信息安全国标 30283-2022 信息安全服务分类与代码 学习笔记

通用内容

比较好的写文档规范,供大家参考
定义和术语: 国家标准当中涉及到的相关专业名称,都会有一个定义,防止出现理解上的歧义
结构层次: 一般有个当前文档的完整结构,可以是图,可以是表,让没有时间的人,可以快速了解内容
附件表格: 表格可能是文档必备,制度文档需要落地,都需要对应的检测表
参考文档: 每个标准都是建立在其他标准之上的,将会提高自身的权威性
内容全面: 写的内容基本上符合内容相关独立,完全穷尽的原则,比如信息安全运营服务和其他信息安全运营服务

GB/T 30283-2022 信息安全技术 信息安全服务分类与代码 概览

代码 类别名称 目标对象
A 信息安全咨询服务 需方的信息系统及其所支持的业务和管理
A01 信息安全规划咨询
A02 信息安全设计咨询
A03 信息安全管理体系咨询
A04 信息安全工程监理
A05 信息安全测试评估
A0501 信息安全风险评估
A0599 其他信息安全风险评估
A06 信息安全培训
A0601 信息安全意识培训
A0602 信息安全基础培训
A0603 信息安全专业培训
A99 其他信息安全咨询服务
B 信息安全设计与开发服务 需方的业务和安全需求
B01 信息安全系统设计
B02 信息安全开发
B99 其他信息安全设计与开发服务
C 信息安全集成服务 需方的信息安全系统及软硬件基础设施
C01 信息安全硬件集成
C02 信息安全软件集成
C99 其他信息安全集成服务
D 信息安全运营服务 需方的信息胸及其所支持的业务和管理
D01 信息安全监测
D02 信息安全检查
D03 威胁信息共享
D04 信息安全分析
D05 信息安全报送
D06 恶意代码防范和处理
D07 信息安全应急响应
D08 信息安全演练
D09 信息安全调查取证
D10 信息安全加固
D11 信息安全运维规范管理
D12 信息安全审计
D13 身份管理
D14 备份和恢复
D99 其他信息安全运营服务
E 信息的安全处理和存储服务 信息系统及设备所涉及的安全信息和数据
E01 数据安全保护
E02 信息安全租赁
E03 网络信息内容审核
E99 其他信息的安全处理和存储服务
F 信息安全测评与认证服务 需方的信息安全系统、服务资质、管理体系、人员等
F01 信息安全测评
F0101 信息安全产品测评
F0102 信息安全服务资质测评
F0103 信息安全人员测评
F0104 等级保护测评
F0105 分级保护测评
F0106 密码测评
F0199 其他信息安全测评服务
F02 信息安全认证
F0201 信息安全产品认证
F0202 信息安全管理体系认证
F0203 信息安全服务资质认证
F0204 信息安全人员认证
F0299 其他信息安全认证服务
F99 其他信息安全测评与认证服务
Z 其他信息按期服务

注:目标对象 每个大类是一个目标对象,由于表格不容易合并,请见谅

内容解读

本制度对信息安全技术进行分类,主要包括大类和小类,应该是以信息安全建设的流程为主线,是咨询、设计和开发、集成、运营、维护(数据安全处理和存储)、评估(测评和认证)比较容易记忆

每项大类和子类都进行了专业定义,比如
信息安全系统设计
主要是针对需方不能通过采购现有信息安全系统或产品予以满足的安全需求,由供方按照需求分析、概要设计、详细设计等流程设计信息安全系统,可按照GB/T 38674-2020 提出的应用软件安全编程的通用框架要求,并结合需方应用环境的特性,提出安全防护设计要求,以指导后续的信息安全开发。信息安全系统设计一般包括安全实现技术框架设计、安全功能设计、性能要求设计等

信息安全开发
信息安全开发主要针对需方不能通过采购现有信息安全系统或产品予以满足的安全需求,由供方在信息安全系统设计的基础上,按照安全要求确认、安全基线要求确定、设计要求确认、安全策略制定、威胁建模、安全编码规范设计、事件响应计划制定、最终安全评估等软件安全开发流程开发信息安全系统或产品,并可按照GB/T 38674-2020提出的应用软件安全编程通用框架的要求,采取相应的措施保障信息安全系统或产品的安全性,以满足需方特定的安全要求并最大程度地减少信息安全系统或产品的安全缺陷。信息安全开发也可以基于已有的信息安全系统或产品进行二次开发。

对于写材料下定义,还是比较不错的参考,但只能是参考,有些定义引入了其他国标,有些比较赘述。

原始文档下载

GB/T 30283-2022 信息安全技术 信息安全服务分类与代码 原始文档下载

你可能感兴趣的:(信息安全国标 30283-2022 信息安全服务分类与代码 学习笔记)