3 術語和定義

3.1 信息安全服務 information security service

面向組織或個人的各類信息安全需求和信息安全保障需求，由服務提供方按照服務協議所執行的一個信息安全過程或任務。
注1：信息安全服務通常是基于信息安全技術、產品或管理體系的，通過外包的形式，由專業信息安全人員所提供的支持和幫助。

3.2 信息安全服務需求方 information security service acquirer

獲取外部所提供的信息安全服務，以滿足信息安全需求和信息安全保障需求，實現自身業務目標的組織（或個人用戶）。

3.3 信息安全服務提供方 information security service provider

按照服務協議，通過專業的信息安全人員提供信息安全服務的組織。

3.4 服務協議 service agreement

服務需求方和服務提供方在服務開始前共同簽署的約定，并在服務過程中共同遵守。

3.5 服務級別 service level

在服務協議中對服務交付成果明確約定、可測量和文檔化的一系列服務指標。

3.6 服務目錄 service catalogue

在服務協議中明確展示服務內容、服務形式、服務價格、服務交付成果和服務級別等的一份列表。

3.7 服務組合 service portfolio

多個服務類別或服務項目以及其他工作的集合。

3.8 供應鏈 supply chain

通過多個資源和過程聯系在一起的一系列組織，根據由服務協議或其他采購協議建立連續的供應關系，每個組織充當一個需求方、提供方或雙重角色。

3.9 可視性 visibility

系統或過程所具備的可以對系統元素和過程進行記錄、監視和檢查的屬性。

3.10 服務要素 service factors

設計和實施服務的關鍵要素，包括服務人員、服務流程、服務工具、規章，以及其他服務所需的資源。

3.11 服務方案 service plans

基于服務目標，對服務各階段中所需執行的過程、任務、活動以及相關服務要素、服務級別進行詳細描述的文檔。

3.12 服務工具 service tools

為達成服務目標或提高服務質量和效率所需要的設備、軟件、模板、知識庫等。

3.13 服務變更 service change

任何可能對服務產生影響的新增、修改或解除的活動。