信息安全漏洞扫描

ICS点击此处添加中国标准文献分类号中华人民共和国国家标准GB/TXXXXX—XXXX信息安全技术信息安全服务定义和分类Informationsecuritytechnology-DefinitionandCategoryofinformationsecurityservice点击此处添加与国际标准一致性程度的标识XXXX-XX-XX发布XXXX-XX-XX实施目次前言III1范围12规范性引用文件13术语和定义14信息安全服务模型35信息安全服务分类36信息安全咨询服务46.
1概述46.
2信息安全规划56.
3信息安全管理体系咨询56.
4信息安全风险评估56.
5信息安全应急管理咨询56.
6业务连续性管理咨询57信息安全实施服务67.
1概述67.
2信息安全设计67.
3信息安全产品部署67.
4信息安全开发67.
5信息安全加固和优化67.
6信息安全检查67.
7信息安全测试77.
8信息安全监控77.
9信息安全应急处理77.
10信息安全通告77.
11备份和恢复77.
12数据修复87.
13电子认证服务88信息安全培训服务89第三方信息安全服务89.
1概述89.
2信息安全测评89.
3信息安全监理99.
4信息安全审计910信息安全服务特点9附录A(规范性附录)信息安全服务的采购10附录B(资料性附录)信息安全服务与信息系统生命周期的对应关系12参考文献13前言本标准由全国信息安全标准化技术委员会提出并归口;本标准起草单位:上海三零卫士信息安全有限公司…等;本标准主要起草人:…等.
信息安全技术信息安全服务定义和分类范围本标准规定了信息安全服务的定义、一般模型和主要类别,包括信息安全咨询服务、信息安全实施服务、信息安全培训服务、第三方信息安全服务和其他信息安全服务五大类.
本标准适用于各类组织或个人用户对信息安全服务的选用和采购,也适用于信息安全服务提供方提供信息安全服务和开发信息安全服务产品,以及信息安全行业对信息安全服务的分类管理.
本标准不适用于仅依附于信息安全产品的信息安全服务(如:信息安全产品的使用、维保等服务).
规范性引用文件下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅所注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
GB/T5271.
8-2001《信息技术词汇第8部分:安全》GB/T18336-2008《信息技术安全技术信息技术安全性评估准则》术语和定义信息安全服务InformationSecurityService面向组织、信息系统或相关人员的信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全过程或任务.
通常是基于信息安全技术、产品或管理体系的,通过外包的形式,由专业信息安全人员所提供的支持和帮助.
信息安全服务需求方InformationSecurityServiceDemander有偿采购(或免费使用)外部所提供的信息安全服务,以满足自身信息安全保障需求,实现自身业务目标的组织(或个人用户).
信息安全服务提供方InformationSecurityServiceProvider按照服务协议,提供信息安全服务的各类组织机构,信息安全服务提供方在每项具体的服务中,其服务角色和服务职责应该是明确的.
服务角色ServiceRoles服务提供方的服务角色分为两类:如果服务内容仅涉及供需双方的,则服务提供方为乙方角色;在上述服务的基础上,就所涉及的问题,独立于有关各方提供评估、证明等服务,则服务提供方为第三方角色.
服务角色与服务提供方的组织机构类型无关.

服务类别ServiceCategory一组具有共同目标对象和服务特征的、但侧重点可能不同的服务组件的集合.
服务组件ServiceComponent可包含在服务协议中的最小可选服务.
服务实例ServiceInstance为满足某一确定的安全保障目的而组合在一起的,一组可重用的服务组件.
信息安全咨询服务InformationSecurityConsultingService面向组织的信息安全服务,围绕组织信息系统所支持的业务和管理,通过知识传递、工作辅导和系统规划等形式提供信息安全服务.
信息安全实施服务InformationSecurityImplementationService面向组织或个人用户的信息安全服务,围绕组织信息系统或个人信息设备,及其基础设施、业务应用和信息数据的安全和可用,通过人力派遣、设施租用、流程外包等形式提供信息安全服务.
信息安全培训服务InformationSecurityTrainingService面向个人或组织内人员的信息安全服务,围绕信息安全意识、技术、管理等方面,通过授课、实操、考核等形成提供信息安全服务.
第三方信息安全服务Third-partyInformationSecurityService面向组织及其信息系统的信息安全服务,根据相关法律法规、政策、标准中,对组织、信息系统、信息安全产品或人员的信息安全要求,提供基于第三方角色的独立服务(建立在乙方服务的基础之上),以确保相关方的质量、责任、要求得到了有效保障.

信息安全服务模型本标准采用"服务类别--服务组件"这种层次结构来描述服务分类.
基于这种分类,常见的信息安全服务均可以服务实例的形式,由一个或多个服务类别或者(及其)服务组件所构成,某些还可能包含本标准不涉及的其他扩展的服务.

图1信息安全服务模型信息安全服务模型还描述了信息安全服务中各相关方的角色和相互关系.
信息安全服务需求方可分为组织和个人两类.
信息安全服务提供方按照服务角色,可分为乙方服务和第三方服务两类,都是通过专业的信息安全人员向组织和个人提供,基于信息安全技术、信息安全产品或信息安全管理体系的咨询、实施、培训、评估、证明等服务.
信息安全管理部门对信息安全服务提供方进行行业管理,并为信息安全服务需求方提供相关的法律、法规、政策、标准等指导和支持.

信息安全服务分类信息安全服务分类的原则是:将相对独立的服务尽量细分为服务组件,将具有相同或相近服务界面(服务供需关系、服务目标对象、服务特征和服务质量要素等)的服务组件归并为同一服务类别.
本标准采用层次代码结构,共分二层,第一层采用一位字母表示信息安全服务类别,第二层采用两位数字表示信息安全服务组件,第二层中数字为"99"均表示收容类目.
代码的表示形式如下:表1信息安全服务分类服务类别服务组件目标对象代码名称代码名称A信息安全咨询服务A01信息安全规划组织的信息系统及其所支持的业务和管理A02信息安全管理体系咨询A03信息安全风险评估A04信息安全应急管理咨询A05业务连续性管理咨询A99其他信息安全咨询服务B信息安全实施服务B01信息安全设计组织的信息系统;个人的信息设备B02信息安全产品部署B03信息安全开发B04信息安全加固和优化B05信息安全检查B06信息安全测试B07信息安全监控B08信息安全应急处理B09信息安全通告B10备份和恢复B11数据修复B12电子认证服务B99其他信息安全实施服务C信息安全培训服务C01信息安全培训信息安全相关人员D第三方信息安全服务D01信息安全测评信息系统、信息安全产品D02信息安全监理信息系统D03信息安全审计组织、信息系统D99其他第三方信息安全服务Z其他信息安全服务信息安全咨询服务概述信息安全咨询服务是以组织整体为出发点,基于对组织的使命、业务、职责、环境等分析研究,以人力的方式来提供相关的咨询,其服务交付物通常是一些文档.
服务提供方提供信息安全领域的知识传递、工作辅导、系统规划等服务内容,以满足组织对外部"专业知识"的需求,从而提高自身的信息安全管理、规划、分析和决策能力.

信息安全咨询服务的质量首先取决于服务人员的专业知识、经验的丰富程度,其次取决于服务人员的理解能力、分析能力和沟通能力.
服务人员与组织内有关人员(尤其是信息安全责任部门人员)的有效交互过程是咨询服务成败的关键.

信息安全咨询服务包括:信息安全规划、信息安全管理体系咨询、信息安全风险评估、信息安全应急管理咨询、业务连续性管理咨询等.
信息安全规划信息安全规划主要是从组织核心业务、核心价值出发,根据组织的发展战略,通过风险评估等方式提取组织的安全需求,对相应的安全保障目标、任务、措施和步骤进行规划.
信息安全规划应站在组织整体的角度,从策略、组织、管理、技术、资源等多方面进行综合考虑,涉及综合管理、技术规范、工程建设、运行维护等多个层面.
信息安全规划的成果,是组织在一段时间内开展信息安全保障工作的依据.

信息安全管理体系咨询信息安全管理体系咨询主要是依照国际或国家信息安全管理体系相关标准,基于业务风险方法,通过定义范围和方针、业务分析、风险评估、设计、实施等步骤,面向组织建立、实施、运行、监视、评审、保持和改进信息安全的体系.
信息安全管理体系是一个组织整个管理体系的一部分,应包括组织结构、方针策略、规划活动、职责、实践、规程、过程和资源等多个方面.

信息安全风险评估信息安全风险评估主要是依据有关信息安全技术与管理标准,从风险管理角度,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程,通过评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,并提出有针对性的抵御威胁的防护对策和整改措施.
信息安全风险评估应贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段.

信息安全应急管理咨询信息安全应急管理咨询主要是针对各类各级信息安全事件,从应急管理角度,通过编制应急预案和指导应急演练,面向组织建立信息安全应急管理体系,不断进行改进和提高,应急预案的内容包括:建立组织的应急响应小组,制定应急响应流程,建立监测和预警机制,落实应急保障资源,制定子预案及相关支持文档,以及指导实施应急处理(参见7.
9)等.

业务连续性管理咨询业务连续性管理咨询主要是为保护组织的核心业务、核心价值,从保障组织的业务持续开展出发,通过识别组织业务的连续性指标要求,识别潜在的威胁和相关影响,制订业务连续性计划和灾难恢复计划,最终帮助组织建立一套综合管理流程,形成组织的业务保持和恢复能力,提高组织的风险防范能力,有效地响应非计划的业务破坏并降低不良影响.

信息安全实施服务概述信息安全实施服务是指针对具体的信息系统,基于对信息系统全生命周期的信息安全保障,为系统的建设和运行提供相关的实现.
服务提供方提供与信息安全相关的技术保障、管理保障等直接支撑,以满足组织(或个人)对专业技能、专业人员、专业工具的需求,从而保障信息系统整体或各层面的安全性.

信息安全实施服务对于服务提供方具有较高的重复性,其服务质量取决于服务提供方的整体能力和服务成熟度,主要包括:组织管理、专业知识、技术能力、人员素质、工具平台、服务经验、外部资源等方面.
服务需求方的积极参与可以提高实施服务成效.

信息安全实施服务包括:信息安全设计、信息安全产品部署、信息安全开发、信息安全加固和优化、信息安全检查、信息安全测试、信息安全监控、信息安全应急处理、信息安全通告、备份和恢复、数据修复、电子认证服务等.

信息安全设计信息安全设计主要是针对信息系统的安全保障需求,对组织的安全规划进行落实,设计总体安全策略、制定信息安全建设方案和实施方案,并在此基础上形成安全架构、技术体系和管理体系的设计.
信息安全设计一般可分为顶层设计、初步设计和详细设计等不同的服务交付物.
信息安全设计还可以包含对信息安全产品的功能和性能设计,以及选型建议.

信息安全产品部署信息安全产品部署主要是根据信息系统安全设计方案,对已采购、租用或开发的信息安全产品进行安装、调试和配置,以及对相关人员的必要培训等,一般包括各类信息安全产品的独立部署、各自部署或者组合部署(集成部署).

信息安全产品部署还可以包含对信息安全产品的采购,即按照设计方案中的要求,依据相关主管部门的管理要求,以产品性价比为原则,完成产品及其后续服务的采购.
信息安全开发信息安全开发主要是按照信息安全设计方案的安全目标和安全功能,对于一些不能通过采购现有信息安全产品来满足的安全需求,通过定制开发而予以满足.
信息安全开发也可以基于已有的信息安全产品进行二次开发.

信息安全加固和优化信息安全加固主要是针对组织在实施风险评估、安全检查或安全测试过程中发现的各种安全风险、系统漏洞和不符合项,依据既定的信息安全策略,采取措施予以弥补,消除已暴露的问题和可能的隐患.
信息安全优化主要是基于风险评估等方法,对现有网络和系统架构进行调整和优化,或对现有设备的安全策略进行设置和调整.
在实际服务中,信息安全加固和信息安全优化往往同时进行.

信息安全检查信息安全检查主要是针对组织部署的信息安全技术措施及其运行记录进行检查或审查,验证安全措施的完整性和有效性,并及时发现异常活动和潜在风险.
一般包括了对物理环境、网络设备、安全设备、服务器及操作系统、系统平台、应用系统、数据存储等信息系统各层面的运行状态检查、配置项检查、日志分析等,也包括借助专门的安全审计设备来实施检查.
信息安全检查还可以包含对信息安全管理措施和相关人员的检查.

信息安全测试信息安全测试主要是针对信息系统及其产品的安全属性,采取动态的手段进行问题发现、符合性和有效性验证.
一般包括信息安全产品调试、信息系统测试、漏洞扫描和渗透性测试等.
信息安全产品调试是指对已部署的信息安全产品进行相应的功能调试和性能测试,以达到预期的安全要求.
信息系统测试是指将已经确认的软件、计算机硬件、外设、网络等其他元素结合在一起,进行信息系统的各种组装测试和确认测试,发现所开发的系统与安全需求不符或矛盾的地方,从而提出安全整改方案.
漏洞扫描服务是指借助一些专业的漏洞扫描工具,发掘组织信息系统各层面存在的安全漏洞,包括网络设备、主机操作系统、主流应用系统等漏洞,为信息安全加固提供支持信息.
渗透性测试是指信息安全服务提供者的专业人员模拟攻击行为,对目标系统实施渗透,意图找到"非法"进入目标系统并取得相关权限的途径,从而测试目标系统安全控制措施的有效性.

信息安全监控信息安全监控主要是通过监控工具或平台,对信息系统的环境、网络、主机、系统和应用等进行实时监控,查看各个系统组件的功能、性能、运行状况等,检查设备、系统和应用的日志,一旦发现异常情况,可以采取措施解决,或者启动应急响应等服务.
信息安全监控还可以包含对信息安全事件的预警功能.

信息安全监控一般可以分为现场监控和远程监控两种方式.
现场监控是由服务提供方的驻场人员为组织承担系统维护和管理的任务,对组织的信息系统实施监控.
远程监控是由服务提供方在远程的安全运行中心(SOC)中进行,一般需要有加密的网络连接,并在组织的信息系统上安装一些监控软件.

信息安全应急处理信息安全应急处理主要是根据组织信息安全应急管理体系,针对各类突发信息安全事件,提供实施层面的应急响应和应急演练.
应急响应是对已发生的各类信息安全事件作出快速响应,及时而有效进行事件处理,最大程度上减少损失和该事件造成的消极影响,响应的方式可以按事件特点和级别,可以分为现场和远程两种.
应急演练是根据组织已有的应急预案,在设备、系统、业务、组织等不同层面进行测试和演练,从而提高组织的应对各类突发信息安全事件的能力,演练的方式可分为桌面演练、模拟演练和实战演练.

信息安全通告信息安全通告主要是在通告服务提供方与服务需求方之间,建立一种紧密的信息发布和沟通渠道,以便最新的信息安全信息能够被组织或个人获知,并及时采取控制措施来预防自身信息安全事件的发生.
信息安全通告的服务提供方可以是权威专业组织、IT产品厂商或信息安全厂商等.
安全通告服务的内容主要包括:漏洞信息、威胁信息、病毒信息、预警消息、重大事件和问题通告等,以及相应的解决方案.

备份和恢复备份和恢复是为了防止信息系统及其应用和数据等,因信息安全事件或灾难而造成的丢失或损坏,从而在原文中独立出来单独存储的程序或文件副本,并在系统出现故障或瘫痪时,能够及时恢复系统及其应用和数据,将信息系统从故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从不正常状态恢复到可接受状态.
备份和恢复还应包括对备份介质和链路的定期测试、恢复的定期演练.

数据修复数据修复服务主要指对由有害程序、系统故障、误操作、升级或安装软件错误、人为故意破坏等安全事件造成的逻辑损坏或数据丢失,或由电击、水淹、火烧、震荡、撞击、机械故障等意外事故造成物理损坏或数据丢失,而进行数据抢救和修复的专业服务.

电子认证服务电子认证服务主要指电子认证机构所提供的申请人身份核实、签发和管理证书、证书目录查询和证书状态查询、维护证书失效列表、发布时间标签、数据电文可靠性等服务.
电子认证服务的本质在于电子认证机构为证书拥有人所提供的一种网络身份及电子签名的真实性、有效性保证.

信息安全培训服务信息安全培训服务面向"个人",以提高信息安全意识、完善信息安全知识、掌握信息安全技能为主要目标,为相关人员提供直接培训.
服务提供方提供信息安全意识、技术、管理、体系、工程、法律、政策和标准等方面的培训内容,通过授课、实操、考核等形式,从而提高人员的信息安全能力水平.

信息安全培训服务应根据培训目的,结合培训规模、人员基础知识、培训时间、培训条件等情况,对培训内容、培训方式、考核方式等作出针对性的培训计划并予以实施,其服务质量取决于培训的针对性、科学性和实效性.
对面向组织的统一培训,培训服务提供方还应在培训结束后,提供培训效果分析报告,以便组织掌握培训情况并对培训工作持续改进.

常见的信息安全培训服务包括:针对信息安全专业人员的资质培训、针对服务需求方特定要求的定制培训等.
第三方信息安全服务概述第三方信息安全服务面向组织及其信息系统,根据相关法律法规、政策、标准中,对组织、信息系统、信息安全产品或人员的信息安全要求,提供基于第三方角色的独立服务(建立在乙方服务的基础之上).
服务提供方就所涉及的问题,提供专业的评估或证明,以满足组织信息安全保障对外部保证的需求,从而确保相关方的质量、责任、要求得到了有效保障.

第三方信息安全服务在提供服务的同时,也承担了相关的社会责任,因此对第三方信息安全服务有着明确的资质要求,其服务质量首先取决于对规则的遵从性,其次取决于相关领域的专业能力.
第三方信息安全服务包括:信息安全测评、信息安全监理、信息安全审计等.
信息安全测评信息安全测评主要指得到相关主管部门认可的第三方测评机构,依据国家、行业和地方信息化和信息安全相关法律法规、政策和标准,按照严格的程序对产品、信息系统的安全保障能力进行科学公正的安全性测试与评估.
本标准所涉及的信息安全测评服务包括信息安全产品和IT产品测评、信息系统和工程评估等.

信息安全服务资质测评(服务能力的评估和判定)属于行业管理范畴,不在本标准规范范围中.
信息系统的安全保护等级测评参照国家相关主管部门的规定.
信息安全监理信息安全监理主要是指信息安全工程监理,即具有相关资质的监理单位受信息安全工程建设单位的委托,依据国家批准的信息化工程项目建设文件、有关工程建设的法律法规和工程建设监理合同及其他工程建设合同,尤其是依据信息安全方面的标准和要求,在工程建设各阶段向建设单位提供相关咨询,并协助建设单位对承建单位在工程建设中的信息安全实施服务,实施控制和管理的一种专业化服务活动.
信息安全监理还可以包括对信息系统运维阶段的其他信息安全实施服务进行监理.

信息安全审计信息安全审计主要是针对与信息安全有关的活动,独立进行相关信息的识别、记录、存储和分析,发现安全违规,确保各项活动符合组织已建立的安全策略和操作过程,并评估它们的有效性和准确性,提出改进建议.
具体的信息安全审计服务包括安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等.
信息安全审计还可以包括对组织的信息安全合规性进行审核的活动.

信息安全服务特点本标准所涉及的信息安全服务除了信息技术服务所具有的共同特点之外,还具有如下特点:不明确涉及财产所有权的转移;不依附于某一单独的、具体的、批量生产的信息安全产品;就某项具体的服务而言,信息安全服务提供方只能以乙方或第三方的一种角色出现;针对不同的信息安全保障需求,信息安全服务提供方可提供不同服务内容的组合;信息安全服务的形式可以分为现场服务、远程联机服务、远程非联机服务等;信息安全服务提供方应保证其服务人员、过程和工具的可信和可控;信息安全服务需求方的信息安全责任部门(或个人自身)应承担对服务的采购、管理等责任;信息安全服务提供方应接受国家信息安全管理部门的行业管理.
(规范性附录)信息安全服务的采购信息安全服务采购要素采购时机信息安全工作是组织信息化工作的重要组成部分,贯穿组织信息系统整个生命周期,因此在整个信息系统的生命周期中,组织都会根据信息安全保障需求采购信息安全服务.
根据业界的最佳实践:在信息系统规划、设计和运行阶段,采购咨询类服务较多;在信息系统建设、运行阶段,采购实施类服务和第三方服务较多;在每个阶段都有可能采购信息安全风险评估和信息安全培训服务.

采购目录由于信息安全服务对服务质量、服务可信和服务可控的高要求,预算和采购政策的管理部门,应及时制定并发布相关的信息安全服务采购目录(采购目录的服务分类应按照本标准执行),以便于组织正确采购相关的服务.

服务资质信息安全服务资质是服务提供方服务能力的一种体现形式.
对同一类服务的不同服务商,如果分别拥有不同能力级别的服务资质,则会在服务质量和服务成本上有所差异.
服务需求方应根据自身的信息安全需求,结合上级主管部门的相关要求,确定合理的服务资质准入要求.

服务价格可以根据组织级别规模、信息系统规模、信息安全保护级别,信息安全保障需求和现有水平,根据不同信息安全服务的服务界面和服务特点,综合采用定额法和比率法,分别确定面向组织和面向信息系统的信息安全服务价格(结合计价单位,确定基准价格和浮动因素).

招投标规范采购部门应根据本标准的分类,针对不同服务类别,制定相关的采购招投标规范,规范应至少对如下内容做出规定:1)服务资质(准入资质)的要求;2)服务级别协议的承诺形式和度量方法;3)服务的质量要求;4)服务的保障措施(人员、过程、工具、资源等);5)服务自身的安全要求;6)服务项目评标规则.
服务合同(采购协议)信息安全服务的服务合同应至少包括:1)服务原则:对服务提供方的原则性要求;2)服务内容:服务提供方提供的服务组件,可参照本标准二级分类;3)服务形式:服务提供方所提供服务的方式,如:现场、远程等;4)服务级别协议:评价服务效果关键指标;5)服务价格:服务提供方所提供服务的价格,含总价和分项计算依据等;6)服务交付物:服务过程中、服务结束后,服务提供方需要提供的文档、记录、数据、成果等;7)服务安全要求:对服务人员、服务过程、服务工具、服务数据保护等作出明确要求.
信息安全服务实例作为最常见的信息安全服务采购,信息安全服务实例是由信息安全服务类别及其服务组件所构成的,典型的信息安全服务实例与其可能包含的服务组件之间的关系如表A.
1所示.
典型的信息安全服务实例服务实例对应的服务组件(代码)安全咨询A02、C01风险评估A03安全集成B01、B02、B03、B04、B06、B10安全运维B04、B05、B06、B07、B08、B09、B10应急处理A04、B08、C01灾难恢复A05、B10、C01安全培训C01安全测评D01安全监理D02安全审计D03服务提供方会根据服务需求方的信息化现状和信息安全保障需求、结合自身的服务能力和服务特点,对服务组件进行组合(即:形成各个服务提供方的信息安全服务实例),供需求方采购,最常见的组合方式是"安全集成"和"安全运维".

典型的安全集成包括:1)信息安全设计;2)信息安全产品部署;3)信息安全测试;典型的安全运维包括:1)信息安全检查;2)信息安全监控;3)信息安全应急处理;有时在安全集成和安全运维服务过程中,还会涉及一些咨询类服务和第三方服务.
但由于这些服务与实施类服务的服务界面不同,服务需求方应尽可能将其分开采购,才可保证相关的服务质量.
(资料性附录)信息安全服务与信息系统生命周期的对应关系信息安全服务与信息系统生命周期(参照GB/T25058-2010)的对应关系,见表B.
1.
信息安全服务与信息系统生命周期的对应关系信息安全服务信息系统生命周期服务类别服务组件规划设计建设运行信息安全咨询服务信息安全规划√信息安全管理体系咨询√√信息安全风险评估√√√√信息安全应急管理咨询√√业务连续性管理咨询√√信息安全实施服务信息安全设计√信息安全产品部署√√信息安全开发√√信息安全加固和优化√√信息安全检查√信息安全测试√√信息安全监控√信息安全应急处理√信息安全通告√备份和恢复√√数据修复√电子认证服务√√信息安全培训服务信息安全培训√√√√第三方信息安全服务信息安全测评√√信息安全监理√√信息安全审计√注:本标准在服务类别中统一采用信息安全实施服务,而不直接使用"安全集成服务"、"安全运维服务"等服务实例名称,原因是安全集成服务、安全运维服务的服务内容在不同的服务场景下差异较大.
例如:安全集成服务可能包含信息安全设计、信息安全产品部署、信息安全开发等多项信息安全实施服务,也可能只包含信息安全产品部署;安全运维服务可能包含信息安全检查、信息安全监控、信息安全应急处理等多项信息安全实施服务,也可能只包含信息安全检查或应急处理服务.