freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

浅谈新修订的GBT 30283《信息安全技术 信息安全服务 分类与代码》
2021-08-11 10:19:06

本人在信息安全领域从业多年,曾做过安全运维、安全产品实施,后来也成功转型安全售前以及现在的安全咨询。因为有数年安服经历,一次偶然的机会,本人有幸参与到国家标准GB/T 30283—2013《信息安全技术 信息安全服务 分类》的修订工作中,全程见证了该标准的整个修订过程。截止目前,该标准已经报批,顺利的话,相信不久就会正式发布。今天就和大家聊聊对比原标准,该标准新修订后有哪些变化。

一、原标准是什么样?

在我们开始聊新修订的GB/T 30283《信息安全技术 信息安全服务 分类与代码》之前,我们先来看看原标准GB/T 30283—2013《信息安全技术 信息安全服务 分类》是什么样。

原标准按照服务活动性质将信息安全服务分为“信息安全咨询服务”、“信息安全实施服务”、“信息安全培训服务”以及“其他信息安全服务”。各类信息安全服务根据“服务类别—服务组件”的层次结构和编码方法又划分了若干服务组件,如下:

1628645818_611329baeb24ebec3761b.png!small

1628645843_611329d33fbf1733a41d8.png!small

原标准还给出了“信息安全服务”、“信息安全服务需求方”、“信息安全服务提供方”、“服务协议”以及三大类信息安全服务的术语定义,并在附录部分给出了信息安全服务的采购要素、实例以及信息安全服务与信息系统生命周期的对应关系。

感兴趣的读者可以通过“全国标准信息公共服务平台”查阅原标准文本。

二、为什么要修订?

毋庸置疑,原标准在2013年正式发布并实施以来,对促进我国信息安全服务行业的规范化发展提供了有力支撑。在此感谢当初为原标准的编制付出辛苦努力的各位前辈。

不过时移世易,随着近年来我国出台了一系列网络安全相关的政策、法律法规及标准等,如《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》(征求意见稿)、《网络安全审查办法(修订草案征求意见稿)》、《网络安全等级保护条例》(征求意见稿)以及新颁布的等级保护2.0系列标准等,对信息安全服务提出了新的要求。

同时,随着大数据、云计算、态势感知、威胁情报、身份管理、调查取证等新技术新应用的发展,也逐渐成为信息安全服务的主要交付内容。在新时代新形势下,信息安全服务的内涵和外延均发生了变化。原标准已经不足以知道行业内信息安全服务的开发、提供、选用和采购等工作。

因此,为了满足现阶段及未来一段时期内指导国内信息安全服务的开发、提供、选用和采购等工作的需要,有必要全面对原标准进行一次大的修订。

三、从哪些方面着手修订

清楚了“为什么要修订”还不够,为了做好本次修订工作,还得明白“从哪些方面着手修订”。泛泛而谈,本次修订肯定免不了对信息安全服务类型和内容做大的补充、修改和完善,但是仅仅是这样还不够,还不足以全面引领本次修订工作。接下来笔者根据自身全程参与本标准修订过程的经历,借本次分享来和大家谈一谈国家标准修订的通用心得体会。

1、结合标准主题,“从大处着眼”

既然本标准的主题是“信息安全服务分类”,那么关键词有2个:“信息安全服务”和“分类”思考:

(1)2013年至今,在标准语境下,“信息安全服务”的内涵有没有发生改变?应思考有无必要,是否需要以及如何重新定义“信息安全定义”。

(2)原标准将信息安全服务分为咨询服务、实施服务、培训服务以及其他服务的初衷是什么?原标准如此分类的依据、想法和逻辑是什么?应思考有无必要,是否需要,如果要变更此分类维度及相应的分类层次结构、编码方法应该怎样重新分类的方法、依据和逻辑以及信息安全服务是否还有别的分类形式以及与本标准的分类形式的对应关系。

(3) 本次修订完成后,随着新技术新应用的发展,业内一定还会出现一些新的信息安全服务,如何保证本标准向后的兼容性以及修订内容的可持续性、秩序性、扩展性。

如果本次修订解决了以上问题,那么修订工作就成功了一大半。

2、根据具体修订工作,“从小处着手”

从小处着手,就是要围绕标准的组成部分,对原标准(现行标准)进行全面“体检”,包括标题、前言、范围、规范性引用文件、术语定义、附录以及原标准的主要内容包括信息安全咨询服务、信息安全实施服务、信息安全培训服务等。例如:

“标题”:根据本次修订需要,标题名称及译文是否需要修改?

“前言”:根据本次修订需要,该如何在前言部分补充本次修订的主要变化内容?

“规范性引用文件”:当前的规范性引用文件是否还适用?是否存在已经被废止、修订的标准?

.......

另外,就是标准在修订后,对比原标准,应思考如何体现与原标准的变化,增加可读性,保持延续性。

3、注重国家标准的规范性、严谨性

GBT 1.1-2020《标准化工作导则 第1部分 标准化文件的结构和起草规则》详细说明了编制国家标准在规范性、严谨性等方面的要求,笔者在此不再赘述。在此只想结合本次修订工作,谈一些自己的看法。

所谓规范性,对于国家标准而言,首先应严格满足其对于格式的要求,包括文档编辑,与其他标准的引用、参考关系及共性或同类描述的一致性,涉及专利的使用等等。

所谓严谨性,则体现在量词如“应”、“宜”等的使用应合理,内容尽可能的保证客观中立,描述上应尽量避免泛泛而谈等等。

以上是笔者的一点浅见,不足之处,还请指正。

四、修订前的准备工作

在明白了“从哪些方面着手修订”后,为了做好修订工作,那么做好基本功,“打好地基”就成为了一门“必修课”。接下来,笔者同大家分享一下,编制组都做了哪些基础工作。

1、收集、翻阅、分析研究国外NIST的一系列信息安全标准、ISO27001系列标准以及国内近年来陆续颁布的相关标准如GB/T 4754-2017《国民经济行业分类》2019修改版、GB/T 37961-2019《信息技术服务 服务基本要求》以及GB/T 29264-2012《信息技术服务 分类与代码》等,形成了标准研究参考资料库;

2、调研我国主要网络安全厂商、国外大型安全厂商正在开展的服务,信息安全测评、认证机构正在开展的服务以及我国大型企业信息安全服务实践情况(抽样)等,经梳理,形成《信息安全服务业内实践调研资料》;

3、研究GBT 1.1-2020《标准化工作导则 第1部分 标准化文件的结构和起草规则》,收集最近发布的修订类标准,提高标准校稿能力。

当然,以上工作也不是一步到位,贯穿了标准从立项、草案、征求意见稿、送审稿、报批稿的整个推进过程。从2019年2月以来至今,编制组“路漫漫其修远兮,吾将上下而求索”,终于“修成正果”,把标准推向了报批稿阶段。接下来笔者带大家对新修订的GB/T 30283《信息安全技术 信息安全服务 分类与代码》一睹为快。

五、修订后的标准“庐山真面目”

1、标准名称

我们先从标准名称谈起,细心的读者可能已经注意到了,对比原标准,本次修订标准名称发生了改变,名称变更为《信息安全技术 信息安全服务 分类与代码》,多了个“与代码”。究其原因,本标准在描述信息安全服务分类的同时,也给出了信息安全服务分类的各大类、中类、小类的编码方法和规则,赋予了各大类、中类、小类服务代码编号,还给出了编码方法和扩展原则。因此按照标准送审稿审查会议意见,将标准名称变更为《信息安全技术 信息安全服务 分类与代码》。

另外,原标准的“分类”译文为“Category”,根据GB/T 1.1-2020《标准化工作导则 第1部分 标准化文件的结构和起草规则》 6.1.4.2 表1(感兴趣的读者可自行查阅)的要求,将标准名称英文中的“Category”修改为“Classification and code”,中文名称修改为“信息安全技术 信息安全服务分类与代码”。

1628646363_61132bdb4281101c5d948.png!small

2、信息安全服务分类及层次结构、编码方法

这个是本次修订的“重头戏”。原标准将信息安全服务分为“信息安全咨询”、“信息安全实施”、“信息安全培训”有其历史成因,主要参考NIST SP800-35、SP800-33以及国内外当时的主流信息安全厂商的信息安全服务分类实践情况,按照服务活动性质分类。但从目前来看,现有分类维度已经难以对我国目前业内正在开展的众多信息安全服务进行合理分类,故需另辟蹊径,完善信息安全服务的分类维度。

信息安全服务是信息技术服务在信息安全领域的服务应用,信息安全服务分类应与信息服务分类维度保持一致,而国民经济行业分类作为我国最根本的行业分类标准,规定了全社会经济活动的分类与代码,并用于信息处理和信息交换因此信息安全服务分类应与国民经济行业分类、信息技术服务分类相关标准保持一致,考虑到行业差异,允许信息安全服务在分类时保留一些特性和差异。以下是当前国民经济行业分类、信息技术服务分类相关标准涉及到的服务分类情况:

序号

国家标准

信息技术服务的分类

1

GB/T 4754-2017《国民经济行业分类》

信息系统集成服务、运行维护服务、信息处理和存储支持服务、信息技术咨询服务、其他信息技术服务。另“专业技术服务业”有“认证认可服务”

2

GB/T 37961-2019《信息技术服务 服务基本要求》

信息技术咨询服务、设计与开发服务、信息系统集成实施服务、运行维护服务、数据处理和存储服务、运营服务

3

GB/T 29264-2012《信息技术服务 分类与代码》

信息技术咨询服务、设计与开发服务、信息系统集成实施服务、运行维护服务、数据处理和存储服务、运营服务、数字内容服务、呼叫中心服务、其他信息技术服务

参考以上分类维度,结合信息安全服务特性,本次修订将信息安全服务分为:主要包括信息安全咨询类、信息安全设计与开发类、信息安全集成类、信息安全运营类、信息的安全处理和存储类、信息安全测评与认证类及其他类七个方面

1628646393_61132bf99c5a9d55f953b.png!small

在将信息安全服务分类修订为以上七个类别后,原服务分类的层次结构“服务类别-服务组件”也显得不合时宜。按照原标准对“服务组件”的描述:“可包含在服务协议中的最小可选单元”。而无论就原标准的服务组件描述而言,还是从实际来看,所谓“最小可选单元”的服务组件都是难以做到的。因此,为更好的便于业内使用本标准,减少争议,将服务分类的层次结构变更为“服务大类—服务中类—服务小类”。其编码方法如下:

1628646401_61132c0134606c7c34664.png!small

3、信息安全服务的具体分类

参考GB/T 4754-2017《国民经济行业分类》2019修改版、GB/T 37961-2019《信息技术服务 服务基本要求》以及GB/T 29264-2012《信息技术服务 分类与代码》等标准,结合信息安全服务业内实践情况,最终,编制组将信息安全服务划分成以下的具体服务类型:

1628646431_61132c1fd67a7d5d21538.png!small

可以看到,本次修订后的信息安全服务一共有7个大类、29个中类、15个小类。

4、信息安全服务的扩展原则和类型

为保证本标准向后的兼容性以及未来修订内容的可持续性、秩序性、扩展性,对未来信息安全服务分类的扩展做出如下规定:

扩展原则如下:

1628646544_61132c909853df299007b.png!small

扩展类型包括:

1628646551_61132c9754b244951ab53.png!small

信息安全服务新旧结构和类目对比:

为了方便读者知晓标准修订前后的主要变化,增加可读性,标准在修订后给出了信息安全服务新旧结构和类目对比变化情况。

GB/T 30283-XXXX

GB/T 30283-2013

服务类别

服务中类

服务类别

服务组件

A 信息安全咨询服务

6

A 信息安全咨询服务

5

B 信息安全设计与开发服务

2

B信息安全实施服务

13

C 信息安全集成服务

2

C 信息安全培训服务

1

D 信息安全运营服务

14

Z 其他信息安全服务

-

E 信息的安全处理和存储服务

3

-

-

F 信息安全测评与认证服务

2

-

-

Z 其他信息安全服务

-

-

-

(合计)

29

(合计)

19


GB/T 30283-XXXX

GB/T 30283-2013

说明

A

信息安全咨询服务

A

信息安全咨询服务

内容变更

A01

信息安全规划咨询

A01

信息安全规划

内容变更

A02

信息安全设计咨询

B01

信息安全设计

类别、名称、代码和内容变更

A03

信息安全管理体系咨询

A02

信息安全管理体系咨询

代码和内容变更,原A05部分内容调到此处

A04

信息安全工程监理

B12

信息安全监理

类别、名称、代码和内容变更

A05

信息安全测试评估

A0501信息安全测试

B05

A03

信息安全风险评估

信息安全检查和测试

新的类别,原A03 B05部分内容调到此处

A0502信息安全风险评估

A06

信息安全培训

A0601信息安全意识培训

C01

信息安全培训

类别、代码和内容变更

A0602信息安全基础培训

A0603信息安全专业培训

A99

其他信息安全咨询服务

A99

其他信息安全咨询服务

-

B

信息安全设计与开发服务

-

新的大类

新增

B01

信息安全系统设计

-

-

新的中类

B02

信息安全开发

B03

信息安全开发

类别、代码和内容变更

B99

其他信息安全设计与开发服务

-

-

预留中类

C

信息安全集成服务

-

新的大类

-

C01

信息安全硬件集成

-

-

新的中类,原B02部分内容调到此处

C02

信息安全软件集成

-

-

新的中类

C99

其他信息安全集成服务

-

-

预留中类

D

信息安全运营服务

-

新的大类

-

D01

信息安全监测

B06

信息安全监控

类别、名称、代码和内容变更

D02

信息安全检查

B05

信息安全检查和测试

更名,类别、代码和内容变更

D03

威胁信息共享

-

-

新的中类

D04

信息安全分析

-

-

新的中类

D05

信息安全报送

B08

信息安全通告

类别、名称、代码和内容变更

D06

恶意代码防范和处理

-

-

新的中类

D07

信息安全应急响应

A04

B07

信息安全应急管理咨询

信息安全应急处理

类别、名称、代码和内容变更。原A04 B07部分内容调到此处

D08

信息安全演练

-

-

新的中类

D09

信息安全调查取证

-

-

新的中类

D10

信息安全加固

B04

信息安全加固和优化

类别、名称、代码和内容变更

D11

信息安全运维规范管理

-

-

新的中类

D12

信息安全审计

B13

信息安全审计

类别、代码和内容变更

D13

身份管理

B11

电子认证服务

类别、名称、代码和内容变更

D14

备份和恢复

B09

备份和恢复

类别、代码和内容变更

D99

其他信息安全运营服务

-

-

预留中类

E

信息的安全处理和存储服务

-

新的大类

-

E01

数据安全保护

B10

数据修复

类别、名称、代码和内容变更

E02

信息安全租赁

-

-

新的中类

E03

网络信息内容审核

-

-

新的中类

E99

其他信息的安全处理和存储服务

-

-

预留中类

F

信息安全测评与认证服务

-

新的大类

-

F01

信息安全测评

F0101 信息安全产品测评

-

-

新的小类

F0102 信息安全服务资质测评

-

-

新的小类

F0103 信息安全人员测评

-

-

新的小类

F0104 等级保护测评

-

-

新的小类

F0105 分级保护测评

-

-

新的小类

F0106 密码测评

-

-

新的小类

F0199 其他信息安全测评服务

-

-

预留中类

F02

信息安全认证

F0201 信息安全产品认证

-

-

新的小类

F0202信息安全管理体系认证

-

-

新的小类

F0203信息安全服务资质认证

-

-

新的小类

F0204 信息安全人员认证

-

-

新的小类

F0299其他信息安全测评与认证服务

-

-

预留中类

Z

其他信息安全服务

Z

其他信息安全服务

新增内容

信息安全服务的其他分类形式

据YD/T 1621-2007《网络与信息安全服务资质评估准则》,信息安全服务还可分为信息安全咨询服务、信息安全工程服务、信息安全培训服务和信息安全运行服务。与本标准的服务类别的对应关系如下:

服务类型

服务类型

对应的服务类别(代码)

信息安全咨询服务

安全管理咨询

A03

安全架构咨询

A02

安全通告服务

D05

信息安全工程服务

安全实施方案设计

A02

安全集成服务

C01 C02

安全监理服务

A04

信息安全培训服务

安全培训服务

A06

信息安全运行支持服务

安全评估服务

A05

安全加固/增强服务

D10

安全应急响应服务

D07 A06

安全监控服务

D01

安全定制开发服务

B01 B02

据GB/T 30271-2013《信息安全技术 信息安全服务能力评估准则》,在整个信息系统生命周期中,根据信息安全过程中各活动,可定义多种信息安全服务类型,主要包括安全集成、风险评估、灾难恢复、应急响应、安全审计、安全管理、安全运维和安全培训等。与本标准的服务类别的对应关系如下:

服务类型

对应的服务类别(代码)

安全集成

A02 B01 B02 C01 C02

风险评估

A05

灾难恢复

A06 D14

应急响应

D07 A06

安全审计

D12

安全管理

A03

安全运维

D01 D02 D03 D04 D05 D06 D07 D08 D09 D10 D11 D12 D13 D14 E01 E02 E03

安全培训

A06

据CCRC-ISV-C01:2018 《信息安全服务规范》,信息安全服务还可分为风险评估服务、安全集成服务、应急处理服务、灾难备份与恢复服务、软件安全开发服务、安全运维服务、网络安全审计服务、工业控制安全服务,与本标准的服务类别的对应关系如下:

服务类型

对应的服务类别(代码)

风险评估

A05

安全集成

A02 A06 B01 B02 C01 C02

应急处理

A06 D07

灾难备份与恢复

A06 D14

软件安全开发

B01 B02

安全运维

D01 D02 D03 D04 D05 D06 D07 D08 D09 D10 D11 D12 D13 D14

网络安全审计

B12

工业控制安全

-

根据我国实行网络安全等级保护制度的要求,信息安全服务还可分为等级保护咨询、等级保护定级备案、等级保护建设、等级保护测评、等级保护整改自查、等级保护培训等服务,与本标准的服务类别的对应关系如下:

服务类型

对应的服务类别(代码)

等级保护咨询

A01 A02

等级保护定级备案

-

等级保护建设

A04 B01 B02 C01 C02 E01 E02

等级保护测评

F0104

等级保护整改自查

A05 D01 D02 D06 D10 D11 D14

等级保护培训

A06

小结

通过以上对新修订的GB/T 30283 《信息安全技术 信息安全服务 分类与代码》的解读,相信读者也感受到了新修订后的标准内容更加“包罗万象”,内容更加丰富。典型的如信息安全运营服务,给出了信息安全运营服务的多个类型及内容描述。其中,信息安全分析服务指向业内普遍开展的安全综合分析服务,信息安全报送则描述了业内广泛在应用的安全通告、通报预警类相关服务,恶意代码防范和处理指向恶意代码治理,信息安全调查取证则描述了业内兴起的一类新型安全服务,身份管理服务则描述了电子认证2.0相关服务等等。

由于篇幅有限,笔者不再对标准的其他内容进行解读。感兴趣的读者,就一起期待本标准的正式发布吧。

# 网络安全技术 # 信息安全服务
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录