[发明专利]一种面向信息服务的安全能力水平分级评估方法

权利要求书

1.一种面向信息服务的安全能力水平分级评估方法，其特征在于：该方法包括以下步骤：

步骤1、对于一个信息服务，根据其安全特征，依照信息服务安全类别表isCatgDB对其安全类别进行分类；根据其服务类别特征，依照信息服务安全支撑体系细化表isSupDet确定其运行模式，形成支撑体系子集；

步骤2、根据服务类别和信息服务安全控制表isConrDB，依照信息服务类型与安全控制点对照表isCatConr，对比得出该信息服务应测的信息服务安全控制点；将步骤1得出的支撑体系子集与此信息服务安全控制点按支撑对象与信息服务安全控制点表isDetConr横向与纵向联合，提取出该信息服务具体的信息服务安全控制点；

步骤3、根据信息服务安全技术控制点，对照信息服务安全控制点与指标项对应总表isConrIdx，通用和扩展该信息服务安全技术控制点，得出相应的信息服务安全指标集；

步骤4、根据信息服务安全指标集，依据信息服务安全控制点与指标项对应总表isConrIdx，对信息服务安全指标集进行指标分类，分为定性指标和定量指标两种类型；

步骤5、根据信息服务安全定性指标与信息服务安全定量指标两种类型进行指标评测，得出指标评测结果，将信息服务安全能力水平划分为4个等级，根据木桶原理对每一个信息服务安全技术控制点进行评级；再对该信息服务包含的所有信息服务安全技术控制点运用木桶原理，得出最终的信息服务安全分级；

所述步骤1中，信息服务安全类别表isCatgDB包含有3种字段，分别为服务类型名称字段、服务类型解释字段、服务类型举例字段；其中服务类型名称字段根据信息服务不同的特性和业务，将信息服务分为9种不同的类型；服务类型解释字段将每种类型的信息服务的业务和特性进行总体的解释；服务类型举例字段对每种服务类型举出典型的实例；

信息服务安全支撑体系包含基础设施、服务运行、服务应用三部分，其中基础设施是指信息服务的硬件载体、计算环境、通信在内的信息服务安全支撑对象；服务运行是指服务应用程序在基础设施上运行的情况；服务应用是指信息服务的应用和访问；

信息服务安全支撑体系细化表isSupDet即为信息服务基础设施、信息服务运行、信息服务应用这三个层次所对应的支撑体系子项的集合，包含支撑对象类型和具体支撑对象名称两个字段；

所述步骤2中，服务类别和信息服务安全控制表isConrDB包含控制点名称这一个字段，描述了信息服务安全等级所需要评估的所有环节和要点；

信息服务类型与安全控制点对照表isCatConr包含信息服务类型、信息服务安全控制点两种字段，该表以信息服务类型为横轴，以信息服务安全控制表为纵轴，表示二者的对应关系；

支撑对象与信息服务安全控制点表isDetConr有支撑对象和安全控制点两种字段，以支撑对象为横轴，以安全控制点为纵轴；

信息服务类别安全特征支撑信息服务安全支撑体系，信息服务安全支撑体系与安全技术控制点为通用关系，信息服务类别安全特征映射得出安全技术控制点；

所述步骤3和4中，信息服务安全控制点与指标项对应总表isConrIdx包含指标类型、指标项、指标释意、定性/定量、信息服务安全等级对应指标五种字段；其中指标类型字段描述所有的信息服务安全技术控制点；指标项字段指的是每种控制点所对应的细化的指标；指标释义字段指的是对于每种指标的安全能力的审查；定性/定量字段描述了该指标的检查方式是定性还是定量；信息服务安全等级字段描述了每种指标所对应的安全等级，一共分为四级。

2.根据权利要求1所述的一种面向信息服务的安全能力水平分级评估方法，其特征在于：所述步骤2中，支撑即信息服务类别安全特征确定具体的支撑体系子集，即确定服务运行模式；所述映射即将信息服务类别安全特征映射到具体的安全技术控制点；所述通用即为信息服务安全支撑体系确定通用的安全技术控制点。

3.根据权利要求2所述的一种面向信息服务的安全能力水平分级评估方法，其特征在于：所述步骤3中，通用和扩展该信息服务安全技术控制点，即为将步骤2中已经得到的信息服务安全技术控制点根据信息服务安全控制点与指标项对应总表isConrIdx，得出每个安全技术控制点所对应的所有指标项集合，即所述的信息服务安全指标集。