ICS35.040 L 80 信息安全服务企业能力评估标准 Information security service -Assessment criteria for enterprise capability 2020-04-13发布 2020-05-13实施 浙江省计算机信息系统集成行业协会发布团 体 标 准 T/ZJXTJC 001-2020ZJXTJC 全国团体标准信息平台 T/ZJXTJC 001-2020 I目次 前言............................................................................II 引言...........................................................................III 1范围...............................................................................1 2规范性引用文件.....................................................................1 3术语和定义.........................................................................1 4信息安全服务原则...................................................................3 4.1合规性.........................................................................3 4.2数据和业务保护.................................................................4 5能力评估要求.......................................................................4 5.1肆级能力要求...................................................................4 5.2叁级能力要求...................................................................5 5.3贰级能力要求...................................................................6 5.4壹级能力要求...................................................................8 5.5特级能力要求..................................................................10 附录A（资料性附录）信息安全服务类别及对应项目级别划分...............................13 全国团体标准信息平台 T/ZJXTJC001-2020 II前言 本标准依据GB/T 1.1-2009给出的规则起草。 本标准由浙江省计算机信息系统集成行业协会提出并归口管理。 本标准由浙江省计算机信息系统集成行业协会牵头组织制定。 本标准主要起草单位：浙江省计算机信息系统集成行业协会、浙江省标准化协会、奇安信科技集团 股份有限公司、深圳深信服科技股份有限公司、杭州安恒信息技术股份有限公司 本标准主要起草人：金承钰、凌伟、廉清云、陈蕴韵、裘丹娜、张晓燕、潘金日、丁晓钟、陆新 宁、毛祥根、钱高平、凌繁荣、卢文康、胡利军、刘蓝岭、张韵、向海涛、杨辉、曾希雯 本标准由浙江省计算机信息系统集成行业协会负责解释。 全国团体标准信息平台 T/ZJXTJC 001-2020 III引言 本标准是对提供信息安全服务的组织进行能力评估，在编制过程中考虑到省内环境与信息安全行业 的实际情况，同时结合GB/T 32914-2016、GB/T 30271-2013、GB/T 30283-2013等国家或行业标准制定 而成。 全国团体标准信息平台 T/ZJXTJC 001-2020 1信息安全服务企业能力评估标准 1范围 本标准规定了对信息安全服务提供方的服务能力通用等级要求。 本标准适用于评估组织和监管部门对信息安全服务提供方的服务能力进行评估，也为信息安全服务 提供方对其自身服务能力的改善提供指导，同样对信息安全服务需求方具有参考意义。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 32914-2016信息安全技术信息安全服务提供方管理要求 GB/T 30271-2013 信息安全技术信息安全服务能力评估准则 GB/T 30283-2013 信息安全技术信息安全服务分类 YD/T 1621-2007 网络与信息安全服务资质评估准则 3术语和定义 GB/T 32914-2016所界定的以及下列术语和定义适用于本文件。 信息安全服务information security service 面向组织或个人的各类信息安全需求和信息安全保障需求，由服务提供方按照服务协议所执行的一 个信息安全过程或任务。 信息安全服务通常以信息安全服务提供方和信息安全服务需求方之间的服务项目形式进行。 信息安全服务需求方information security service acquirer 获取外部所提供的信息安全服务，以满足信息安全需求和信息安全保障需求，实现自身业务目标的 组织（或个人用户）。 信息安全服务提供方information security service provider 按照服务协议，通过专业的信息安全人员提供信息安全服务的组织。 服务协议service agreement 服务需求方和服务提供方在服务开始前共同签署的约定，并在服务过程中共同遵守。 全国团体标准信息平台 T/ZJXTJC001-2020 2通常包含服务原则、服务内容、服务形式、服务级别、服务价格、服务交付成果、服务安全要求等，在形式上可以 是服务合同及其附属的工作说明书。 服务级别service level 在服务协议中对服务交付成果明确约定、可测量和文档化的一系列服务指标。 服务目录service catalogue 在服务协议中明确展示服务内容、服务形式、服务价格、服务交付成果和服务级别等的一份列表。 服务组合service portfolio 多个服务类别或服务项目以及其他工作的集合。 供应链supply chain 通过多个资源和过程联系在一起的一系列组织，根据由服务协议或其他采购协议建立连续的供应关 系，每个组织充当一个需求方、提供方或双重角色。 服务要素service factors 设计和实施服务的关键要素，包括服务人员、服务流程、服务工具、规章，以及其他服务所需的资 源。 服务方案service plans 基于服务目标，对服务各阶段中所需执行的过程、任务、活动以及相关服务要素、服务级别进行详 细描述的文档。 服务工具service tools 为达成服务目标或提高服务质量和效率所需要的设备、软件、模板、知识库等。 服务变更service change 任何可能对服务产生影响的新增、修改或解除的活动。 服务变更可能涉及服务的范围、人员、内容、形式、价格、时间、方案、流程、工具、服务级别等。 全国团体标准信息平台