布日期2023-10-19咨询单位@CNITSEC内部文件

《信息安全服务能力评估准则》编制情况说明

图5ITILV3服务生命周期示意图

四、内容简介

《信息安全服务能力评估准则》的文档框架如下图所示，主要包括：范围、

规范性引用文件、术语和定义、概述、信息安全服务过程、信息安全服务能力级

别和附录共7部分组成。

信息安全服务能力评估

范围

规范性引用文件

术语和定义

概述

信息安全服务过程

信息安全服务能力级别

附录

图6《信息安全服务能力评估准则》文档框架

文件编号SCEM-001版本编号1.2Page5of13

发布日期2023-10-19咨询单位@CNITSEC内部文件

《信息安全服务能力评估准则》编制情况说明

第1章，首先介绍标准的范围，说明本标准的编制目的、目标读者和适用范

围等内容。

第2、3章，分别说明本标准的规范性引用文件、术语和定义。

第4章，文档结构，信息安全服务过程模型和能力评定原则。

第5章，信息安全服务过程，将信息安全服务分为组织与管理、规划与设计、

实施与交付、监视与支持、检查与改进5个过程域。

第6章，信息安全服务能力级别，将信息安全服务能力级分为基本执行级、

计划跟踪级、充分定义级、量化控制级、连续改进级5个服务能力级别，并针对

每个服务能力级定义相应的公共特征（CF）。

附录，资料性附录，信息安全服务类型介绍。

五、编制过程说明

为了推动信息安全服务工作的进展，中国信息安全测评中心工作人员在中心

内部立项开始进行有关信息安全评估标准和方法的研究工作，于2007年4月形

成了《信息安全服务能力评估准则（草案）》。

2007年9月，经全国信息安全标准化委员会专家评审通过，《信息安全服

务能力评估准则》标准编制项目正式立项。标准编制任务下达后，中国信息安全

测评中心组织相关技术人员立即成立了标准编制小组，正式启动《信息安全服务

能力评估准则》编制工作，并于2008年3月形成第一稿。2008年4月对第一

稿进行了修改，形成第二稿。2008年8月对第二稿进行了修改，形成第三稿。

2009年3月，经国家信息安全标准委员会评审，修改后形成《信息安全服务能

力评估准则（征求意见稿）》第一版，2010年4月，经国家信息安全标准委员

会评审，修改后形成《信息安全服务能力评估准则（征求意见稿）》第二版。

2011年7月，标准编制小组封闭，引入CMMI思路，对本标准征求意见稿

进行修改。

文件编号SCEM-001版本编号1.2Page6of13

发布日期2023-10-19咨询单位