GBT 32914-2023 信息安全技術(shù) 網(wǎng)絡(luò)安全服務(wù)能力要求

信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求2023-09-07發(fā)布2024-04-01實(shí)施國家標(biāo)準(zhǔn)化管理委員會(huì)I 2規(guī)范性引用文件 l3術(shù)語和定義 14總體要求 25一般要求 25.1基本條件 25.2組織管理 35.3項(xiàng)目管理 35.4供應(yīng)鏈管理 55.5技術(shù)能力 55.6服務(wù)工具 55.7遠(yuǎn)程服務(wù) 65.8法律保障 65.9數(shù)據(jù)安全保護(hù) 65.10服務(wù)可持續(xù)性 75.11檢測評估服務(wù)專項(xiàng)要求 75.12安全運(yùn)維服務(wù)專項(xiàng)要求 76增強(qiáng)要求 86.1基本條件 86.2組織管理 86.3供應(yīng)鏈管理 86.4技術(shù)能力 86.5服務(wù)工具 86.6數(shù)據(jù)安全保護(hù) 96.7服務(wù)可持續(xù)性 96.8安全運(yùn)維服務(wù)專項(xiàng)要求 9附錄A(資料性)網(wǎng)絡(luò)安全服務(wù)使用的常見工具類型 參考文獻(xiàn) Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T32914—2016《信息安全技術(shù)信息安全服務(wù)提供方管理要求》,與GB/T32914—2016相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如下：a)將術(shù)語“信息安全服務(wù)”更改為“網(wǎng)絡(luò)安全服務(wù)”,并更改了定義(見3.1,2016年版的3.1);b)增加了總體要求(見第4章);c)將第5章、第6章內(nèi)容更改并合并為“第5章一般要求”(見第5章，2016年版的第5章、第6章);d)增加了“供應(yīng)鏈管理”要求(見5.4);e)增加了“遠(yuǎn)程服務(wù)”要求(見5.7);f)增加了“法律保障”要求(見5.8);g)增加了“數(shù)據(jù)安全保護(hù)”要求(見5.9);h)增加了“服務(wù)可持續(xù)性”要求(見5.10);i)增加了“檢測評估服務(wù)專項(xiàng)要求”內(nèi)容(見5.11);j)增加了“安全運(yùn)維服務(wù)專項(xiàng)要求”內(nèi)容(見5.12);k)增加了“增強(qiáng)要求”內(nèi)容(見第6章);1)增加了“網(wǎng)絡(luò)安全服務(wù)使用的常見工具類型”內(nèi)容(見附錄A)。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、中國信息安全測評中心、國家信息技術(shù)安全研究中心、中國電子科技集團(tuán)公司第十五研究所(信息產(chǎn)業(yè)信息安全測評中心)、公安部第一研究所、公安部第三研究所、中國軟件評測中心(工業(yè)和信息化部軟件與集成電路促進(jìn)中心)、工業(yè)和信息化部電子第五研究所、中國信息通信研究院、國家工業(yè)信息安全發(fā)展研究中心、杭州安恒信息技術(shù)股份有限公司、北京安信天行科技有限公司、北京神州綠盟科技有限公司、全知科技(杭州)有限責(zé)任公司、廣州競遠(yuǎn)安全技術(shù)股份有限公司、中國移動(dòng)通信集團(tuán)有限公司、北京市政務(wù)信息安全保障中心(北京信息安全測評中心)、奇安信科技集團(tuán)股份有限公司、深信服科技股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京時(shí)代新威信息技術(shù)有限公司。本文件及其所代替文件的歷次版本發(fā)布情況為：——2016年首次發(fā)布為GB/T32914—2016;——本次為第一次修訂。1信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求本文件規(guī)定了網(wǎng)絡(luò)安全服務(wù)的能力要求，包括一般要求和增強(qiáng)要求。本文件適用于指導(dǎo)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開展網(wǎng)絡(luò)安全服務(wù)，以及評價(jià)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的能力水平，也可為網(wǎng)絡(luò)安全服務(wù)需求方選擇網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)時(shí)提供參考。注：本文件所述網(wǎng)絡(luò)安全服務(wù)不含涉及國家秘密的網(wǎng)絡(luò)安全服務(wù)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估方法GB/T22080信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T25069信息安全技術(shù)術(shù)語GB/T36959信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評機(jī)構(gòu)能力要求和評估規(guī)范GB/T39204—2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求GB/T42446信息安全技術(shù)網(wǎng)絡(luò)安全從業(yè)人員能力基本要求GB/T42461信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)成本度量指南國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案(2017年1月10日中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室〔2017〕4號(hào)公布)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定(2021年7月12日工業(yè)和信息化部國家互聯(lián)網(wǎng)信息辦公室公安部〔2021〕66號(hào)公布)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)(2017年6月1日國家互聯(lián)網(wǎng)信息辦公室工業(yè)和信息化部公安部國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)〔2017〕01號(hào)公布)3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。網(wǎng)絡(luò)安全服務(wù)cybersecurityservice全等服務(wù)的相關(guān)過程。注1:常見的網(wǎng)絡(luò)安全服務(wù)包括檢測評估、安全運(yùn)維和安全咨詢等。注2:網(wǎng)絡(luò)安全服務(wù)通常以供需雙方的服務(wù)項(xiàng)目形式進(jìn)行。注3:網(wǎng)絡(luò)安全等級(jí)保護(hù)測評、商用密碼應(yīng)用安全性評估屬于檢測評估服務(wù)中的特定類別服務(wù)。2網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)cybersecurityserviceprovider提供網(wǎng)絡(luò)安全服務(wù)(3.1)的組織。網(wǎng)絡(luò)安全服務(wù)需求方cybersecurityserviceacquirer獲取外部所提供的網(wǎng)絡(luò)安全服務(wù)(3.1),以滿足網(wǎng)絡(luò)安全需求，實(shí)現(xiàn)自身業(yè)務(wù)目標(biāo)的組織或個(gè)人。服務(wù)開始前供需雙方共同簽署，并在服務(wù)過程中共同遵守的約定。注：服務(wù)協(xié)議形式上是服務(wù)合同及其附屬的工作說明書。服務(wù)水平servicelevel在服務(wù)協(xié)議(3.4)中對服務(wù)交付成果明確約定、可測量和文檔化的一系列服務(wù)指標(biāo)?；诜?wù)目標(biāo)，對服務(wù)各階段中所需執(zhí)行的過程、任務(wù)、活動(dòng)以及相關(guān)服務(wù)要素(3.6)、服務(wù)水平(3.5)進(jìn)行詳細(xì)描述的文檔。4總體要求4.1網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)向網(wǎng)絡(luò)安全服務(wù)需求方提供網(wǎng)絡(luò)安全服務(wù)，應(yīng)滿足第5章的要求。網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)向?qū)W(wǎng)絡(luò)安全服務(wù)有更高要求的服務(wù)需求方(如黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者等)提供網(wǎng)絡(luò)安全服務(wù)時(shí)，還應(yīng)滿足第6章的要求。4.2網(wǎng)絡(luò)安全等級(jí)保護(hù)測評機(jī)構(gòu)的要求應(yīng)符合GB/T36959的規(guī)定。4.3商用密碼應(yīng)用安全性評估機(jī)構(gòu)的要求應(yīng)符合國家密碼管理有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的規(guī)定。5一般要求服務(wù)機(jī)構(gòu)應(yīng)具備以下基本條件：a)在中華人民共和國境內(nèi)注冊；b)法定代表人、董事、合伙人以及高層管理人員三年內(nèi)無犯罪記錄；3GB/T32914—2023注：以公司為例，高層管理人員包括總經(jīng)理、副總經(jīng)理、財(cái)務(wù)總監(jiān)、技術(shù)總監(jiān)和c)未被列入可能影響網(wǎng)絡(luò)安全服務(wù)的負(fù)面清單，如失信被執(zhí)行人名單、重大稅收違法案件當(dāng)事人名單、政府采購嚴(yán)重違法失信行為記錄名單和不可靠實(shí)體清單等；d)不存在未處理的網(wǎng)絡(luò)安全相關(guān)行政處罰和正在接受網(wǎng)絡(luò)安全審查等情形。5.2組織管理服務(wù)機(jī)構(gòu)的組織管理應(yīng)滿足以下要求：a)按照GB/T22080建立信息安全管理體系；b)設(shè)置與網(wǎng)絡(luò)安全服務(wù)規(guī)模相適應(yīng)的專業(yè)技術(shù)部門或團(tuán)隊(duì)；c)網(wǎng)絡(luò)安全服務(wù)項(xiàng)目負(fù)責(zé)人具備2年以上相應(yīng)網(wǎng)絡(luò)安全服務(wù)項(xiàng)目經(jīng)驗(yàn)；d)建立服務(wù)人員檔案，包括服務(wù)人員的資格證明、培訓(xùn)/考核記錄、技術(shù)方向和能力水平、從業(yè)經(jīng)歷、實(shí)際參與項(xiàng)目及分工等信息，檔案至少保存至服務(wù)人員離職后6年；e)服務(wù)人員具備GB/T42446規(guī)定的網(wǎng)絡(luò)安全服務(wù)相關(guān)的知識(shí)和技能要求，熟練掌握《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》等的要求，接受崗前培訓(xùn)并經(jīng)考核評定合格后上崗；注：崗位涉及使用網(wǎng)絡(luò)安全服務(wù)工具(以下簡稱“服務(wù)工具”)的，培訓(xùn)及考核內(nèi)容需涵蓋服務(wù)工具實(shí)操部分；服務(wù)工f)與服務(wù)人員簽訂保密協(xié)議，約定服務(wù)項(xiàng)目實(shí)施中的通用保密要求，并定期進(jìn)行保密教育。5.3項(xiàng)目管理5.3.1服務(wù)成本度量服務(wù)機(jī)構(gòu)應(yīng)按照GB/T42461對網(wǎng)絡(luò)安全服務(wù)項(xiàng)目的成本進(jìn)行度量后合理確定服務(wù)報(bào)價(jià)。5.3.2服務(wù)方案服務(wù)機(jī)構(gòu)的網(wǎng)絡(luò)安全服務(wù)方案應(yīng)滿足以下要求：a)在服務(wù)項(xiàng)目實(shí)施前編制網(wǎng)絡(luò)安全服務(wù)方案，并得到服務(wù)需求方的認(rèn)可；b)在服務(wù)方案中明確網(wǎng)絡(luò)安全服務(wù)范圍、服務(wù)目標(biāo)、服務(wù)依據(jù)、服務(wù)內(nèi)容及服務(wù)水平；c)在服務(wù)方案中明確服務(wù)人員(包括項(xiàng)目負(fù)責(zé)人和項(xiàng)目實(shí)施人員的職責(zé)等)、服務(wù)流程(包括計(jì)劃或進(jìn)度等)、服務(wù)環(huán)境、服務(wù)方法、服務(wù)工具以及服務(wù)保障(包括資源保障、質(zhì)量管理、保密管理和風(fēng)險(xiǎn)控制等)等服務(wù)要素。注1:涉及項(xiàng)目實(shí)施人員及職責(zé)的，具體到個(gè)人身份，并提供聯(lián)系方式。注2:涉及服務(wù)流程中計(jì)劃或進(jìn)度的，至少具體到月份。5.3.3服務(wù)實(shí)施服務(wù)機(jī)構(gòu)在服務(wù)實(shí)施過程中的要求包括以下內(nèi)容。b)應(yīng)建立服務(wù)變更管理流程，變更前與服務(wù)需求方就具體事項(xiàng)主動(dòng)溝通，經(jīng)服務(wù)需求方同意后，確保服務(wù)變更以受控的方式得到評估、批準(zhǔn)和實(shí)施；服務(wù)變更后對服務(wù)目標(biāo)、服務(wù)水平、服務(wù)需求方系統(tǒng)和業(yè)務(wù)造成影響的，應(yīng)進(jìn)行針對性的改進(jìn)、補(bǔ)救或恢復(fù)。c)應(yīng)建立項(xiàng)目應(yīng)急處置機(jī)制，確定雙方的接口人，及時(shí)處理服務(wù)實(shí)施過程中產(chǎn)生的投訴、爭議和突發(fā)事件等，并形成處置結(jié)論或解決方案。d)在服務(wù)過程中發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，應(yīng)及時(shí)向服務(wù)需求方報(bào)告安全事件情況，并根據(jù)國家網(wǎng)絡(luò)安4全事件報(bào)告的有關(guān)規(guī)定報(bào)告安全事件。如網(wǎng)絡(luò)安全服務(wù)涉及網(wǎng)絡(luò)安全事件處置，應(yīng)協(xié)助服務(wù)需求方根據(jù)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》及相關(guān)規(guī)定處置，并在服務(wù)需求方的服務(wù)器和終端等存儲(chǔ)媒介妥善留存事件處置記錄(包括事件原因、事件經(jīng)過、事件影響、處置人員和處置結(jié)果等)和相關(guān)原始數(shù)據(jù)(如行為日志、網(wǎng)絡(luò)數(shù)據(jù)包和有害程序樣本等)。e)在服務(wù)過程中發(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品(含硬件和軟件)的網(wǎng)絡(luò)安全漏洞時(shí)，應(yīng)及時(shí)向服務(wù)需求方報(bào)告。涉及通用產(chǎn)品、其上游產(chǎn)品或者組件的，應(yīng)根據(jù)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》進(jìn)行報(bào)告。注：通用產(chǎn)品是指已公開銷售或開放授權(quán)，且被廣泛應(yīng)用的產(chǎn)品。f)應(yīng)對服務(wù)過程中的關(guān)鍵活動(dòng)進(jìn)行記錄，包括但不限于：1)服務(wù)變更記錄；2)接收數(shù)據(jù)和資料的記錄；3)引入的供應(yīng)商產(chǎn)品(包括名稱、標(biāo)識(shí)和版本)以及服務(wù)人員(名單);4)與關(guān)鍵人員溝通和訪談的記錄；5)關(guān)鍵安全策略變更記錄；6)進(jìn)行補(bǔ)丁更新和系統(tǒng)加固的記錄；7)與漏洞和安全事件處置有關(guān)的記錄。g)建立、維護(hù)服務(wù)檔案(包括服務(wù)方案和服務(wù)記錄等),且檔案至少保存6年，有關(guān)法律法規(guī)和行業(yè)管理另有規(guī)定的除外。h)不應(yīng)轉(zhuǎn)包網(wǎng)絡(luò)安全服務(wù)。分包網(wǎng)絡(luò)安全服務(wù)時(shí)，確保服務(wù)需求方事前書面同意，分包的服務(wù)內(nèi)容應(yīng)通過服務(wù)協(xié)議將網(wǎng)絡(luò)安全服務(wù)的目標(biāo)、責(zé)任和要求有效傳遞到涉及的供應(yīng)商，并對其履約情況進(jìn)行監(jiān)督。服務(wù)機(jī)構(gòu)在服務(wù)過程中的風(fēng)險(xiǎn)控制應(yīng)滿足以下要求：a)識(shí)別服務(wù)要素產(chǎn)生的風(fēng)險(xiǎn)，提出應(yīng)對措施并確認(rèn)其有效性；b)服務(wù)過程中的操作可能對服務(wù)需求方系統(tǒng)的功能和性能，數(shù)據(jù)的保密性、完整性、可用性和真實(shí)性等造成影響的，需向服務(wù)需求方進(jìn)行風(fēng)險(xiǎn)提示，經(jīng)服務(wù)需求方同意并采取風(fēng)險(xiǎn)規(guī)避措施(如在測試環(huán)境中仿真驗(yàn)證、進(jìn)行系統(tǒng)和數(shù)據(jù)備份等)后方能實(shí)施；c)采取必要的監(jiān)督機(jī)制或?qū)徲?jì)措施，確保服務(wù)人員對系統(tǒng)和數(shù)據(jù)的操作不超出服務(wù)協(xié)議及服務(wù)需求方授權(quán)的范圍；d)對于可能影響網(wǎng)絡(luò)安全服務(wù)質(zhì)量的重大事項(xiàng)，如項(xiàng)目負(fù)責(zé)人及關(guān)鍵服務(wù)人員變更、服務(wù)機(jī)構(gòu)業(yè)務(wù)轉(zhuǎn)型、合并重組和投資并購等，提前向服務(wù)需求方報(bào)告。服務(wù)機(jī)構(gòu)交付服務(wù)成果應(yīng)滿足以下要求：a)按服務(wù)協(xié)議中所規(guī)定的關(guān)鍵節(jié)點(diǎn)，提交服務(wù)交付成果，如服務(wù)方案、服務(wù)過程文檔和記錄、服務(wù)報(bào)告(包括階段報(bào)告、總結(jié)報(bào)告和驗(yàn)收報(bào)告等),并得到服務(wù)需求方的確認(rèn)；b)保證所有服務(wù)交付成果的真實(shí)性、準(zhǔn)確性和完整性，能清晰闡明其中的依據(jù)、組成、結(jié)論、措施、數(shù)據(jù)來源及支撐材料等內(nèi)容；c)完成服務(wù)交付后，根據(jù)與服務(wù)需求方的約定，主動(dòng)將服務(wù)需求方提供的數(shù)據(jù)、資料、訪問憑證，開通的賬號(hào)和部署的工具等進(jìn)行交還、清理或卸載，并向服務(wù)需求方提供由項(xiàng)目服務(wù)人員簽字的承諾或確認(rèn)函。55.4供應(yīng)鏈管理服務(wù)機(jī)構(gòu)的供應(yīng)鏈管理應(yīng)滿足以下要求：a)建立統(tǒng)一的采購和供應(yīng)鏈管理制度，對供應(yīng)商的基本條件、供應(yīng)過程、供應(yīng)變更等進(jìn)行審核、監(jiān)督和管理，基本條件滿足5.1c)和d)中的條件；b)對長期使用、依賴度高的產(chǎn)品和服務(wù)建立合格供應(yīng)商目錄，且同類產(chǎn)品和服務(wù)有多個(gè)合格供應(yīng)商；c)要求供應(yīng)商聲明不非法獲取服務(wù)需求方數(shù)據(jù)、控制和操縱服務(wù)需求方系統(tǒng)和設(shè)備，或利用服務(wù)需求方對產(chǎn)品的依賴性謀取不正當(dāng)利益或者迫使更新?lián)Q代；注：聲明的方式包括在合同內(nèi)容中體現(xiàn)、簽署專門的承諾書等。d)在服務(wù)過程中需要引入供應(yīng)商人員的，按照5.2對相關(guān)人員進(jìn)行篩選、考核和管理；e)在獲知供應(yīng)鏈相關(guān)的安全事件信息或威脅信息后，采取更新、中止或替換供應(yīng)商等針對性的應(yīng)f)建立和維護(hù)供應(yīng)過程檔案，記錄所有供應(yīng)商6年內(nèi)提供產(chǎn)品的名稱、標(biāo)識(shí)、版本、產(chǎn)地和生產(chǎn)商，服務(wù)的名稱、涉及的人員名單及其簡歷等信息。服務(wù)機(jī)構(gòu)的技術(shù)能力要求包括以下內(nèi)容。a)應(yīng)對已開展的網(wǎng)絡(luò)安全服務(wù)形成技術(shù)指導(dǎo)文檔(包括技術(shù)規(guī)范、操作指引和用例集等),編制技術(shù)指導(dǎo)文檔應(yīng)重點(diǎn)關(guān)注以下內(nèi)容：1)網(wǎng)絡(luò)安全服務(wù)相關(guān)法律法規(guī)、標(biāo)準(zhǔn)等中的要求、最佳實(shí)踐等內(nèi)容；2)國內(nèi)外權(quán)威機(jī)構(gòu)發(fā)布的安全態(tài)勢報(bào)告、漏洞公告、突發(fā)安全事件報(bào)告等中的最新安全威脅分析方法、脆弱性識(shí)別方法、安全加固指引等內(nèi)容；3)國內(nèi)外網(wǎng)絡(luò)安全技術(shù)等的發(fā)展動(dòng)向中關(guān)于安全控制、技術(shù)解決方案等內(nèi)容。b)服務(wù)內(nèi)容涉及網(wǎng)絡(luò)安全事件處置的，應(yīng)根據(jù)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》及相關(guān)國家標(biāo)準(zhǔn)要求，建立網(wǎng)絡(luò)安全事件處置所需的技術(shù)能力，如編制相關(guān)工作程序、開展知識(shí)技能培訓(xùn)和進(jìn)行實(shí)操演練等。c)開展網(wǎng)絡(luò)安全服務(wù)過程中，涉及使用密碼的，應(yīng)符合國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)規(guī)范要求。5.6服務(wù)工具服務(wù)機(jī)構(gòu)在服務(wù)過程中使用服務(wù)工具的要求包括以下內(nèi)容：a)服務(wù)工具被有關(guān)部門通報(bào)或從其他渠道獲知(如行業(yè)曝光等)存在安全問題的，應(yīng)立即停止使用直至問題被修復(fù)；注：經(jīng)確認(rèn)工具的版本不屬于涉及安全問題的版本，或經(jīng)證明問題不存在的除外。b)服務(wù)工具為《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)》中的，應(yīng)已通過國家檢測認(rèn)證；c)應(yīng)確保服務(wù)工具的合法版權(quán)且授權(quán)在有效期內(nèi)，運(yùn)行狀態(tài)良好，并持續(xù)更新和升級(jí)；涉及模板和知識(shí)庫的，應(yīng)根據(jù)相關(guān)法律法規(guī)、標(biāo)準(zhǔn)及時(shí)更新；d)應(yīng)明確服務(wù)工具的使用方法，對工具使用人員進(jìn)行培訓(xùn)，避免因不當(dāng)操作對服務(wù)需求方系統(tǒng)、業(yè)務(wù)和數(shù)據(jù)造成影響；e)應(yīng)根據(jù)服務(wù)項(xiàng)目對服務(wù)工具使用權(quán)限進(jìn)行分離，防止非授權(quán)服務(wù)人員使用服務(wù)工具的功能、訪問工具中的日志和報(bào)告等數(shù)據(jù)；6f)應(yīng)定期檢驗(yàn)服務(wù)工具的安全性，如對工具進(jìn)行殺毒、對工具產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行分析等，避免工具存在影響安全性的組件或功能，如隱蔽的鏈接、協(xié)議或端口等；g)應(yīng)關(guān)注服務(wù)工具及其組件的安全漏洞公告和相關(guān)信息，在發(fā)現(xiàn)漏洞被披露時(shí)，應(yīng)第一時(shí)間評估漏洞的影響，在不影響服務(wù)需求方系統(tǒng)和業(yè)務(wù)等的前提下，采取更新補(bǔ)丁或下線工具等措施；h)應(yīng)確保使用服務(wù)工具的過程不會(huì)對服務(wù)需求方系統(tǒng)邊界安全措施造成影響(如服務(wù)需求方系統(tǒng)被服務(wù)工具以外的其他非授權(quán)工具、終端或第三方系統(tǒng)繞過邊界防護(hù)措施直接訪問)。5.7遠(yuǎn)程服務(wù)服務(wù)機(jī)構(gòu)需要遠(yuǎn)程提供服務(wù)的(如遠(yuǎn)程操作服務(wù)工具和登錄服務(wù)需求方系統(tǒng)等),應(yīng)在服務(wù)需求方和服務(wù)機(jī)構(gòu)雙方約定下滿足以下要求：a)對遠(yuǎn)程登錄操作人員進(jìn)行實(shí)名登記，分配僅能自用的賬號(hào)；b)對遠(yuǎn)程登錄操作人員進(jìn)行身份鑒別，為賬號(hào)設(shè)置復(fù)雜度高(如長度不少于12位，包含大寫字母、小寫字母、數(shù)字和特殊字符等三種以上的字符類型)的口令并定期更換；c)遠(yuǎn)程登錄操作僅限于指定的終端及客戶端(如有),并對權(quán)限范圍和時(shí)間周期進(jìn)行限制；d)遠(yuǎn)程登錄操作時(shí)，采用密碼技術(shù)建立安全的信息傳輸通道，保證通信過程中數(shù)據(jù)的保密性和完e)至少留存6個(gè)月內(nèi)遠(yuǎn)程操作的日志，定期對日志進(jìn)行審計(jì)，審計(jì)過程中發(fā)現(xiàn)存在網(wǎng)絡(luò)安全事件的按照5.3.3d)的規(guī)定處置。5.8法律保障服務(wù)機(jī)構(gòu)的法律保障要求包括以下內(nèi)容。a)應(yīng)由專業(yè)法務(wù)人員審核網(wǎng)絡(luò)安全服務(wù)協(xié)議。b)應(yīng)在服務(wù)協(xié)議中明確以下內(nèi)容：1)服務(wù)機(jī)構(gòu)與服務(wù)需求方雙方的責(zé)任邊界；3)網(wǎng)絡(luò)安全服務(wù)的數(shù)據(jù)安全保護(hù)、項(xiàng)目成果知識(shí)產(chǎn)權(quán)歸屬和保密承諾等條款；注：數(shù)據(jù)安全保護(hù)條款具體見5.9a)。4)體現(xiàn)因需遵循的法律法規(guī)、政策變化影響而造成服務(wù)中斷、停止服務(wù)或退出市場等的相關(guān)條款及相應(yīng)責(zé)任。5.9數(shù)據(jù)安全保護(hù)服務(wù)機(jī)構(gòu)對服務(wù)過程中獲取的數(shù)據(jù)(包括原始數(shù)據(jù)和加工分析產(chǎn)生的數(shù)據(jù)等)進(jìn)行安全保護(hù)的要求包括以下內(nèi)容。a)在服務(wù)實(shí)施前，應(yīng)與服務(wù)需求方明確約定數(shù)據(jù)安全保護(hù)的相關(guān)條款，包括服務(wù)過程中涉及的個(gè)人信息(如身份信息等)、業(yè)務(wù)數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、安全數(shù)據(jù)及其他相關(guān)資料的保護(hù)要求，以及數(shù)據(jù)的使用目的和周期、最小處理范圍、最小特權(quán)訪問和事后處置等保護(hù)措施。注1:約定數(shù)據(jù)安全保護(hù)的條款的方式包括在服務(wù)協(xié)議中專門體現(xiàn)或簽署單獨(dú)的數(shù)據(jù)安全保護(hù)協(xié)議。注2:現(xiàn)場提供網(wǎng)絡(luò)安全服務(wù)的，明確項(xiàng)目相關(guān)資料是否能被外帶的要求。注3:涉及紙質(zhì)資料的，明確是否可被電子化。b)不應(yīng)將網(wǎng)絡(luò)安全服務(wù)過程中獲取的數(shù)據(jù)變更目的使用，不應(yīng)向第三方提供或進(jìn)行公開，服務(wù)協(xié)議中明確授權(quán)或經(jīng)服務(wù)需求方同意的除外。c)應(yīng)采取必要的安全措施，如加密、簽名和備份等，保證所獲取數(shù)據(jù)的保密性、完整性、可用性和7真實(shí)性，未經(jīng)服務(wù)需求方同意，不應(yīng)更改、刪除和銷毀原始數(shù)據(jù)。d)因服務(wù)所需向境外提供和傳輸網(wǎng)絡(luò)安全服務(wù)過程中獲取的各類數(shù)據(jù)，應(yīng)在事前向服務(wù)需求方單獨(dú)告知出境目的、數(shù)據(jù)種類、數(shù)量、周期和接收方等情況，取得服務(wù)需求方書面同意。同時(shí)，還應(yīng)遵守?cái)?shù)據(jù)出境管理相關(guān)法律法規(guī)的要求。e)在服務(wù)實(shí)施完成之后，應(yīng)按服務(wù)需求方和服務(wù)協(xié)議的要求，進(jìn)行數(shù)據(jù)的脫敏、移交、清理或銷毀等處理。服務(wù)需求方對處理情況提出核驗(yàn)或?qū)徲?jì)的，應(yīng)予以充分配合。注4:包括服務(wù)工具中殘留數(shù)據(jù)的處置。5.10服務(wù)可持續(xù)性服務(wù)機(jī)構(gòu)保障服務(wù)可持續(xù)性的要求包括以下內(nèi)容：a)服務(wù)終止后，可能對服務(wù)需求方系統(tǒng)、業(yè)務(wù)和數(shù)據(jù)等造成影響的，應(yīng)在服務(wù)期限到期前向服務(wù)需求方告知；b)涉及服務(wù)機(jī)構(gòu)更換的，應(yīng)根據(jù)服務(wù)需求方要求向指定的其他服務(wù)機(jī)構(gòu)移交相關(guān)的資料、賬號(hào)、證件和令牌等；c)如確有無法提供持續(xù)服務(wù)的情況，應(yīng)提前向服務(wù)需求方告知相關(guān)情況，并提出服務(wù)需求方認(rèn)可的替代或交接方案，以保障服務(wù)需求方業(yè)務(wù)的持續(xù)性。5.11檢測評估服務(wù)專項(xiàng)要求服務(wù)機(jī)構(gòu)提供檢測評估服務(wù)的專項(xiàng)要求包括以下內(nèi)容：a)服務(wù)機(jī)構(gòu)應(yīng)具備基本的檢測評估相關(guān)服務(wù)工具研發(fā)能力或二次開發(fā)能力；注：利用腳本語言編寫測試代碼等認(rèn)為是基本研發(fā)能力的體現(xiàn)。b)服務(wù)內(nèi)容涉及風(fēng)險(xiǎn)評估的，應(yīng)按照GB/T20984的規(guī)定對風(fēng)險(xiǎn)進(jìn)行識(shí)別、定性或定量分析和評價(jià)；c)開展漏洞掃描和滲透測試等可能會(huì)對服務(wù)需求方系統(tǒng)、業(yè)務(wù)和數(shù)據(jù)等造成影響的，應(yīng)向服務(wù)需求方單獨(dú)告知影響、風(fēng)險(xiǎn)及應(yīng)對措施，經(jīng)服務(wù)需求方同意后采取影響最小的方式實(shí)施；d)服務(wù)需求方要求使用測試環(huán)境進(jìn)行檢測評估時(shí)，應(yīng)分析測試環(huán)境與真實(shí)環(huán)境(如生產(chǎn)環(huán)境)的區(qū)別，向服務(wù)需求方告知檢測評估結(jié)果的適用范圍；e)應(yīng)針對檢測評估所發(fā)現(xiàn)的安全問題和風(fēng)險(xiǎn)等提出安全整改建議，并在服務(wù)需求方完成整改后驗(yàn)證整改效果，服務(wù)需求方無相關(guān)需求的除外；f)檢測評估報(bào)告等服務(wù)交付成果應(yīng)至少保存6年，有關(guān)法律法規(guī)和行業(yè)管理另有規(guī)定的除外。5.12安全運(yùn)維服務(wù)專項(xiàng)要求服務(wù)機(jī)構(gòu)提供安全運(yùn)維服務(wù)的專項(xiàng)要求包括以下內(nèi)容：a)維持安全運(yùn)維服務(wù)團(tuán)隊(duì)的穩(wěn)定性，駐場服務(wù)人員每年或單個(gè)項(xiàng)目服務(wù)期間更換比例原則上應(yīng)不超過30%;注1:如更換比例超過30%,向服務(wù)需求方告知更換服務(wù)人員的原因，以及采取何種保障措施確保服務(wù)水平不會(huì)下降。b)安全運(yùn)維服務(wù)團(tuán)隊(duì)?wèi)?yīng)具備對網(wǎng)絡(luò)攻擊行為進(jìn)行主動(dòng)發(fā)現(xiàn)、分析和提出防護(hù)建議的能力；注2:發(fā)現(xiàn)方式包括日志分析、異常文件分析、異常進(jìn)程分析、異常流量分析和威脅源分析等。c)對運(yùn)維工作記錄進(jìn)行匯總，定期向服務(wù)需求方提供安全運(yùn)維工作簡報(bào)，簡報(bào)的形式和提交時(shí)間應(yīng)在服務(wù)協(xié)議或服務(wù)方案中明確，包括日報(bào)、周報(bào)、月報(bào)、季報(bào)和年報(bào)等形式；d)應(yīng)通過運(yùn)維事件響應(yīng)和事件關(guān)閉率等可量化的指標(biāo)，衡量安全運(yùn)維的服務(wù)水平和用戶滿意度；8GB/T32914—2023e)服務(wù)交付成果中應(yīng)包含服務(wù)周期內(nèi)的安全運(yùn)維總結(jié)報(bào)告，總結(jié)報(bào)告內(nèi)容包括安全運(yùn)維工作的基本情況、處置的安全事件、采取的改進(jìn)措施和服務(wù)水平評價(jià)數(shù)據(jù)等。6增強(qiáng)要求6.1基本條件服務(wù)機(jī)構(gòu)應(yīng)具備以下條件：a)法定代表人、董事、合伙人以及高層管理人員無犯罪記錄；b)2年內(nèi)沒有因重大網(wǎng)絡(luò)安全服務(wù)問題被有關(guān)部門通報(bào)。6.2組織管理服務(wù)機(jī)構(gòu)組織管理應(yīng)滿足以下要求：a)指定一名高層管理人員作為網(wǎng)絡(luò)安全服務(wù)負(fù)責(zé)人；b)根據(jù)服務(wù)協(xié)議中的服務(wù)內(nèi)容建立相對獨(dú)立的項(xiàng)目服務(wù)團(tuán)隊(duì)(服務(wù)期內(nèi)保證不少于50%服務(wù)人員僅服務(wù)特定項(xiàng)目);c)對項(xiàng)目服務(wù)人員進(jìn)行背景審查，審查結(jié)果長期留存并可供服務(wù)需求方查看；項(xiàng)目服務(wù)人員的身份和安全背景等發(fā)生變化(如取得非中國國籍)或必要時(shí)，重新進(jìn)行背景審查；d)確保項(xiàng)目服務(wù)人員是持有相關(guān)技術(shù)資格證明且任職1年以上的員工，且無信息網(wǎng)絡(luò)犯罪記錄；e)確保項(xiàng)目服務(wù)人員每人每年教育培訓(xùn)時(shí)長不少于30個(gè)學(xué)時(shí)，教育培訓(xùn)和考核內(nèi)容包括網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、政策標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全保護(hù)技術(shù)、管理知識(shí)和實(shí)操技能等；注：常見的實(shí)操技能包括網(wǎng)絡(luò)攻擊演練或沙盤推演、威脅及入侵痕跡分析、攻擊阻斷和安全加固和網(wǎng)絡(luò)安全事件處置等。f)確保項(xiàng)目服務(wù)人員已掌握保密相關(guān)知識(shí)和技能(如通過保密培訓(xùn)及考試),知曉了其應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，包括安全職責(zé)、保密內(nèi)容、獎(jiǎng)懲機(jī)制和保密期限等，并分別與服務(wù)需求方簽署保密協(xié)議(或承諾書和責(zé)任書)。6.3供應(yīng)鏈管理服務(wù)機(jī)構(gòu)在服務(wù)過程中需要引入供應(yīng)商產(chǎn)品或服務(wù)的，應(yīng)對政治、貿(mào)易和外交等因素導(dǎo)致產(chǎn)品或服務(wù)供應(yīng)中斷的風(fēng)險(xiǎn)進(jìn)行評估，優(yōu)先選擇合格供應(yīng)商目錄中供應(yīng)有保障的產(chǎn)品或服務(wù)。注：如選用具有自主知識(shí)產(chǎn)權(quán)、有備份方案的產(chǎn)品或服務(wù)。6.4技術(shù)能力服務(wù)機(jī)構(gòu)的技術(shù)能力要求包括以下內(nèi)容：a)應(yīng)按照GB/T39204—2022中第9章的相關(guān)內(nèi)容，通過建立與國家、行業(yè)等有關(guān)管理部門、研究機(jī)構(gòu)、其他網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、服務(wù)需求方和業(yè)界專家的合作機(jī)制，共享網(wǎng)絡(luò)安全信息；注：網(wǎng)絡(luò)安全信息包括但不限于漏洞信息、威脅信息、最佳實(shí)踐和前沿技術(shù)等。b)應(yīng)建立網(wǎng)絡(luò)安全服務(wù)管理系統(tǒng)，將網(wǎng)絡(luò)安全服務(wù)的基本情況和5.3.3d)～f)涉及的記錄錄入系統(tǒng)并進(jìn)行自動(dòng)化管理，且系統(tǒng)可支持通過接口方式共享相關(guān)記錄。6.5服務(wù)工具服務(wù)機(jī)構(gòu)在服務(wù)過程中使用服務(wù)工具的要求包括以下內(nèi)容：a)應(yīng)針對服務(wù)項(xiàng)目建立單獨(dú)的服務(wù)工具清單，并明確服務(wù)工具的使用要求和范圍；9b)服務(wù)工具需接入服務(wù)需求方生產(chǎn)環(huán)境的，應(yīng)取得安全認(rèn)證或通過第三方機(jī)構(gòu)的安全檢測；c)服務(wù)工具無法使用會(huì)對服務(wù)水平產(chǎn)生顯著影響的，應(yīng)通過提前采購儲(chǔ)備、同類型產(chǎn)品備份或簽署備貨協(xié)議等方式保障服務(wù)工具的持續(xù)供應(yīng)。6.6數(shù)據(jù)安全保護(hù)服務(wù)機(jī)構(gòu)對服務(wù)過程中獲取的數(shù)據(jù)進(jìn)行安全保護(hù)的要求包括：a)服務(wù)過程中應(yīng)對網(wǎng)絡(luò)安全服務(wù)產(chǎn)生的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行監(jiān)測或?qū)徲?jì)，保證所有網(wǎng)絡(luò)流量數(shù)據(jù)均為提供服務(wù)所必需；涉及出境流量數(shù)據(jù)的，應(yīng)按照5.9d)的規(guī)定處置；b)服務(wù)過程中獲取的數(shù)據(jù)，應(yīng)與其他數(shù)據(jù)分開存儲(chǔ)和處理，并按照GB/T39204—2022中7.10的規(guī)定予以保護(hù)；c)對服務(wù)過程中獲取的原始數(shù)據(jù)進(jìn)行加工、分析和使用(如數(shù)據(jù)脫敏后的態(tài)勢分析和算法訓(xùn)練等)應(yīng)經(jīng)服務(wù)需求方同意，并滿足相關(guān)法律法規(guī)和行業(yè)管理規(guī)定的要求。6.7服務(wù)可持續(xù)性涉及服務(wù)機(jī)構(gòu)更換的，服務(wù)機(jī)構(gòu)應(yīng)確保網(wǎng)絡(luò)安全服務(wù)工作順利交接后才可退出服務(wù)。6.8安全運(yùn)維服務(wù)專項(xiàng)要求服務(wù)機(jī)構(gòu)提供安全運(yùn)維服務(wù)的專項(xiàng)要求包括以下內(nèi)容：a)應(yīng)保證運(yùn)維地點(diǎn)位于中國境內(nèi)，如確需境外運(yùn)維，應(yīng)符合法律法規(guī)要求及相關(guān)規(guī)定；b)安全運(yùn)維服務(wù)團(tuán)隊(duì)?wèi)?yīng)具備對服務(wù)需求方暴露面進(jìn)行識(shí)別的能力；注：識(shí)別內(nèi)容包括：互聯(lián)網(wǎng)和內(nèi)網(wǎng)資產(chǎn)的互聯(lián)網(wǎng)協(xié)議地址、端口和應(yīng)用服務(wù)，互聯(lián)網(wǎng)上的內(nèi)部信息(組織架構(gòu)、郵箱賬號(hào)和組織通訊錄等),公共存儲(chǔ)空間(如，代碼托管平臺(tái)、文庫和網(wǎng)盤等)的可能被攻擊者利用的技術(shù)文檔等。c)安全運(yùn)維服務(wù)團(tuán)隊(duì)?wèi)?yīng)具備對不同廠商安全設(shè)備產(chǎn)生的日志進(jìn)行整合分析，以及對5.3.3f)中記錄的、服務(wù)需求方所掌握的以及從其他渠道獲知的網(wǎng)絡(luò)安全信息進(jìn)行匯總和研判的能力。(資料性)網(wǎng)絡(luò)安全服務(wù)使用的常見工具類型A.1漏洞掃描工具通過遠(yuǎn)程或現(xiàn)場的方式，對網(wǎng)絡(luò)安全隱患進(jìn)行探測、檢查和分析，發(fā)現(xiàn)目標(biāo)系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置和運(yùn)行等過程中，有意或無意產(chǎn)生的脆弱性或后門，并提出一定的防范和補(bǔ)救措施建議的工具。針對目標(biāo)系統(tǒng)，通過代碼審核、模糊測試和靜態(tài)分