信息安全服务包括
信息安全服务是面向组织或个人的各类信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全过程或任务。信息安全服务包括:
信息安全咨询服务
信息安全咨询服务是以组织整体为出发点,基于对组织的使命、业务、职责、环境等分析研究,以人力的方式来提供相关的咨询,其服务交付物通常是一些文档。服务提供方提供信息安全领域的知识传递、工作辅导、系统规划等服务内容,以满足组织对外部“专业知识”的需求,从而提高自身的信息安全管理、规划、分析和决策能力。
信息安全咨询服务的质量首先取决于服务人员的专业知识、经验的丰富程度,其次取决于服务人员的理解能力、分析能力和沟通能力。服务人员与组织内有关人员(尤其是信息安全责任部门人员 ) 的有效交互过程是咨询服务成败的关键。
信息安全咨询服务包括:信息安全规划、信息安全管理体系咨询、信息安全风险评估、信息安全应急管理咨询、业务连续性管理咨询等。
信息安全实施服务
信息安全实施服务是指针对具体的信息系统,基于对信息系统全生命周期的信息安全保障,为系统的建设和运行提供相关的实现。服务提供方提供与信息安全相关的技术保障、管理保障等直接支撑,以满足组织(或个人)对专业技能、专业人员、专业工具的需求,从而保障信息系统整体或各层面的安全性。
信息安全实施服务对于服务提供方具有较高的重复性,其服务质量取决于服务提供方的整体能力和服务成熟度,主要包括:组织管理、专业知识、技术能力、人员素质、工具平台、服务经验、外部资源等方面。服务需求方的积极参与可以提而实施服务成效。
信息安全实施服务包括:信息安全设计、信息安全产品部署、信息安全开发、信息安全加固和优化、信息安全检查、信息安全测试、信息安全监控、信息安全应急处理、信息安全通告、备份和恢复、数据修复、电子认证服务等。
信息安全培训服务
信息安全培训服务面向“个人”,以提而信息安全意识、完善信息安全知识、掌握信息安全技能为主要目标,为相关人员提供直接培训。服务提供方提供信息安全意识、技术、管理、体系、工程、法律、政策和标准等方面的培训内容,通过授课、实操、考核等形式,从而提高人员的信息安全能力水平。
信息安全培训服务应根据培训目的,结合培训规模、人员基础知识、培训时间、培训条件等情况,对培训内容、培训方式、考核方式等作出针对性的培训计划并予以实施,其服务质量取决于培训的针对性、科学性和实效性。对面向组织的统一培训,培训服务提供方还应在培训结束后,提供培训效果分析报告,以便组织掌握培训情况并对培训工作持续改进。
常见的信息安全培训服务包括:针对信息安全专业人员的资质培训、针对服务需求方特定要求的定制培训等。
其他信息安全服务(第三方信息安全服务)
第三方信息安全服务面向组织及其信息系统,根据相关法律法规、政策、标准中,对组织、信息系统、信息安全产品或人员的信息安全要求,提供基于第三方角色的独立服务(建立在乙方服务的基础之上 )。服务提供方就所涉及的问题,提供专业的评估或证明,以满足组织信息安全保障对外部保证的需求,从而确保相关方的质量、责任、要求得到了有效保障。
第三方信息安全服务在提供服务的同时,也承担了相关的社会责任,因此对笫三方信息安全服务有着明确的资质要求,其服务质量首先取决于对规则的遵从性,其次取决于相关领域的专业能力。
第三方信息安全服务包括:信息安全测评、信息安全监理、信息安全审计等。