信息安全技術(shù) 網(wǎng)絡(luò)安全服務(wù)能力要求

代替GB/T32914—2016信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求Informationsecuritytechnology—Capabilityrequirementsofcybersecurityser2023-09-07發(fā)布國家標準化管理委員會GB/T32914—2023前言 Ⅲ 12規(guī)范性引用文件 13術(shù)語和定義 14總體要求 25一般要求 25.1基本條件 25.2組織管理 35.3項目管理 35.4供應(yīng)鏈管理 55.5技術(shù)能力 55.6服務(wù)工具 55.7遠程股務(wù) 65.8法律保障 65.9數(shù)據(jù)安全保護 65.10服務(wù)可持續(xù)性 75.11檢測評估服務(wù)專項要求 75.12安全運維服務(wù)專項要求 76增強要求 86.1基本條件 86.2組織管理 86.3供應(yīng)鏈管理 86.4技術(shù)能力 86.5服務(wù)工具 86.6數(shù)據(jù)安全保護 96.7服務(wù)可持續(xù)性 96.8安全運維服務(wù)專項要求 9附錄A(資料性)網(wǎng)絡(luò)安全服務(wù)使用的常見工具類型 參考文獻 I本文件代替GB/T32914—20168信息安全技術(shù)信息安全服務(wù)提供方管理要求》,與b)增加了總體要求(見第4章):c)將第5章、第5章內(nèi)容吏改并合并為“第5章一般要求”(見第5章，2016年版的第5章、第6章);—2016年首次發(fā)布為GB/T32914—2016;Ⅱ信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求本文件規(guī)定了網(wǎng)絡(luò)安全服務(wù)的能力要求，包括一般要求和增強要求。本文件適用于指導(dǎo)網(wǎng)絡(luò)安全服務(wù)機構(gòu)開展網(wǎng)絡(luò)安全服務(wù)，以及評價網(wǎng)絡(luò)安全服務(wù)機構(gòu)的能力水平，也可為網(wǎng)絡(luò)安全服務(wù)需求方選擇網(wǎng)絡(luò)安全服務(wù)機構(gòu)時提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注口期的引用文件，其最新版本(包括所有的修改單)適用于GB/T20984信息安全技術(shù)信息安全風(fēng)險評估方法GB/T22080信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T25069信息安全技術(shù)術(shù)語GB/T36959信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評機構(gòu)能力要求和評估規(guī)范GB/T39204—2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求GB/T42446信息安全技術(shù)網(wǎng)絡(luò)安全從業(yè)人員能力基本要求GB/T42461信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)成本度量指南國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案(2017年1月10日中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室[2017]4號公布)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定(2021年7月12日工業(yè)和信息化部國家互聯(lián)網(wǎng)信息辦公室公安部(2021]66號公布)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品日錄(第一批)(2017年6月1日國家互聯(lián)網(wǎng)信息辦公室工業(yè)和信息化部公安部國家認證認可監(jiān)督管理委員會[2017]01號公布)3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。全等服務(wù)的相關(guān)過程。2c)未被列入可能影響網(wǎng)絡(luò)安全服務(wù)的負面清單，如失信被執(zhí)行人名單、重大稅收違法案件當事人名單、政府采購嚴重違法失信行為記錄名單和不可靠實體清單等；d)不存在未處理的網(wǎng)絡(luò)安全相關(guān)行政處罰和正在接受網(wǎng)絡(luò)安全審查等情形。5.2組織管理服務(wù)機構(gòu)的組織管理應(yīng)滿足以下要求：a)按照GB/T22080建立信息安全管理體系；b)設(shè)置與網(wǎng)絡(luò)安全服務(wù)規(guī)模相適應(yīng)的專業(yè)技術(shù)部門或團隊；c)網(wǎng)絡(luò)安全服務(wù)項目負責(zé)人具備2年以上相應(yīng)網(wǎng)絡(luò)安全服務(wù)項目經(jīng)驗；d)建立服務(wù)人員檔案，包括服務(wù)人員的資格證明、培訓(xùn)/考核記錄、技術(shù)方向和能力水平、從業(yè)經(jīng)歷、實際參與項目及分工等信息，檔案至少保存至服務(wù)人員離職后6年；f)與服務(wù)人員簽訂保密協(xié)議，約定服務(wù)項目實施中的通用保密要求，并定期進行保密教育。5.3項目管理5.3.1服務(wù)成本度量服務(wù)機構(gòu)應(yīng)按照GB/T42461對網(wǎng)絡(luò)安全服務(wù)項目的成本進行度量后合理確定服務(wù)報價。服務(wù)機構(gòu)的網(wǎng)絡(luò)安全服務(wù)方案應(yīng)滿足以下要求：a)在服務(wù)項目實施前編制網(wǎng)絡(luò)安全服務(wù)方案，并得到服務(wù)需求方的認可；b)在服務(wù)方案中明確網(wǎng)絡(luò)安全服務(wù)范圍、服務(wù)日標、服務(wù)依據(jù)、服務(wù)內(nèi)容及服務(wù)水平；c)在服務(wù)方案中明確服務(wù)人員(包括項目負責(zé)人和項目實施人員的職責(zé)等)、服務(wù)流程(包括計劃和風(fēng)險控制等)等服務(wù)要素。5.3.3服務(wù)實施服務(wù)機構(gòu)在服務(wù)實施過程中的要求包括以下內(nèi)容。b)應(yīng)建立服務(wù)變更管理流程，變更前與服務(wù)需求方就具體事項主動溝通，經(jīng)服務(wù)需求方同意務(wù)需求方系統(tǒng)和業(yè)務(wù)造成影響的，應(yīng)進行針對性的改進、補救或恢復(fù)。c)應(yīng)建立項目應(yīng)急處置機制，確定雙方的接口人，及時處理服務(wù)實施過程中產(chǎn)生的投訴、爭議和突發(fā)事件等，并形成處置結(jié)論或解決方案。d)在服務(wù)過程中發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，應(yīng)及時向服務(wù)需求方報告安全事件情況，并根據(jù)國家網(wǎng)絡(luò)安3e)在服務(wù)過程中發(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品(含硬件和軟件)的網(wǎng)絡(luò)安全注：通用產(chǎn)品是指已公開銷售或開放授權(quán)，且被廣泛應(yīng)用的產(chǎn)品。情況進行監(jiān)督。4應(yīng)商：要求。注：經(jīng)確認工具的版本不屬于涉及安全問題的5h)應(yīng)確保使用服務(wù)工具的過程不會對服務(wù)需求方系統(tǒng)邊界安全措施造成影響(如服務(wù)需求方系b)對遠程登錄操作人員進行身份鑒別，為賬號設(shè)置復(fù)雜度高(如長度不少于12位，包含大寫字注1:約定數(shù)據(jù)安全保護的條款的方式包括在服務(wù)協(xié)議中專門體現(xiàn)或簽署單獨的數(shù)據(jù)安全保護協(xié)議，注2:現(xiàn)場提供網(wǎng)絡(luò)安全服務(wù)的，明確項目相關(guān)資料是否能被外帶的要求。注3:涉及紙質(zhì)資料的，明確是否可被電子化。6d)因服務(wù)所需向境外提供和傳輸網(wǎng)絡(luò)安全服務(wù)過程中獲取的各類數(shù)據(jù)，應(yīng)在事前向服務(wù)需求方單獨告知出境日的、數(shù)據(jù)種類、數(shù)量、周期和接收方等情況，取得服務(wù)需求方書面同意。同時，還應(yīng)遵守數(shù)據(jù)出境管理相關(guān)法律法規(guī)的要求。等處理。服務(wù)需求方對處理情況提出核驗或?qū)徲嫷?，?yīng)予以充分配合。5.10服務(wù)可持續(xù)性服務(wù)機構(gòu)保障服務(wù)可持續(xù)性的要求包括以下內(nèi)容；a)服務(wù)終止后，可能對服務(wù)需求方系統(tǒng)、業(yè)務(wù)和數(shù)據(jù)等造成影響的，應(yīng)在服務(wù)期限到期前向服務(wù)需求方告知；b)涉及服務(wù)機構(gòu)更換的，應(yīng)根據(jù)服務(wù)需求方要求向指定的其他服務(wù)機構(gòu)移交相關(guān)的資料、賬號、證件和令牌等；c)如確有無法提供持續(xù)服務(wù)的情況，應(yīng)提前向服務(wù)需求方告知相關(guān)情況，并提出服務(wù)需求方認可的替代或交接方案，以保障服務(wù)需求方業(yè)務(wù)的持續(xù)性。5.11檢測評估服務(wù)專項要求服務(wù)機構(gòu)提供檢測評估服務(wù)的專項要求包括以下內(nèi)容：B)服務(wù)機構(gòu)應(yīng)具備基本的檢測評估相關(guān)服務(wù)工具研發(fā)能力或二次開發(fā)能力；b)服務(wù)內(nèi)容涉及風(fēng)險評估的，應(yīng)按照GB/T20984的規(guī)定對風(fēng)險進行識別，定性或定量分析和e)開展漏洞掃描和滲透測試等可能會對服務(wù)需求方系統(tǒng)、業(yè)務(wù)和數(shù)據(jù)等造成影響的，應(yīng)向服務(wù)需求方單獨告知影響、風(fēng)險及應(yīng)對措施，經(jīng)服務(wù)需求方同意后采取影響最小的方式實施；d)服務(wù)需求方要求使用測試環(huán)境進行檢測評估時，應(yīng)分析測試環(huán)境與真實環(huán)境(如生產(chǎn)環(huán)境)的區(qū)別，向服務(wù)需求方告知檢測評估結(jié)果的適用范圍；e)應(yīng)針對檢測評估所發(fā)現(xiàn)的安全問題和風(fēng)險等提出安全整改建議，并在服務(wù)需求方完成整改后驗證整改效果，服務(wù)需求方無相關(guān)需求的除外；f)檢測評估報告等服務(wù)交付成果應(yīng)至少保存6年，有關(guān)法律法規(guī)和行業(yè)管理另有規(guī)定的除外。5.12安全運維服務(wù)專項要求服務(wù)機構(gòu)提供安全運維服務(wù)的專項要求包括以下內(nèi)容：a)維持安全運維服務(wù)團隊的穩(wěn)定性，駐場服務(wù)人員每年或單個項日服務(wù)期間更換比例原則上應(yīng)不超過30%;b)安全運維服務(wù)團隊應(yīng)具備對網(wǎng)絡(luò)攻擊行為進行主動發(fā)現(xiàn)、分析和提出防護建議的能力；c)對運維工作記錄進行匯總，定期向服務(wù)需求方提供安全運維工作簡報，簡報的形式和提交時間d)應(yīng)通過運維事件響應(yīng)和事件關(guān)閉率等可量化的指標，衡量安全運維的服務(wù)水平和用戶滿意度；7e)服務(wù)交付成果中應(yīng)包含服務(wù)周期內(nèi)的安全運維總結(jié)報告，總結(jié)報告內(nèi)容包括安全運維工作的6增強要求6.1基本條件服務(wù)機構(gòu)應(yīng)具備以下條件：a)法定代表人、董事、合伙人以及高層管理人員無犯罪記錄；b)2年內(nèi)沒有因重大網(wǎng)絡(luò)安全服務(wù)問題被有關(guān)部門通報。6.2組織管理服務(wù)機構(gòu)組織管理應(yīng)滿足以下要求：a)指定一名高層管理人員作為網(wǎng)絡(luò)安全服務(wù)負責(zé)人；h)根據(jù)服務(wù)協(xié)議中的服務(wù)內(nèi)容建立相對獨立的項目服務(wù)團隊(服務(wù)期內(nèi)保證不少于50%服務(wù)人員僅服務(wù)特定項目);c)對項目服務(wù)人員進行背景審查，審查結(jié)果長期留存并可供服務(wù)需求方查看；項目服務(wù)人員的身份和安全背景等發(fā)生變化(如取得非中國國籍)或必要時，重新進行背景審查；d)確保項日服務(wù)人員是持有相關(guān)技術(shù)資格證明且任職1年以上的員工，且無信息網(wǎng)絡(luò)犯罪記錄；e)確保項日服務(wù)人員每人每年教育培訓(xùn)時長不少于30個學(xué)時，教育培訓(xùn)和考核內(nèi)容包括網(wǎng)絡(luò)安f)確保項目服務(wù)人員已掌握保密相關(guān)知識和技能(如通過保密培訓(xùn)及考試),知曉了其應(yīng)當履行與服務(wù)需求方簽署保密協(xié)議(或承諾書和責(zé)任書)。6.3供應(yīng)鏈管理服務(wù)機構(gòu)在服務(wù)過程中需要引入供應(yīng)商產(chǎn)品或服務(wù)的，應(yīng)對政治、貿(mào)易和外交等因素導(dǎo)致產(chǎn)品或服務(wù)供應(yīng)中斷的風(fēng)險進行評估，優(yōu)先選樣合格供應(yīng)商目錄中供應(yīng)有保障的產(chǎn)品或服務(wù)。6.4技術(shù)能力服務(wù)機構(gòu)的技術(shù)能力要求包括以下內(nèi)容：a)應(yīng)按照GB/T39204—2022中第9章的相關(guān)內(nèi)容，通過建立與國家、行業(yè)等有關(guān)管理部門、研b)應(yīng)建立網(wǎng)絡(luò)安全服務(wù)管理系統(tǒng)，將網(wǎng)絡(luò)安全服務(wù)的基本情況和5.3,3d)~f)涉及的記錄錄入系統(tǒng)并進行自動化管理，且系統(tǒng)可支持通過接口方式共享相關(guān)記錄。6.5服務(wù)工具服務(wù)機構(gòu)在服務(wù)過程中使用服務(wù)工具的要求包括以下內(nèi)容；a)應(yīng)針對服務(wù)項目建立單獨的服務(wù)工具清單，并明確服務(wù)工具的使用要求和范圍；8b)服務(wù)工具需接入服務(wù)需求方生產(chǎn)環(huán)境的，應(yīng)取得安全認證或通過第三方機構(gòu)的安全檢測；c)服務(wù)工具無法使用會對服務(wù)水平產(chǎn)生顯著影響的，應(yīng)通過提前采購儲備、同類型產(chǎn)品備份或簽署備貨協(xié)議等方式保障服務(wù)工具的持續(xù)供應(yīng)。6.6數(shù)據(jù)安全保護服務(wù)機構(gòu)對服務(wù)過程中獲取的數(shù)據(jù)進行安全保護的要求包括：a)服務(wù)過程中應(yīng)對網(wǎng)絡(luò)安全服務(wù)產(chǎn)生的網(wǎng)絡(luò)流量數(shù)據(jù)進行監(jiān)測或?qū)徲嫞ＷC所有網(wǎng)絡(luò)流量數(shù)據(jù)均為提供服務(wù)所必需；涉及出境流量數(shù)據(jù)的，應(yīng)按照5.9d)的規(guī)定處置：b)服務(wù)過程中獲取的數(shù)據(jù)，應(yīng)與其他數(shù)據(jù)分開存儲和處理，并按照GB/T39204—2022中7.10的規(guī)定予以保護；c)對服務(wù)過程中獲取的原始數(shù)據(jù)進行加工、分析和使用(如數(shù)據(jù)脫敏后的態(tài)勢分析和算法訓(xùn)練等)應(yīng)經(jīng)服務(wù)需求方同意，并滿足相關(guān)法律法規(guī)和行業(yè)管理規(guī)定的要求，6.7服務(wù)可持續(xù)性涉及服務(wù)機構(gòu)更換的，服務(wù)機構(gòu)應(yīng)確保網(wǎng)絡(luò)安全服務(wù)工作順利交接后才可退出服務(wù)。6.8安全運維服務(wù)專項要求服務(wù)機構(gòu)提供安全運維服務(wù)的專項要求包括以下內(nèi)容：a)應(yīng)保證運維地點位于中國境內(nèi)，如確需境外運維，應(yīng)符合法律法規(guī)要求及相關(guān)規(guī)定；b)安全運維服務(wù)團隊應(yīng)具備對服務(wù)需求方暴露面進行識別的能力；c)安全運維服務(wù)團隊應(yīng)具備對不同廠商安全設(shè)備產(chǎn)生的日志進行整合分析，以及對5.3.3f)中記錄的、服務(wù)需求方所掌握的以及從其他渠道獲知的網(wǎng)絡(luò)安全信息進行匯總和研判的能力。9(資料性)網(wǎng)絡(luò)安全服務(wù)使用的常見工具類型A.1漏洞掃描工具和運行等過程中，有意或無意產(chǎn)生的脆弱性或后門，并提出一定的防范和補救措施建議的工具。A.2漏洞挖掘工具設(shè)計、實現(xiàn)、配置和運行等過程中，可能存在的脆弱性或后門，并提出一定的防范和補救措施建議的A.3配置核查工具安全配置檢測和合規(guī)性分析，生成安全配置建議和合規(guī)性報告的工具。A.4軟件成分分析工具通過分析軟件包含的一些信息和特征，基于人工智能(AI)的分析引擎發(fā)現(xiàn)軟件及其第三方組件的A.5應(yīng)用安全檢測工具通過代理、虛擬專用網(wǎng)絡(luò)(VPN)或在服務(wù)端部署客戶端程序，收集、監(jiān)控應(yīng)用程序(如Web應(yīng)用)運行時函數(shù)執(zhí)行和數(shù)據(jù)傳輸，并與掃描器端進行實時交互，高效、準確地識