（高清版）GBT 30283-2022 信息安全技術 信息安全服務 分類與代碼

代替GB/T30283—2013信息安全技術信息安全服務分類與代碼2022-04-15發(fā)布2022-11-01實施國家標準化管理委員會I 2規(guī)范性引用文件 3術語和定義 4縮略語 5信息安全服務特點 36信息安全服務分類與代碼 36.1編碼方法 6.2分類與代碼 37信息安全咨詢服務 67.1信息安全規(guī)劃咨詢 67.2信息安全設計咨詢 67.3信息安全管理體系咨詢 67.4信息安全工程監(jiān)理 67.5信息安全測試評估 67.6信息安全培訓 7.7其他信息安全咨詢服務 78信息安全設計與開發(fā)服務 78.1信息安全系統(tǒng)設計 78.2信息安全開發(fā) 88.3其他信息安全設計與開發(fā)服務 89信息安全集成服務 89.1信息安全硬件集成 89.2信息安全軟件集成 89.3其他信息安全集成服務 810信息安全運營服務 810.1信息安全監(jiān)測 810.2信息安全檢查 10.3威脅信息共享 10.4信息安全分析 910.5信息安全報送 10.6惡意代碼防范和處理 10.7信息安全應急響應 10.8信息安全演練 10.9信息安全調查取證 10.10信息安全加固 ⅡGB/T30283—202210.11信息安全運維規(guī)范管理 10.12信息安全審計 10.13身份管理 10.14備份和恢復 10.15其他信息安全運營服務 11信息的安全處理和存儲服務 11.1數(shù)據(jù)安全保護 11.2信息安全租賃 11.3網(wǎng)絡信息內容審核 11.4其他信息的安全處理和存儲服務 12信息安全測評與認證服務 12.1信息安全測評 12.2信息安全認證 12.3其他信息安全測評與認證服務 13其他信息安全服務 13.1概述 13.2擴展原則 13.3擴展類型 附錄A(資料性)信息安全服務分類新舊結構對照 附錄B(資料性)信息安全服務分類新舊類目對照 附錄C(資料性)信息安全服務實例及其對應服務類別 附錄D(資料性)信息安全服務與信息系統(tǒng)生命周期的對應關系 附錄E(資料性)信息安全服務分類的其他形式與本文件服務類別的對應關系 參考文獻 Ⅲ本文件按照GB/T起草。本文件代替GB/T1.1—2020《標準化工作導則30283—2013《信息安全技術第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定信息安全服務分類》,與GB/T30283—2013相比，除結構調整和編輯性改動外，主要技術變化如下：a)更改了若干信息安全服務類別、代碼、名稱及內容(見第6章、第7章、第8章、第9章、第10章、第11章、第12章、第13章，2013年版的第4章、第5章、第6章、第7章);b)增加了信息安全設計與開發(fā)服務、信息安全集成服務、信息安全運營服務、信息的安全處理和存儲服務、信息安全測評與認證服務類別(見第8章、第9章、第10章、第11章、第12章);c)刪除了信息安全實施服務、信息安全培訓服務(見2013年版的第6章、第7章);d)更改了要素“規(guī)范性引用文件”(見第2章，2013年版的第2章);e)增加了術語和定義，新增、改寫和引用部分術語和定義(見第3章，2013年版的第3章);f)增加了縮略語，對本文件涉及的縮略語進行解釋說明(見第4章);g)更改了要素“信息安全服務特點”的編寫，對部分內容進行了調整(見第5章，2013年版的第8章);h)更改了要素“信息安全服務分類”的編寫，調整了服務分類的層次結構和編碼方法(見第6章，2013年版的第4章);i)增加了“其他信息安全服務”章節(jié)，說明其他信息安全服務的擴展原則和類型(見第13章)。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。本文件起草單位：中國電子科技網(wǎng)絡信息安全有限公司、上海三零衛(wèi)士信息安全有限公司、中國電子技術標準化研究院、中電長城網(wǎng)際系統(tǒng)應用有限公司、中國信息安全測評中心、中國網(wǎng)絡安全審查技術與認證中心、公安部第三研究所、國家計算機網(wǎng)絡應急技術處理協(xié)調中心、畢馬威企業(yè)咨詢(中國)有限公司、安天科技集團股份有限公司、北京天融信網(wǎng)絡安全技術有限公司、中國科學院信息工程研究所(信息安全國家重點實驗室)、陜西省網(wǎng)絡與信息安全測評中心、北京東方通網(wǎng)信科技有限公司、陜西省信息化工程研究院、國網(wǎng)區(qū)塊鏈科技(北京)有限公司、山谷網(wǎng)安科技股份有限公司、北京北信源軟件股份有限公司、烽臺科技(北京)有限公司、成都衛(wèi)士通信息安全技術有限公司、工業(yè)互聯(lián)網(wǎng)創(chuàng)新中心(上海)有限公司、北京知道創(chuàng)宇信息技術股份有限公司、北京紅戎信安技術有限公司、網(wǎng)神信息技術(北京)股份有限公司、遠江盛邦(北京)網(wǎng)絡安全科技股份有限公司、北京奇虎科技有限公司、西安西電捷通無線網(wǎng)絡通信股份有限公司、北京百度網(wǎng)訊科技有限公司。本文件及其所代替文件的歷次版本發(fā)布情況為：——2013年首次發(fā)布為GB/T30283—2013;——本次為第一次修訂。1信息安全技術信息安全服務分類與代碼本文件描述了信息安全服務的分類與代碼，主要包括信息安全咨詢類、信息安全設計與開發(fā)類、信息安全集成類、信息安全運營類、信息的安全處理和存儲類、信息安全測評與認證類及其他類七個方面。本文件適用于信息安全服務提供方和信息安全服務需求方使用，也可供其他相關方參考。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術術語GB/T32914—2016信息安全技術信息安全服務提供方管理要求GB/T38674—2020信息安全技術應用軟件安全編程指南3術語和定義GB/T25069、GB/T32914—2016和GB/T38674—2020界定的以及下列術語和定義適用于本文件。信息安全服務informationsecurityservice面向組織或個人的各類信息安全需求，由服務提供方按照服務協(xié)議所執(zhí)行的一個信息安全過程或任務。注1:信息安全服務通常是基于信息安全技術、產(chǎn)品或管理體系的，通過外包的形式，由專業(yè)信息安全人員或機構所提供的支持和幫助。注2:信息安全服務通常以信息安全服務提供方和信息安全服務需求方之間的服務項目形式進行。[來源：GB/T32914—2016,3.1,有修改]信息安全服務需求方informationsecurityserviceacquirer需方獲取外部所提供的信息安全服務，以滿足信息安全需求，實現(xiàn)自身業(yè)務目標的組織。信息安全服務提供方informationsecurityserviceprovider供方按照服務協(xié)議，通過專業(yè)的信息安全人員提供信息安全服務的組織。2服務需求方和服務提供方在服務開始前共同簽署的約定，并在服務過程中共同遵守。注：通常包含服務原則、服務內容、服務形式、服務級別協(xié)議、服務價格、服務交付物、服務安全要求等，在形式上是服務合同及其附屬的工作說明書。服務分類serviceclassification根據(jù)信息安全服務的屬性或特征將其進行區(qū)分和歸類的過程。服務實例serviceinstance為滿足某一確定的信息安全需求而組合在一起的，一組可重用的信息安全服務。信息安全咨詢服務informationsecurityconsultingservice面向組織或個人，圍繞組織信息系統(tǒng)所支持業(yè)務相關人員、技術和管理，通過知識傳遞、工作輔導和系統(tǒng)規(guī)劃等方法和資源提出解決信息安全問題的建議和方案等形式提供的信息安全服務。面向組織或個人，圍繞信息安全開發(fā)需求，通過需求分析、安全設計、安全開發(fā)、安全測試等過程向需方提供，并協(xié)助其實施控制和管理的信息安全服務。信息安全集成服務informationsecurityintegrationservice面向組織或個人，圍繞信息安全建設需求，通過結構化的綜合布纜系統(tǒng)、計算機網(wǎng)絡技術和軟件技術，將各個分離的設備、功能和信息等集成到相互關聯(lián)的、統(tǒng)一和協(xié)調的系統(tǒng)之中，以及為信息系統(tǒng)的正常運行而提供的信息安全服務。信息安全運營服務informationsecurityoperationservice面向組織或個人，圍繞實現(xiàn)組織的業(yè)務持續(xù)、穩(wěn)定運行的安全目標，通過提出安全解決構想、分析問題、診斷問題、協(xié)調資源、解決問題、驗證效果并持續(xù)迭代優(yōu)化的統(tǒng)籌管理過程，滿足組織信息安全的動態(tài)性、持續(xù)性和整體性需求的信息安全服務。信息的安全處理和存儲服務informationsecurityprocessingandstorageservice統(tǒng)基礎設施等租用業(yè)務的信息安全需求而提供的信息安全服務。信息安全測評與認證服務informationsecurityevaluationandcertificationservice面向組織或個人，由信息安全測評與認證機構圍繞產(chǎn)品、系統(tǒng)、服務、人員、管理體系證明其符合相關技術規(guī)范、相關技術規(guī)范的強制性要求或者標準合格評定活動而提供的信息安全服務。4縮略語下列縮略語適用于本文件。3APT:高級持續(xù)性威脅(AdvancedPersistentThreat)APP:應用軟件(ApplicationSoftware)CDN:內容分發(fā)網(wǎng)絡(ContentDeliveryNetwork)5信息安全服務特點本文件所涉及的信息安全服務除了信息技術服務所具有的共同特點之外，還具有如下特點：a)不依附于某一單獨的、具體的、批量生產(chǎn)的信息安全產(chǎn)品；b)針對不同的信息安全需求，供方提供不同服務內容的組合；c)信息安全服務具有敏感的動態(tài)性要求和突出的個性化要求；d)信息安全服務的形式多樣，分為現(xiàn)場服務、遠程聯(lián)機服務、遠程非聯(lián)機服務等；e)供方的服務人員、過程和工具保證可信和可控；f)供方符合國家和行業(yè)相關信息安全標準的要求。6信息安全服務分類與代碼6.1編碼方法本文件采用“服務大類一服務中類—服務小類”層次結構來描述服務分類，從左到右：a)服務大類由1位大寫英文字母表示，信息安全咨詢服務、信息安全設計與開發(fā)服務、信息安全集成服務、信息安全運營服務、信息的安全處理和存儲服務、信息安全測評與認證服務、其他信b)服務中類由1位大寫英文字母和2位阿拉伯數(shù)字表示，第1位是大類代碼，后兩位是中類順序咨詢服務；c)服務小類由1位大寫英文字母和4位阿拉伯數(shù)字表示，前三位為中類代碼，后兩位為小類順序他信息安全培訓服務。信息安全服務的分類代碼結構見圖1。——第三層，表示小類代碼(兩位數(shù)字)——第三層，表示小類代碼(兩位數(shù)字)—第二層，表示中類代碼(兩位數(shù)字)-第一層，表示大類代碼(一位字母)圖1信息安全服務的分類代碼結構6.2分類與代碼信息安全服務分類與代碼見表1。4表1信息安全服務分類與代碼代碼類別名稱目標對象A信息安全咨詢服務需方的信息系統(tǒng)及其所支持的業(yè)務和管理A01信息安全規(guī)劃咨詢A02信息安全設計咨詢A03信息安全管理體系咨詢A04信息安全工程監(jiān)理A05信息安全測試評估A0501信息安全測試A0502信息安全風險評估A0599其他信息安全測試評估服務A06信息安全培訓A0601信息安全意識培訓A0602信息安全基礎培訓A0603信息安全專業(yè)培訓A0699其他信息安全培訓服務A99其他信息安全咨詢服務B信息安全設計與開發(fā)服務需方的業(yè)務和安全需求信息安全系統(tǒng)設計信息安全開發(fā)其他信息安全設計與開發(fā)服務C信息安全集成服務需方的信息安全系統(tǒng)及軟硬件基礎設施信息安全硬件集成信息安全軟件集成其他信息安全集成服務D信息安全運營服務需方的信息系統(tǒng)及其所支持的業(yè)務和管理信息安全監(jiān)測信息安全檢查威脅信息共享信息安全分析信息安全報送惡意代碼防范和處理信息安全應急響應信息安全演練信息安全調查取證信息安全加固5表1信息安全服務分類與代碼(續(xù))代碼類別名稱目標對象信息安全運維規(guī)范管理需方的信息系統(tǒng)及其所支持的業(yè)務和管理信息安全審計身份管理備份和恢復其他信息安全運營服務E信息的安全處理和存儲服務信息系統(tǒng)及設備所涉及的安全信息和數(shù)據(jù)數(shù)據(jù)安全保護信息安全租賃網(wǎng)絡信息內容審核其他信息的安全處理和存儲服務F信息安全測評與認證服務員等信息安全測評信息安全產(chǎn)品測評信息安全服務資質測評信息安全人員測評等級保護測評分級保護測評密碼測評其他信息安全測評服務信息安全認證信息安全產(chǎn)品認證信息安全管理體系認證信息安全服務資質認證信息安全人員認證其他信息安全認證服務其他信息安全測評與認證服務Z其他信息安全服務基于如上分類，需方根據(jù)自身的信息化現(xiàn)狀和信息安全需求，對服務中類或小類進行組合，形成信息安全服務實例。因此，信息安全服務可以服務實例的形式，由一個或多個服務中類或者服務小類構成，某些還可能包含本文件不涉及的其他擴展的服務。通常信息安全服務實例有以下幾種類型：安全咨運營。信息安全服務分類新舊結構對照見附錄A,信息安全服務分類新舊類目對照見附錄B,典型的信息安全服務實例及其對應服務類別見附錄C。信息安全服務貫穿信息系統(tǒng)的規(guī)劃、設計、實施、運行、終止等階段，信息安全服務與信息系統(tǒng)生命周期的對應關系見附錄D。6信息安全服務分類的其他形式與本文件的服務類別的對應關系見附錄E。7信息安全咨詢服務7.1信息安全規(guī)劃咨詢信息安全規(guī)劃咨詢主要是針對需方信息系統(tǒng)及其支持的業(yè)務和管理的安全需求，由供方結合需方投資預算、信息安全現(xiàn)狀以及發(fā)展趨勢，基于人員利用資源、技術，通過規(guī)定的過程提出需方安全規(guī)劃目標，從管理、技術兩個維度設計規(guī)劃內容以形成一套指導性文件，系統(tǒng)指導需方信息安全建設，滿足其可持續(xù)發(fā)展的需要。信息安全規(guī)劃咨詢通常涉及多學科知識、工程實踐經(jīng)驗、現(xiàn)代科學和管理技術，為信息安全資源開發(fā)利用、工程建設、人員培訓、管理體系建設、技術支撐等方面提供支持。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。7.2信息安全設計咨詢信息安全設計咨詢主要是針對信息系統(tǒng)的安全防護需求，由供方落實需方的安全規(guī)劃，設計總體安全策略，制定信息安全建設方案和實施方案，并在此基礎上形成安全策略、安全技術體系結構、安全管理體系結構等的設計，指導需方信息安全防護具體實現(xiàn)。信息安全設計一般可分為頂層設計、概要設計和詳細設計等不同的服務交付物。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。7.3信息安全管理體系咨詢信息安全管理體系咨詢主要是針對需方信息安全管理體系需求，由供方結合需方的需要和目標、安用風險評估的方法規(guī)劃管理體系建設任務并落實，實施內部審核與管理評審等過程，協(xié)助需方建立、實現(xiàn)、維護、并持續(xù)改進信息安全管理體系。信息安全管理體系是組織的過程和整體管理結構的一部分并集成在其中，涵蓋相關標準要求的文件化信息，應闡述被保護的資產(chǎn)、風險管理的方法、控制目標及控制方式和需要的保證程度。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。7.4信息安全工程監(jiān)理信息安全工程監(jiān)理主要是針對需方各類信息系統(tǒng)工程中涉及信息安全的工程活動，由具有相關資質的監(jiān)理單位(供方)根據(jù)需方委托，在工程建設的規(guī)劃設計、部署實施(招標、設計、實施、驗收)各階段實施控制和管理，提供相關建議和意見，確保實現(xiàn)各階段的監(jiān)理目標和完成監(jiān)理內容。信息安全工程監(jiān)理還可以包括對信息系統(tǒng)運行維護階段的信息安全服務進行監(jiān)理。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。7.5信息安全測試評估7.5.1信息安全測試信息安全測試主要是針對信息系統(tǒng)、軟硬件產(chǎn)品等被測對象的安全屬性，由供方在特定的測試環(huán)境下，根據(jù)需方授權，按照測試準備、測試實施、測試分析、測試結果反饋等工作流程，選擇適用的方法/工具，動態(tài)分析測試數(shù)據(jù)，發(fā)現(xiàn)被測對象存在的安全隱患，驗證被測對象安全保障措施的符合性及有效性，提出安全整改建議。信息安全測試通常包括信息系統(tǒng)安全測試、APP安全測試、漏洞安全掃描、基線配置核查、滲透測試、源代碼審計等。信息安全測試工具應符合相關國家標準要求，確?？煽啃院桶踩?。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。77.5.2信息安全風險評估信息安全風險評估主要是針對業(yè)務、信息系統(tǒng)、基礎網(wǎng)絡和平臺、數(shù)據(jù)資源等被評估對象，由供方確定風險評估的工作形式，按照風險評估流程，覆蓋風險評估準備、資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析、風險處理等環(huán)節(jié)，對所面臨的風險進行識別、分析和評價，制定和提出抵御風險的安全策略和整改措施。信息安全風險評估通常貫穿被評估對象的規(guī)劃、設計、實施、運行、廢棄各生命周期階段。7.5.3其他信息安全測試評估服務不屬于以上服務小類的其他信息安全測試評估服務。7.6信息安全培訓7.6.1信息安全意識培訓信息安全意識培訓主要是針對需方的全體人員，結合組織的信息安全管理制度，采用宣傳資料(如簡報、短片等)、宣傳周、網(wǎng)絡媒介等多種方式，傳遞有關信息安全方面的基本常識，并對培訓效果進行評價，確保培訓人員樹立信息安全觀念，提高信息安全風險意識，增強信息安全責任感。信息安全意識培訓通常提供的是一種較為初級的培訓服務。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。7.6.2信息安全基礎培訓信息安全基礎培訓主要是針對需方與信息系統(tǒng)設計、開發(fā)、實現(xiàn)和運維等相關的技術人員和管理人員，采取案例教學、課堂講授等方式，傳授有關信息安全的基礎知識，并對培訓效果進行評價，確保培訓對象掌握與自身工作相關的信息安全理論知識和基本技能，履行信息安全職責。信息安全基礎培訓通常提供的是一種基于角色和職責的定制服務。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。7.6.3信息安全專業(yè)培訓信息安全專業(yè)培訓主要是針對需方的信息安全專業(yè)人員、專職人員和高級管理人員，根據(jù)信息安全人才培養(yǎng)計劃，采取在職培訓、崗位培訓、技能考核、多學科專題研討等方式，傳授有關信息安全的專業(yè)知識，并對培訓效果進行評價，確保培訓對象全面了解信息安全知識體系，掌握信息安全專業(yè)知識和專業(yè)技能，提高信息安全專業(yè)素養(yǎng)。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。7.6.4其他信息安全培訓服務不屬于以上服務小類的其他信息安全培訓服務。7.7其他信息安全咨詢服務不屬于以上服務中類的其他信息安全咨詢服務。8信息安全設計與開發(fā)服務8.1信息安全系統(tǒng)設計信息安全系統(tǒng)設計主要是針對需方不能通過采購現(xiàn)有信息安全系統(tǒng)或產(chǎn)品予以滿足的安全需求，8由供方按照需求分析、概要設計、詳細設計等流程設計信息安全系統(tǒng)，可按照GB/T38674—2020提出的應用軟件安全編程的通用框架的要求，并結合需方應用環(huán)境的特性，提出安全防護設計要求，以指導后續(xù)的信息安全開發(fā)(見8.2)。信息安全系統(tǒng)設計一般包括安全實現(xiàn)技術框架設計、安全功能設計、性能要求設計等。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。8.2信息安全開發(fā)信息安全開發(fā)主要針對需方不能通過采購現(xiàn)有信息安全系統(tǒng)或產(chǎn)品予以滿足的安全需求，由供方在信息安全系統(tǒng)設計(見8.1)的基礎上，按照安全要求確認、安全基線要求確定、設計要求確認、安全策略制定、威脅建模、安全編碼規(guī)范設計、事件響應計劃制定、最終安全評析等軟件安全開發(fā)流程開發(fā)信息安全系統(tǒng)或產(chǎn)品，并可按照GB/T38674—2020提出的應用軟件安全編程通用框架的要求，采取相應的措施保障信息安全系統(tǒng)或產(chǎn)品的安全性，以滿足需方特定的安全需求并最大程度地減少信息安全系統(tǒng)或產(chǎn)品的安全缺陷。信息安全開發(fā)也可以基于已有的信息安全系統(tǒng)或產(chǎn)品進行二次開發(fā)。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。8.3其他信息安全設計與開發(fā)服務不屬于以上服務中類的其他信息安全設計與開發(fā)服務。9信息安全集成服務9.1信息安全硬件集成信息安全硬件集成主要是針對需方采購或租賃的信息安全硬件設備，由供方根據(jù)已制定的系統(tǒng)集成方案(包含設計方案和實施方案等),明確集成部署方式，按照部署環(huán)境搭建、安裝配置、功能調試、性能測試等工作流程規(guī)范開展集成部署工作，確保各個子系統(tǒng)實現(xiàn)安全互聯(lián)互通。信息安全硬件集成通以下幾種：部署在需方本地機房，部署在托管數(shù)據(jù)中心，部署在云平臺的虛擬資源上，或者以前面幾種形式混合部署等。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。9.2信息安全軟件集成信息安全軟件集成主要是針對需方采購或租賃的信息安全軟件、系統(tǒng)(包括軟件構件),由供方根據(jù)已制定的軟件集成方案(包含設計方案和實施方案等),明確部署安裝方式，按照部署環(huán)境搭建、軟件集成實施(包括現(xiàn)場系統(tǒng)開發(fā))、現(xiàn)場部署、評測改進等工作流程規(guī)范開展集成部署工作，確保信息安全軟件、系統(tǒng)實現(xiàn)安全、高效應用。信息安全軟件集成通常覆蓋信息安全需求分析、設計、實施與運行、測試與改進和驗收等過程。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。9.3其他信息安全集成服務不屬于以上服務中類的其他信息安全集成服務。10信息安全運營服務10.1信息安全監(jiān)測信息安全監(jiān)測主要是針對信息系統(tǒng)的環(huán)境、網(wǎng)絡、設備、系統(tǒng)、應用、不同區(qū)域間流動信息等被監(jiān)測9對象，由供方采用監(jiān)測類工具、平臺或感知節(jié)點設備現(xiàn)場或遠程對被監(jiān)測對象的信息安全事件、運行狀態(tài)、脆弱性與威脅進行監(jiān)測和感知，以及時發(fā)現(xiàn)威脅、告警、事件等異常情況或行為。信息安全監(jiān)測可與信息安全報送(見10.5)、應急響應(見10.7)和調查取證(見10.9)協(xié)同實施。信息安全監(jiān)測通常還應實現(xiàn)或完善對新型網(wǎng)絡攻擊行為(如APT攻擊)的監(jiān)測。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。10.2信息安全檢查信息安全檢查主要是針對需方的信息安全自檢查需求，由供方根據(jù)需方委托，結合檢查對象安全特查結果反饋等工作流程，通過人員訪談、文檔查閱、技術驗證、測試等手段，以協(xié)助需方發(fā)現(xiàn)可能存在的信息安全問題。信息安全檢查通常與信息安全測試評估(見7.5)和信息安全監(jiān)測(見10.1)協(xié)同實施，并確保不引入額外的風險。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。注1:信息安全檢查分為監(jiān)督檢查、自檢查和委托檢查。監(jiān)督檢查是指上級管理部門組織的或國家有關職能部門依法開展的檢查。自檢查是指信息系統(tǒng)所有者、運營或使用單位發(fā)起的對本單位信息安全狀況進行的檢查。委托檢查是指受檢單位或監(jiān)督檢查的組織部門不具備檢查能力的，委托經(jīng)相關主管部門認可的機構開展的檢查。注2:本服務中的信息安全檢查主要適用于由供方協(xié)助需方開展的信息安全自檢查場景。10.3威脅信息共享威脅信息共享主要是針對需要和使用網(wǎng)絡安全威脅信息的需方，由供方采用多種技術手段，通過采集大規(guī)模、多渠道的網(wǎng)絡安全威脅數(shù)據(jù)，集中進行深度融合、歸并和分析，形成網(wǎng)絡安全威脅信息，經(jīng)人工或自動化處理為結構化信息，采用通用模型來實現(xiàn)對網(wǎng)絡安全威脅信息的統(tǒng)一描述，批量傳遞給需方，以實現(xiàn)跨組織的海量網(wǎng)絡安全威脅信息的快速傳遞，進而支持對復雜網(wǎng)絡安全威脅的應對。網(wǎng)絡安應對措施等要素組成。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。10.4信息安全分析信息安全分析主要是針對需方的信息系統(tǒng)，由供方采集并處理日志、流量、性能、漏洞等多類數(shù)據(jù)，采用多類專業(yè)智能化分析引擎、AI檢測模型和信息資源庫，識別網(wǎng)絡攻擊、惡意軟件、信息泄露等安全威脅，并提出建議采取的解決方案或措施。信息安全分析可與信息安全報送(見10.5)、應急響應(見10.7)和調查取證(見10.9)協(xié)同實施。信息安全分析通常采用大數(shù)據(jù)技術以實現(xiàn)對海量數(shù)據(jù)的快速、高效、及時的分析與計算。信息安全分析包括現(xiàn)場分析和遠程分析兩種方式。其中，遠程分析通常由供方在遠程的安全運行或運營中心進行，一般應有加密的網(wǎng)絡連接，并在需方的信息系統(tǒng)上安裝數(shù)據(jù)采集軟件或工具。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。10.5信息安全報送信息安全報送主要是針對需要及時掌握信息安全事件或威脅信息的需方，由供方協(xié)助建立信息報送的工作機制，明確信息報送范圍、渠道及信息格式，在即將發(fā)生或正在發(fā)生信息安全事件或威脅時，提前或及時報送需方，以便需方及時采取措施。信息安全報送內容通常包括信息安全事件或威脅的發(fā)生時間、基本情況描述、可能產(chǎn)生的危害及程度、可能影響的用戶及范圍、宜采取的應對措施等。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。10.6惡意代碼防范和處理惡意代碼防范和處理主要針對危害需方信息資產(chǎn)的人為故意編制或設置的代碼或數(shù)據(jù)，由供方協(xié)助建立和實施惡意代碼防范機制，安裝防惡意代碼軟件或配置具有相應功能的軟件，實時監(jiān)測并定期掃新防惡意代碼庫，以增強需方對惡意代碼事件的防范和處理能力。惡意代碼防范和處理通常與信息安全監(jiān)測(見10.1)、分析(見10.4)和應急響應(見10.7)協(xié)同實施。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。10.7信息安全應急響應信息安全應急響應主要是針對影響網(wǎng)絡與信息系統(tǒng)安全的各類各級信息安全事件，由供方結合需方的信息安全應急管理體系，快速進行標識、記錄、分類和處理，最大程度上減少損失和降低該事件造成的消極影響。在實踐中，通常會采取編寫應急預案制定應急計劃，指導需方開展應急演練等方式提高應急能力，以在信息安全事件發(fā)生后能夠及時、有效地實施應急響應。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。10.8信息安全演練信息安全演練主要是針對有信息安全演練需求的需方，由供方協(xié)助明確演練的組織架構，編制演練演練規(guī)劃和方案執(zhí)行安全演練(必要時可安排一次或多次預演),監(jiān)視、評價安全演練過程，并就演練過程中存在的問題、取得的經(jīng)驗教訓等加以改進，使安全演練符合預期設定目標，確保演練規(guī)劃得到有效執(zhí)行。信息安全演練根據(jù)組織形式、內容、目的和作用的不同，通常體現(xiàn)不同的演練形式。如根據(jù)組織和作用，可分為檢驗性演練、示范性演練和研究性演練。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。10.9信息安全調查取證信息安全調查取證主要是針對信息安全相關的網(wǎng)絡違法犯罪活動，由供方根據(jù)需方委托，使用符合相關技術標準和規(guī)范的取證設備和方法，通過技術手段收集、保全和記錄電子證據(jù)，形成證據(jù)鏈以支持信息安全調查、分析、識別等工作。信息安全調查取證過程通常包括確定調查依據(jù)，制定調查取證實施步驟，獲取和保存電子證據(jù)，分析和驗證證據(jù)鏈以及編寫調查取證報告等。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。10.10信息安全加固信息安全加固主要是針對需方的網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)等被加固對象，由供方在獲得需方允許的前提下，按照已制定的安全加固方案，采取補丁升級、關閉不必要的端口和服務、優(yōu)化訪問控制策略、增加安全機制等措施對被加固對象存在的安全缺陷和漏洞進行彌補和修復，以增強被加固對象的安全性，提高其安全保護能力。信息安全加固通常與信息安全測試評估(見7.5)、分析(見10.4)協(xié)同實施。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。10.11信息安全運維規(guī)范管理信息安全運維規(guī)范管理主要是針對信息安全運維相關的活動，由供方協(xié)助需方制定安全運維基線，采取運維行為審批、運維操作過程記錄、運維工具審核及監(jiān)視、運維人員適度授權等必要手段和措施，規(guī)范安全運維活動，以降低可能帶來的風險。信息安全運維規(guī)范管理通常貫穿安全運維策略、安全運維組織、安全運維支撐體系、安全運維規(guī)程各個方面。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。10.12信息安全審計信息安全審計主要是針對需方的信息安全相關活動，由供方通過文件審核、記錄檢查、技術測試、現(xiàn)場訪談等手段，獲得審計證據(jù)，并對其進行客觀的評價，形成審計報告，確定被審計對象滿足審計依據(jù)的程度，幫助需方全面了解和掌握其信息安全工作的有效性、充分性和適宜性。信息安全審計的范圍通常包括信息安全管理目標、方針和策略，信息安全管理組織的建立，信息安全管理制度和流程，信息安全信安全，操作系統(tǒng)安全，應用系統(tǒng)安全，數(shù)據(jù)安全，業(yè)務連續(xù)性管理以及供應商管理等。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。身份管理主要針對網(wǎng)絡用戶、網(wǎng)絡設備等各類網(wǎng)絡中的實體，由供方通過對網(wǎng)絡實體身份的發(fā)布和使用涉及的身份標識定義、身份驗證與證明、身份鑒別、協(xié)議、身份管理框架等在內的集成應用與身份管理等環(huán)節(jié)進行可信管理，構建網(wǎng)絡信任體系的基礎，解決其身份管理問題。目前廣泛應用的身份管理關鍵技術包括在線身份管理、多因素身份鑒別等。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。備份和恢復主要是針對需方的信息系統(tǒng)故障及災難恢復相關活動，由供方圍繞物理環(huán)境、網(wǎng)絡、設用數(shù)據(jù)處理系統(tǒng)、備用網(wǎng)絡系統(tǒng)、災難恢復服務及工具等手段和措施，將信息系統(tǒng)從災難造成的故障和癱瘓狀態(tài)恢復到可正常運行狀態(tài)。備份和恢復通常貫穿規(guī)劃設計、建設實施和運行維護管理各個環(huán)節(jié)。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。10.15其他信息安全運營服務不屬于以上服務中類的其他信息安全運營服務。11信息的安全處理和存儲服務11.1數(shù)據(jù)安全保護數(shù)據(jù)安全保護主要是針對需方生產(chǎn)經(jīng)營活動中所涉及的業(yè)務數(shù)據(jù)以及其他重要數(shù)據(jù)、個人信息等，由供方對數(shù)據(jù)收集、傳輸、存儲、處理、使用以及銷毀等數(shù)據(jù)生命周期中的相關行為以及數(shù)據(jù)的交易、公密、備份恢復、數(shù)據(jù)搶救和修復等一系列的數(shù)據(jù)安全保護措施，協(xié)助需方保證數(shù)據(jù)的機密性、完整性和可用性并保障數(shù)據(jù)得到有效保護和合法利用，持續(xù)處于安全狀態(tài)。數(shù)據(jù)安全保護通常還應與信息安全風險評估(見7.5.2)協(xié)同實施，針對個人信息和重要數(shù)據(jù)出境情形，按照國家相關要求，協(xié)助需方進行安全評估。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。11.2信息安全租賃信息安全租賃主要是針對需方租賃的信息安全軟件、硬件、云安全虛擬資源等，由供方(即出租人),按照租賃申請、受理及調查、審核、合同簽訂和履行、租后管理等階段向需方(承租人)提供產(chǎn)品或服務，確保在規(guī)定的時間內(通常稱之為租期)滿足相應的信息安全需求。信息安全租賃通常包括安全設備租賃、安全系統(tǒng)租賃以及安全虛擬資源(池)租賃等。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。注：出租人以在法律上擁有租賃設備所有權為前提，在租期內將該項產(chǎn)品的使用權出租給承租人；承租人則對租賃產(chǎn)品在經(jīng)濟上擁有使用權，在租期內有權占有，并正常使用該項租賃產(chǎn)品。租期結束后，由承租人和出租人按照服務合同或協(xié)商確定租賃設備的所有權。11.3網(wǎng)絡信息內容審核網(wǎng)絡信息內容審核主要是針對需方的文本、圖像、音頻、視頻等載體，由供方對其內容中可能包含的檢測和識別，并協(xié)助需方開展防范和處置工作，以降低內容違規(guī)風險。網(wǎng)絡信息內容審核對象通常包括任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。11.4其他信息的安全處理和存儲服務不屬于以上服務中類的其他信息的安全處理和存儲服務。12信息安全測評與認證服務12.1信息安全測評12.1.1信息安全產(chǎn)品測評信息安全產(chǎn)品測評是針對保障信息安全的軟件、硬件、固件或其組合體，由具有國家認可資格的測評機構，依據(jù)相關測評標準和相關技術要求，按照一定的測評方法論，對信息安全產(chǎn)品的自主性、安全性和可控性等進行驗證、測試和評估，以驗證產(chǎn)品是否達到相關要求或存在潛在的安全風險，并出具相應的測試評估報告。信息安全產(chǎn)品測評類型包括但不限于信息安全產(chǎn)品分級測評、自主原創(chuàng)測評、選型對任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。12.1.2信息安全服務資質測評信息安全服務資質測評主要是針對需方提出的信息安全服務資質測評需求，由具有相關服務資質的測評方(供方)根據(jù)需方委托，依據(jù)相關標準和技術規(guī)范，結合測評對象服務形式的特點，明確具體的全服務能力測評。整個測評工作主要根據(jù)需求方的基本資格與基本能力、質量管理與項目管理能力、技術服務過程能力等進行展開，測評結束后，由供方出具相關的測評報告并結合相應級別的測評證書作為最終的測評結果。信息安全服務資質測評工作主要依據(jù)國際通用的能力成熟度模型五級架構展開，測評類型包括安全工程、信息安全風險評估、安全開發(fā)、災難恢復、信息系統(tǒng)審計、大數(shù)據(jù)安全、云計算安任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。12.1.3信息安全人員測評信息安全人員測評主要是針對需方(可以是組織或者個人)提出的信息安全人員測評需求，由具有相關服務資質的測評方(供方)根據(jù)需方委托，依據(jù)相關標準、準則和規(guī)定，結合人員測評對象委托測評類型的特點，明確具體的測評依據(jù)、范圍、對象和內容，按照規(guī)定測評工作流程展開人員測評。信息安全人員測評主要對信息安全從業(yè)人員的相應能力進行測評，測評通過者發(fā)放相應測評資質證書。信息安全人員測評是對信息安全從業(yè)人員具備相應專業(yè)能力測評的系列活動。信息安全人員測評通常包括注冊信息安全工程師、注冊信息安全管理員、注冊信息系統(tǒng)審計師、注冊信息安全開發(fā)人員、注冊滲透工程師、注冊滲透測試專家、注冊應急響應工程師、注冊應急響應專家、注冊工業(yè)控制系統(tǒng)安全工程師、注冊云安全工程師、注冊大數(shù)據(jù)安全分析師、注冊電子數(shù)據(jù)取證專業(yè)人員、注冊信息安全專業(yè)人員—密碼技術專家、注冊個人信息保護專業(yè)人員、注冊數(shù)據(jù)安全治理專業(yè)人員等。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。等級保護測評主要是針對需方的網(wǎng)絡安全等級測評需求，由具有服務資質的測評機構(供方)根據(jù)需方委托，依據(jù)國家網(wǎng)絡安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術標準，采用相關測評手段，遵從一定的測評規(guī)程，結合等級保護對象的安全級別，對非涉及國家秘密的網(wǎng)絡安全等級保護對象進行檢測評估，并出具等級保護測評報告，協(xié)助需方評判是否達到特定級別安全保護能力。等級保護測評包括單向測評和整體測評，其中單向測評包括物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全、安全策略和管理制度、安全管理機構和人員、安全建設管理和安全運維管理等方面。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。分級保護測評主要是針對需方的涉密信息系統(tǒng)測評需求，由具有相關資質的供方根據(jù)需方委托，依據(jù)國家相關保密規(guī)定和標準，從風險管理角度，分析涉密信息系統(tǒng)所面臨的威脅及其存在的脆弱性，提出有針對性的防護對策和整改措施，并出具測評報告，防范和化解涉密信息系統(tǒng)安全保密風險，為涉密信息系統(tǒng)安全保密提供科學依據(jù)。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。密碼測評即商用密碼應用安全性評估主要是針對需方使用密碼的信息系統(tǒng)，包括相關配套密碼產(chǎn)品、通用設備、人員、制度文檔等，由具有相關資質的供方根據(jù)需方委托，根據(jù)已通過評審的密碼應用方密碼應用的合規(guī)性、正確性和有效性等進行評估，以規(guī)范密碼應用和管理。密碼測評通常包括物理和環(huán)任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。12.1.7其他信息安全測評服務不屬于以上服務小類的其他信息安全測評服務。12.2信息安全認證信息安全產(chǎn)品認證主要是針對需方信息安全產(chǎn)品的申請、維持換證等需求，由信息安全認證機構依品認證，并向通過認證的信息安全產(chǎn)品頒發(fā)相應證書。信息安全產(chǎn)品認證是對信息安全產(chǎn)品符合規(guī)范及安全標準要求的一種確認活動，其證明方式是獲得認證證書和或認證標志。信息安全產(chǎn)品認證通常包括網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證、國家信息安全產(chǎn)品認證、IT產(chǎn)品信息安全認證等。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。12.2.2信息安全管理體系認證信息安全管理體系認證主要是針對需方信息安全管理體系認證證書的申請、維持換證等需求，由信息安全認證機構依據(jù)相關標準和其他補充技術要求與技術規(guī)范，采取審核、驗證、考核、訪談、體驗等手段，實施信息安全管理體系認證，并在其通過認證后頒發(fā)相應證書。信息安全管理體系認證是對需方的信息安全管理體系符合規(guī)范及安全標準要求的一種確認活動，其證明方式是獲得認證證書和或認證標志。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。12.2.3信息安全服務資質認證信息安全服務資質認證主要是針對需方信息安全服務資質的申請、維持換證等需求，由信息安全認方的基本資格、服務管理能力、服務技術能力和服務過程等，并頒發(fā)不同級別的資質證書。網(wǎng)絡安全服務資質認證是對供方提供相應服務能力符合規(guī)范及安全標準要求的一種確認活動。信息安全服務資質控制安全、信息系統(tǒng)審計、大數(shù)據(jù)安全、云計算安全等服務。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。信息安全人員認證主要是針對信息安全從業(yè)人員的申請、維持換證等需求，由信息安全認證機構依據(jù)相關準則、大綱等，按照專業(yè)認證方向和級別要求，對信息安全從業(yè)人員的相應能力進行考核、評估和認定，并頒發(fā)相應的能力證書。信息安全人員認證是對信息安全從業(yè)人員具備某方面的專業(yè)能力的一種確認活動。信息安全人員認證通常包括注冊信息安全專業(yè)人員、注冊信息安全員、信息安全保障人員認證、等級測評師認證、重要信息系統(tǒng)保護人員認證、注冊信息安全開發(fā)人員、注冊軟件安全專業(yè)人員、注冊信息內容安全分析師、網(wǎng)絡安全應急響應工程師認證等。任何提供的主要服務內容與以上描述相符的服務，均可歸入本類。不屬于以上服務小類的其他信息安全認證服務。12.3其他信息安全測評與認證服務不屬于以上服務中類的其他信息安全測評與認證服務。13其他信息安全服務13.1概述不屬于以上類別的其他信息安全服務。擴展原則如下：a)在能滿足信息安全服務需求時，優(yōu)先使用已有的信息安全服務，而不必擴展新的信息安全b)允許對現(xiàn)有信息安全服務施加比本文件更加詳細的解釋說明；c)擴展的信息安全服務原則上不改變本文件中現(xiàn)有信息安全服務的分類、名稱等；d)擴展的信息安全服務的分類與代碼符合第6章的規(guī)定。a)增加新的服務大類；b)增加新的服務中類；c)增加新的服務小類。(資料性)信息安全服務分類新舊結構對照信息安全服務分類新舊結構對照表見表A.1。表A.1信息安全服務分類新舊結構對照表GB/T30283—2022GB/T30283—2013服務類別服務中類服務類別服務組件A信息安全咨詢服務6A信息安全咨詢服務5B信息安全設計與開發(fā)服務2B信息安全實施服務C信息安全集成服務2C信息安全培訓服務1D信息安全運營服務Z其他信息安全服務 一E信息的安全處理和存儲服務3————F信息安全測評與認證服務2Z其他信息安全服務——(合計)(合計)(資料性)信息安全服務分類新舊類目對照信息安全服務分類新舊類目對照表見表B.1。表B.1信息安全服務分類新舊類目對照表說明A內容變更A01信息安全規(guī)劃咨詢A01信息安全規(guī)劃內容變更A02信息安全設計咨詢信息安全設計類別、名稱、代碼和內容變更A03信息安全管理體系咨詢A02信息安全管理體系咨詢代碼和內容變更，原A05部分內容調到此處A04信息安全工程監(jiān)理信息安全監(jiān)理類別、名稱、代碼和內容變更A05信息安全測試評估A0501信息安全測試A03信息安全風險評估信息安全檢查和測試新的類別，原A03B05部分內容調到此處A0502信息安全風險評估A06信息安全培訓A0601信息安全意識培訓信息安全培訓類別、代碼和內容變更A0602信息安全基礎培訓A0603信息安全專業(yè)培訓A99其他信息安全咨詢服務A99其他信息安全咨詢服務——新的大類新增信息安全系統(tǒng)設計——新的中類信息安全開發(fā)信息安全開發(fā)類別、代碼和內容變更其他信息安全設計與開發(fā)服務預留中類—新的大類信息安全硬件集成新的中類，原B02部分內容調到此處信息安全軟件集成新的中類其他信息安全集成服務—預留中類—新的大類信息安全監(jiān)測信息安全監(jiān)控類別、名稱、代碼和內容變更信息安全檢查信息安全檢查和測試更名，類別、代碼和內容變更威脅信息共享—新的中類信息安全分析—新的中類信息安全報送信息安全通告類別、名稱、代碼和內容變更惡意代碼防范和處理 新的中類表B.1信息安全服務分類新舊類目對照表(續(xù))說明信息安全應急響應A04信息安全應急管理咨詢信息安全應急處理類別、名稱、代碼和內容變更。原A04B07部分內容調到此處信息安全演練 新的中類信息安全調查取證—新的中類信息安全加固信息安全加固和優(yōu)化類別、名稱、代碼和內容變更信息安全運維規(guī)范管理 新的中類信息安全審計信息安全審計類別、代碼和內容變更身份管理電子認證服務類別、名稱、代碼和內容變更備份和恢復備份和恢復類別、代碼和內容變更其他信息安全運營服務———預留中類—新的大類數(shù)據(jù)安全保護數(shù)據(jù)修復類別、名稱、代碼和內容變更信息安全租賃新的中類網(wǎng)絡信息內容審核—新的中類其他信息的安全處理和存儲服務——預留中類 新的大類信息安全測評F0101信息安全產(chǎn)品測評新的小類F0102信息安全服務資質測評新的小類F0103信息安全人員測評—新的小類F0104等級保護測評—新的小類F0105分級保護測評——新的小類F0106密碼測評新的小類F0199其他信息安全測評服務預留中類信息安全認證F0201信息安全產(chǎn)品認證 一新的小類F0202信息安全管理體系認證——新的小類F0203信息安全服務資質認證—新的小類F0204信息安全人員認證—新的小類FO299其他信息安全測評與認證服務預留中類新增內容(資料性)信息安全服務實例及其對應服務類別典型的信息安全服務實例與其可能包含的服務類別之間的關系如表C.1所示。表C.1典型的信息安全服務實例服務實例對應的服務類別(代碼)安全咨詢風險評估A0502安全集成A01A02A06B01B02C01C02安全運維A06D01D02D06D07D08D10應急響應災難恢復A06D14安全培訓安全測評安全監(jiān)理安全審計安全運營D01D02D03D04D05D06D07D08D09D10D1GB/T30283—2022(資料性)信息安全服務與信息系統(tǒng)生命周期的對應關系信息安全服務與信息系統(tǒng)生命周期(見GB/T25058—2019)的對應關系，見表D.1。表D.1信息安全服務與信息系統(tǒng)生命周期的對應關系信息安全服務信息系統(tǒng)生命周期服務大類服務中類(部分含小類)規(guī)劃設計建設運行終止信息安全咨詢服務信息安全規(guī)劃咨詢√———— √信息安全設計咨詢√—√—信息安全管理體系咨詢√——√信息安全工程監(jiān)理√√√√—信息安全測試評估信息安全測試—— √√信息安全風險評估√√√√√信息安全培訓信息安全意識培訓√√√√√信息安全基礎培訓√√√√√信息安全專業(yè)培訓√√√√√信息安全設計與開發(fā)服務信息安全系統(tǒng)設計√√—信息安全開發(fā)—√√———信息安全集成服務信息安全硬件集成——√——信息安全軟件集成一—√—信息安全運營服務信息安全監(jiān)測—— √ 信息安全檢查√√√√√威脅信息共享——√信息安全分析————√—信息安全報送——————√惡意代碼防范和處理———√信息安全應急響應√——√√信息安全演練———√—信息安全調查取證———√—信息安全加固——√√信息安全運維規(guī)范管理———√—信息安全審計————√——身份管理—√√備份和恢復————√√√表D.1信息安全服務與信息系統(tǒng)生命周期的對應關系(續(xù))信息安全服務信息系統(tǒng)生命周期服務大類服務中類(部分含小類)規(guī)劃設計建設運行終止信息的安全處理和存儲服務數(shù)據(jù)安全保護√√√√√信息安全租賃——√√—網(wǎng)絡信息內容審核— ——√—信息安全測評與認證服務信息安全測評信息安全產(chǎn)品測評——√——信息安全服務資質測評√√√√√信息安全人員測評等級保護測評— √信息安全測評與認證服務信息安全測評分級保護測評—————√—密碼測評———√——信息安全認證信息安全產(chǎn)品認證———√√——信息安全管理體系認證√√√√√信息安全服務資質認證√√√√√信息安全人員認證—————全服務不涉及的信息系統(tǒng)生命周期階段。GB/T30283—2022(資料性)信息安全服務分類的其他形式與