浅谈GBT 30283《信息安全技术 信息安全服务 分类与代码》

2021-08-24 16:20:20 浏览数 (1)

本人在信息安全领域从业多年,曾做过安全运维、安全产品实施,后来也成功转型安全售前以及现在的安全咨询。因为有数年安服经历,一次偶然的机会,本人有幸参与到国家标准GB/T 30283—2013《信息安全技术 信息安全服务 分类》的修订工作中,全程见证了该标准的整个修订过程。截止目前,该标准已经报批,顺利的话,相信不久就会正式发布。今天就和大家聊聊对比原标准,该标准新修订后有哪些变化。

一、原标准是什么样?

在我们开始聊新修订的GB/T 30283《信息安全技术 信息安全服务 分类与代码》之前,我们先来看看原标准GB/T 30283—2013《信息安全技术 信息安全服务 分类》是什么样。

原标准按照服务活动性质将信息安全服务分为“信息安全咨询服务”、“信息安全实施服务”、“信息安全培训服务”以及“其他信息安全服务”。各类信息安全服务根据“服务类别—服务组件”的层次结构和编码方法又划分了若干服务组件,如下:

原标准还给出了“信息安全服务”、“信息安全服务需求方”、“信息安全服务提供方”、“服务协议”以及三大类信息安全服务的术语定义,并在附录部分给出了信息安全服务的采购要素、实例以及信息安全服务与信息系统生命周期的对应关系。

感兴趣的读者可以通过“全国标准信息公共服务平台”查阅原标准文本。

二、为什么要修订?

毋庸置疑,原标准在2013年正式发布并实施以来,对促进我国信息安全服务行业的规范化发展提供了有力支撑。在此感谢当初为原标准的编制付出辛苦努力的各位前辈。

不过时移世易,随着近年来我国出台了一系列网络安全相关的政策、法律法规及标准等,如《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》(征求意见稿)、《网络安全审查办法(修订草案征求意见稿)》、《网络安全等级保护条例》(征求意见稿)以及新颁布的等级保护2.0系列标准等,对信息安全服务提出了新的要求。

同时,随着大数据、云计算、态势感知、威胁情报、身份管理、调查取证等新技术新应用的发展,也逐渐成为信息安全服务的主要交付内容。在新时代新形势下,信息安全服务的内涵和外延均发生了变化。原标准已经不足以指导行业内信息安全服务的开发、提供、选用和采购等工作。

因此,为了满足现阶段及未来一段时期内指导国内信息安全服务的开发、提供、选用和采购等工作的需要,有必要全面对原标准进行一次大的修订。

三、从哪些方面着手修订

清楚了“为什么要修订”还不够,为了做好本次修订工作,还得明白“从哪些方面着手修订”。泛泛而谈,本次修订肯定免不了对信息安全服务类型和内容做大的补充、修改和完善,但是仅仅是这样还不够,还不足以全面引领本次修订工作。接下来笔者根据自身全程参与本标准修订过程的经历,借本次分享来和大家谈一谈国家标准修订的通用心得体会。

1、结合标准主题,“从大处着眼”

既然本标准的主题是“信息安全服务分类”,那么关键词有2个:“信息安全服务”和“分类”思考:

(1)2013年至今,在标准语境下,“信息安全服务”的内涵有没有发生改变?应思考有无必要,是否需要以及如何重新定义“信息安全定义”。 (2)原标准将信息安全服务分为咨询服务、实施服务、培训服务以及其他服务的初衷是什么?原标准如此分类的依据、想法和逻辑是什么?应思考有无必要,是否需要,如果要变更此分类维度及相应的分类层次结构、编码方法应该怎样重新分类的方法、依据和逻辑以及信息安全服务是否还有别的分类形式以及与本标准的分类形式的对应关系。 (3) 本次修订完成后,随着新技术新应用的发展,业内一定还会出现一些新的信息安全服务,如何保证本标准向后的兼容性以及修订内容的可持续性、秩序性、扩展性。

如果本次修订解决了以上问题,那么修订工作就成功了一大半。

2、根据具体修订工作,“从小处着手”

从小处着手,就是要围绕标准的组成部分,对原标准(现行标准)进行全面“体检”,包括标题、前言、范围、规范性引用文件、术语定义、附录以及原标准的主要内容包括信息安全咨询服务、信息安全实施服务、信息安全培训服务等。例如:

“标题”:根据本次修订需要,标题名称及译文是否需要修改? “前言”:根据本次修订需要,该如何在前言部分补充本次修订的主要变化内容? “规范性引用文件”:当前的规范性引用文件是否还适用?是否存在已经被废止、修订的标准? …….

另外,就是标准在修订后,对比原标准,应思考如何体现与原标准的变化,增加可读性,保持延续性。

3、注重国家标准的规范性、严谨性

GBT 1.1-2020《标准化工作导则 第1部分 标准化文件的结构和起草规则》详细说明了编制国家标准在规范性、严谨性等方面的要求,笔者在此不再赘述。在此只想结合本次修订工作,谈一些自己的看法。

所谓规范性,对于国家标准而言,首先应严格满足其对于格式的要求,包括文档编辑,与其他标准的引用、参考关系及共性或同类描述的一致性,涉及专利的使用等等。

所谓严谨性,则体现在量词如“应”、“宜”等的使用应合理,内容尽可能的保证客观中立,描述上应尽量避免泛泛而谈等等。

以上是笔者的一点浅见,不足之处,还请指正。

四、修订前的准备工作

在明白了“从哪些方面着手修订”后,为了做好修订工作,那么做好基本功,“打好地基”就成为了一门“必修课”。接下来,笔者同大家分享一下,编制组都做了哪些基础工作。

1、收集、翻阅、分析研究国外NIST的一系列信息安全标准、ISO27001系列标准以及国内近年来陆续颁布的相关标准如GB/T 4754-2017《国民经济行业分类》2019修改版、GB/T 37961-2019《信息技术服务 服务基本要求》以及GB/T 29264-2012《信息技术服务 分类与代码》等,形成了标准研究参考资料库;

2、调研我国主要网络安全厂商、国外大型安全厂商正在开展的服务,信息安全测评、认证机构正在开展的服务以及我国大型企业信息安全服务实践情况(抽样)等,经梳理,形成《信息安全服务业内实践调研资料》;

3、研究GBT 1.1-2020《标准化工作导则 第1部分 标准化文件的结构和起草规则》,收集最近发布的修订类标准,提高标准校稿能力。

当然,以上工作也不是一步到位,贯穿了标准从立项、草案、征求意见稿、送审稿、报批稿的整个推进过程。从2019年2月以来至今,编制组“路漫漫其修远兮,吾将上下而求索”,终于“修成正果”,把标准推向了报批稿阶段。接下来笔者带大家对新修订的GB/T 30283《信息安全技术 信息安全服务 分类与代码》一睹为快。

五、修订后的标准“庐山真面目”

1、标准名称

我们先从标准名称谈起,细心的读者可能已经注意到了,对比原标准,本次修订标准名称发生了改变,名称变更为《信息安全技术 信息安全服务 分类与代码》,多了个“与代码”。究其原因,本标准在描述信息安全服务分类的同时,也给出了信息安全服务分类的各大类、中类、小类的编码方法和规则,赋予了各大类、中类、小类服务代码编号,还给出了编码方法和扩展原则。因此按照标准送审稿审查会议意见,将标准名称变更为《信息安全技术 信息安全服务 分类与代码》。

另外,原标准的“分类”译文为“Category”,根据GB/T 1.1-2020《标准化工作导则 第1部分 标准化文件的结构和起草规则》 6.1.4.2 表1(感兴趣的读者可自行查阅)的要求,将标准名称英文中的“Category”修改为“Classification and code”,中文名称修改为“信息安全技术 信息安全服务分类与代码”。

2、信息安全服务分类及层次结构、编码方法

这个是本次修订的“重头戏”。原标准将信息安全服务分为“信息安全咨询”、“信息安全实施”、“信息安全培训”有其历史成因,主要参考NIST SP800-35、SP800-33以及国内外当时的主流信息安全厂商的信息安全服务分类实践情况,按照服务活动性质分类。但从目前来看,现有分类维度已经难以对我国目前业内正在开展的众多信息安全服务进行合理分类,故需另辟蹊径,完善信息安全服务的分类维度。

信息安全服务是信息技术服务在信息安全领域的服务应用,信息安全服务分类应与信息服务分类维度保持一致,而国民经济行业分类作为我国最根本的行业分类标准,规定了全社会经济活动的分类与代码,并用于信息处理和信息交换因此信息安全服务分类应与国民经济行业分类、信息技术服务分类相关标准保持一致,考虑到行业差异,允许信息安全服务在分类时保留一些特性和差异。以下是当前国民经济行业分类、信息技术服务分类相关标准涉及到的服务分类情况:

| 序号 | 国家标准 | 信息技术服务的分类 | | 1 | GB/T 4754-2017《国民经济行业分类》 | 信息系统集成服务、运行维护服务、信息处理和存储支持服务、信息技术咨询服务、其他信息技术服务。另“专业技术服务业”有“认证认可服务” | | 2 | GB/T 37961-2019《信息技术服务 服务基本要求》 | 信息技术咨询服务、设计与开发服务、信息系统集成实施服务、运行维护服务、数据处理和存储服务、运营服务 | | 3 | GB/T 29264-2012《信息技术服务 分类与代码》 | 信息技术咨询服务、设计与开发服务、信息系统集成实施服务、运行维护服务、数据处理和存储服务、运营服务、数字内容服务、呼叫中心服务、其他信息技术服务 |

参考以上分类维度,结合信息安全服务特性,本次修订将信息安全服务分为:主要包括信息安全咨询类、信息安全设计与开发类、信息安全集成类、信息安全运营类、信息的安全处理和存储类、信息安全测评与认证类及其他类七个方面

在将信息安全服务分类修订为以上七个类别后,原服务分类的层次结构“服务类别-服务组件”也显得不合时宜。按照原标准对“服务组件”的描述:“可包含在服务协议中的最小可选单元”。而无论就原标准的服务组件描述而言,还是从实际来看,所谓“最小可选单元”的服务组件都是难以做到的。因此,为更好的便于业内使用本标准,减少争议,将服务分类的层次结构变更为“服务大类—服务中类—服务小类”。其编码方法如下:

3、信息安全服务的具体分类

参考GB/T 4754-2017《国民经济行业分类》2019修改版、GB/T 37961-2019《信息技术服务 服务基本要求》以及GB/T 29264-2012《信息技术服务 分类与代码》等标准,结合信息安全服务业内实践情况,最终,编制组将信息安全服务划分成以下的具体服务类型:

可以看到,本次修订后的信息安全服务一共有7个大类、29个中类、15个小类。

4、信息安全服务的扩展原则和类型

为保证本标准向后的兼容性以及未来修订内容的可持续性、秩序性、扩展性,对未来信息安全服务分类的扩展做出如下规定:

扩展原则如下:

扩展类型包括:

信息安全服务新旧结构和类目对比:

为了方便读者知晓标准修订前后的主要变化,增加可读性,标准在修订后给出了信息安全服务新旧结构和类目对比变化情况。

| GB/T 30283-XXXX | GB/T 30283-2013 | | 服务类别 | 服务中类 | 服务类别 | 服务组件 | | A 信息安全咨询服务 | 6 | A 信息安全咨询服务 | 5 | | B 信息安全设计与开发服务 | 2 | B信息安全实施服务 | 13 | | C 信息安全集成服务 | 2 | C 信息安全培训服务 | 1 | | D 信息安全运营服务 | 14 | Z 其他信息安全服务 | - | | E 信息的安全处理和存储服务 | 3 | - | - | | F 信息安全测评与认证服务 | 2 | - | - | | Z 其他信息安全服务 | - | - | - | | (合计) | 29 | (合计) | 19 |

| GB/T 30283-XXXX | GB/T 30283-2013 | 说明 | | A | 信息安全咨询服务 | A | 信息安全咨询服务 | 内容变更 | | A01 | 信息安全规划咨询 | A01 | 信息安全规划 | 内容变更 | | A02 | 信息安全设计咨询 | B01 | 信息安全设计 | 类别、名称、代码和内容变更 | | A03 | 信息安全管理体系咨询 | A02 | 信息安全管理体系咨询 | 代码和内容变更,原A05部分内容调到此处 | | A04 | 信息安全工程监理 | B12 | 信息安全监理 | 类别、名称、代码和内容变更 | | A05 | 信息安全测试评估 | A0501信息安全测试 | B05 A03 | 信息安全风险评估 信息安全检查和测试 | 新的类别,原A03 B05部分内容调到此处 | | A0502信息安全风险评估 | | A06 | 信息安全培训 | A0601信息安全意识培训 | C01 | 信息安全培训 | 类别、代码和内容变更 | | A0602信息安全基础培训 | | A0603信息安全专业培训 | | A99 | 其他信息安全咨询服务 | A99 | 其他信息安全咨询服务 | - | | B | 信息安全设计与开发服务 | - | 新的大类 | 新增 | | B01 | 信息安全系统设计 | - | - | 新的中类 | | B02 | 信息安全开发 | B03 | 信息安全开发 | 类别、代码和内容变更 | | B99 | 其他信息安全设计与开发服务 | - | - | 预留中类 | | C | 信息安全集成服务 | - | 新的大类 | - | | C01 | 信息安全硬件集成 | - | - | 新的中类,原B02部分内容调到此处 | | C02 | 信息安全软件集成 | - | - | 新的中类 | | C99 | 其他信息安全集成服务 | - | - | 预留中类 | | D | 信息安全运营服务 | - | 新的大类 | - | | D01 | 信息安全监测 | B06 | 信息安全监控 | 类别、名称、代码和内容变更 | | D02 | 信息安全检查 | B05 | 信息安全检查和测试 | 更名,类别、代码和内容变更 | | D03 | 威胁信息共享 | - | - | 新的中类 | | D04 | 信息安全分析 | - | - | 新的中类 | | D05 | 信息安全报送 | B08 | 信息安全通告 | 类别、名称、代码和内容变更 | | D06 | 恶意代码防范和处理 | - | - | 新的中类 | | D07 | 信息安全应急响应 | A04 B07 | 信息安全应急管理咨询 信息安全应急处理 | 类别、名称、代码和内容变更。原A04 B07部分内容调到此处 | | D08 | 信息安全演练 | - | - | 新的中类 | | D09 | 信息安全调查取证 | - | - | 新的中类 | | D10 | 信息安全加固 | B04 | 信息安全加固和优化 | 类别、名称、代码和内容变更 | | D11 | 信息安全运维规范管理 | - | - | 新的中类 | | D12 | 信息安全审计 | B13 | 信息安全审计 | 类别、代码和内容变更 | | D13 | 身份管理 | B11 | 电子认证服务 | 类别、名称、代码和内容变更 | | D14 | 备份和恢复 | B09 | 备份和恢复 | 类别、代码和内容变更 | | D99 | 其他信息安全运营服务 | - | - | 预留中类 | | E | 信息的安全处理和存储服务 | - | 新的大类 | - | | E01 | 数据安全保护 | B10 | 数据修复 | 类别、名称、代码和内容变更 | | E02 | 信息安全租赁 | - | - | 新的中类 | | E03 | 网络信息内容审核 | - | - | 新的中类 | | E99 | 其他信息的安全处理和存储服务 | - | - | 预留中类 | | F | 信息安全测评与认证服务 | - | 新的大类 | - | | F01 | 信息安全测评 | F0101 信息安全产品测评 | - | - | 新的小类 | | F0102 信息安全服务资质测评 | - | - | 新的小类 | | F0103 信息安全人员测评 | - | - | 新的小类 | | F0104 等级保护测评 | - | - | 新的小类 | | F0105 分级保护测评 | - | - | 新的小类 | | F0106 密码测评 | - | - | 新的小类 | | F0199 其他信息安全测评服务 | - | - | 预留中类 | | F02 | 信息安全认证 | F0201 信息安全产品认证 | - | - | 新的小类 | | F0202信息安全管理体系认证 | - | - | 新的小类 | | F0203信息安全服务资质认证 | - | - | 新的小类 | | F0204 信息安全人员认证 | - | - | 新的小类 | | F0299其他信息安全测评与认证服务 | - | - | 预留中类 | | Z | 其他信息安全服务 | Z | 其他信息安全服务 | 新增内容 |

信息安全服务的其他分类形式

据YD/T 1621-2007《网络与信息安全服务资质评估准则》,信息安全服务还可分为信息安全咨询服务、信息安全工程服务、信息安全培训服务和信息安全运行服务。与本标准的服务类别的对应关系如下:

| 服务类型 | 服务类型 | 对应的服务类别(代码) | | 信息安全咨询服务 | 安全管理咨询 | A03 | | 安全架构咨询 | A02 | | 安全通告服务 | D05 | | 信息安全工程服务 | 安全实施方案设计 | A02 | | 安全集成服务 | C01 C02 | | 安全监理服务 | A04 | | 信息安全培训服务 | 安全培训服务 | A06 | | 信息安全运行支持服务 | 安全评估服务 | A05 | | 安全加固/增强服务 | D10 | | 安全应急响应服务 | D07 A06 | | 安全监控服务 | D01 | | 安全定制开发服务 | B01 B02 |

据GB/T 30271-2013《信息安全技术 信息安全服务能力评估准则》,在整个信息系统生命周期中,根据信息安全过程中各活动,可定义多种信息安全服务类型,主要包括安全集成、风险评估、灾难恢复、应急响应、安全审计、安全管理、安全运维和安全培训等。与本标准的服务类别的对应关系如下:

| 服务类型 | 对应的服务类别(代码) | | 安全集成 | A02 B01 B02 C01 C02 | | 风险评估 | A05 | | 灾难恢复 | A06 D14 | | 应急响应 | D07 A06 | | 安全审计 | D12 | | 安全管理 | A03 | | 安全运维 | D01 D02 D03 D04 D05 D06 D07 D08 D09 D10 D11 D12 D13 D14 E01 E02 E03 | | 安全培训 | A06 |

据CCRC-ISV-C01:2018 《信息安全服务规范》,信息安全服务还可分为风险评估服务、安全集成服务、应急处理服务、灾难备份与恢复服务、软件安全开发服务、安全运维服务、网络安全审计服务、工业控制安全服务,与本标准的服务类别的对应关系如下:

| 服务类型 | 对应的服务类别(代码) | | 风险评估 | A05 | | 安全集成 | A02 A06 B01 B02 C01 C02 | | 应急处理 | A06 D07 | | 灾难备份与恢复 | A06 D14 | | 软件安全开发 | B01 B02 | | 安全运维 | D01 D02 D03 D04 D05 D06 D07 D08 D09 D10 D11 D12 D13 D14 | | 网络安全审计 | B12 | | 工业控制安全 | - |

根据我国实行网络安全等级保护制度的要求,信息安全服务还可分为等级保护咨询、等级保护定级备案、等级保护建设、等级保护测评、等级保护整改自查、等级保护培训等服务,与本标准的服务类别的对应关系如下:

| 服务类型 | 对应的服务类别(代码) | | 等级保护咨询 | A01 A02 | | 等级保护定级备案 | - | | 等级保护建设 | A04 B01 B02 C01 C02 E01 E02 | | 等级保护测评 | F0104 | | 等级保护整改自查 | A05 D01 D02 D06 D10 D11 D14 | | 等级保护培训 | A06 |

小结

通过以上对新修订的GB/T 30283 《信息安全技术 信息安全服务 分类与代码》的解读,相信读者也感受到了新修订后的标准内容更加“包罗万象”,内容更加丰富。典型的如信息安全运营服务,给出了信息安全运营服务的多个类型及内容描述。其中,信息安全分析服务指向业内普遍开展的安全综合分析服务,信息安全报送则描述了业内广泛在应用的安全通告、通报预警类相关服务,恶意代码防范和处理指向恶意代码治理,信息安全调查取证则描述了业内兴起的一类新型安全服务,身份管理服务则描述了电子认证2.0相关服务等等。

由于篇幅有限,笔者不再对标准的其他内容进行解读。感兴趣的读者,就一起期待本标准的正式发布吧。

0 人点赞