首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

《信息安全技術(shù) 網(wǎng)絡(luò)安全服務(wù)能力要求》國(guó)標(biāo)發(fā)布，安恒信息深度參與

閱讀量：次 文章來(lái)源：安恒信息

深度參與國(guó)家標(biāo)準(zhǔn)制定

2023年9月7日，國(guó)家市場(chǎng)監(jiān)督管理總局（國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)）發(fā)布中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)2023年第9號(hào)公告，其中安恒信息深度參與的國(guó)家標(biāo)準(zhǔn)GB/T 32914-2023《信息安全技術(shù) 網(wǎng)絡(luò)安全服務(wù)能力要求》正式批準(zhǔn)發(fā)布，并將于2024年4月1日正式實(shí)施。該標(biāo)準(zhǔn)是對(duì)GB/T 32914-2016《信息安全技術(shù)? 信息安全服務(wù)提供方管理要求》的修訂。

近年來(lái)，網(wǎng)絡(luò)安全服務(wù)需求不斷增加，但市場(chǎng)需求不斷增加的同時(shí)也出現(xiàn)了很多不規(guī)范不符合市場(chǎng)合理競(jìng)爭(zhēng)的現(xiàn)象，如低價(jià)競(jìng)爭(zhēng)、交付不規(guī)范、交付質(zhì)量不能滿足用戶需求及產(chǎn)生的數(shù)據(jù)泄露問題等等。

為營(yíng)造健康有序的網(wǎng)絡(luò)安全服務(wù)市場(chǎng)，也為落實(shí)我國(guó)近年來(lái)相繼推出的《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)的相關(guān)要求，推進(jìn)網(wǎng)絡(luò)安全服務(wù)認(rèn)證體系建設(shè)，提升網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)能力水平和服務(wù)質(zhì)量，因此提出對(duì)國(guó)家標(biāo)準(zhǔn)GB/T 32914-2016《信息安全技術(shù)? 信息安全服務(wù)提供方管理要求》的立項(xiàng)修訂。

修訂后的標(biāo)準(zhǔn)名稱由原來(lái)的“信息安全服務(wù)提供方管理要求”改為“網(wǎng)絡(luò)安全服務(wù)能力要求”。標(biāo)準(zhǔn)技術(shù)內(nèi)容方面，在2016版標(biāo)準(zhǔn)的基礎(chǔ)上，明確了網(wǎng)絡(luò)安全服務(wù)的核心定義，規(guī)定了網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)提供網(wǎng)絡(luò)安全服務(wù)應(yīng)具備的能力，界定了標(biāo)準(zhǔn)的適用范圍。

為有效保證該標(biāo)準(zhǔn)的應(yīng)用實(shí)施，2023年3月15日，國(guó)家市場(chǎng)監(jiān)督管理總局、中央網(wǎng)絡(luò)安全和信息化委員辦公室、工業(yè)和信息化部和公安部四部委聯(lián)合發(fā)布了《關(guān)于開展網(wǎng)絡(luò)安全服務(wù)認(rèn)證工作的實(shí)施意見》?！耙庖姟敝刑岢觯?strong>將 “開展國(guó)家統(tǒng)一推行的網(wǎng)絡(luò)安全服務(wù)認(rèn)證工作”，通過認(rèn)證的網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)應(yīng)當(dāng)按照標(biāo)準(zhǔn)規(guī)范開展網(wǎng)絡(luò)安全服務(wù)工作。

在標(biāo)準(zhǔn)的修訂過程中，安恒信息積極參與標(biāo)準(zhǔn)研究與起草，同時(shí)為保證標(biāo)準(zhǔn)內(nèi)容條款的科學(xué)性和合理性，組織開展“試點(diǎn)驗(yàn)證”工作。網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)是網(wǎng)絡(luò)安全行業(yè)健康發(fā)展的技術(shù)保障，安恒信息作為網(wǎng)絡(luò)安全服務(wù)領(lǐng)域的重要力量，在完善網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化體系建設(shè)工作方面，也將會(huì)持續(xù)奮進(jìn)，貢獻(xiàn)安恒力量！

標(biāo)準(zhǔn)修訂背景

近年來(lái)，由于國(guó)民經(jīng)濟(jì)各行業(yè)對(duì)網(wǎng)絡(luò)安全服務(wù)需求的逐步加大，隨之出現(xiàn)了很多不規(guī)范不符合市場(chǎng)合理競(jìng)爭(zhēng)的現(xiàn)象，如越來(lái)越多的低價(jià)競(jìng)爭(zhēng)、交付不規(guī)范和交付質(zhì)量不能滿足用戶需求以及產(chǎn)生的數(shù)據(jù)泄露等等。為落實(shí)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)要求，推進(jìn)網(wǎng)絡(luò)安全服務(wù)認(rèn)證體系建設(shè)，規(guī)范網(wǎng)絡(luò)安全服務(wù)市場(chǎng)秩序，提升網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)能力水平和服務(wù)質(zhì)量，同步配合由國(guó)家市場(chǎng)監(jiān)督管理總局、中央網(wǎng)絡(luò)安全和信息化委員辦公室、工業(yè)和信息化部和公安部四部委聯(lián)合發(fā)布的《關(guān)于開展網(wǎng)絡(luò)安全服務(wù)認(rèn)證工作的實(shí)施意見》實(shí)施，提出了對(duì)國(guó)家標(biāo)準(zhǔn)GB/T 32914-2016《信息安全技術(shù) ?信息安全服務(wù)提供方管理要求》的修訂。修訂后的標(biāo)準(zhǔn)名稱由原來(lái)的“信息安全服務(wù)提供方管理要求”改為“網(wǎng)絡(luò)安全服務(wù)能力要求”。標(biāo)準(zhǔn)技術(shù)內(nèi)容方面，在2016版國(guó)家標(biāo)準(zhǔn)的基礎(chǔ)上，明確了網(wǎng)絡(luò)安全服務(wù)的核心定義，規(guī)定了網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)提供網(wǎng)絡(luò)安全服務(wù)應(yīng)具備的能力，界定了標(biāo)準(zhǔn)的適用范圍。

標(biāo)準(zhǔn)的主要內(nèi)容解讀

標(biāo)準(zhǔn)適用范圍

修訂后的標(biāo)準(zhǔn)主要規(guī)定了網(wǎng)絡(luò)安全服務(wù)的能力要求，包括一般要求和增強(qiáng)要求。適用于指導(dǎo)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開展網(wǎng)絡(luò)安全服務(wù)，以及評(píng)價(jià)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的能力水平，也可為網(wǎng)絡(luò)安全服務(wù)需求方選擇網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)時(shí)提供參考。

對(duì)重要概念重新進(jìn)行了定義和說(shuō)明

標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)安全服務(wù)的定義是：根據(jù)服務(wù)協(xié)議，基于服務(wù)人員、技術(shù)、工具、管理、資金等資源，提供保障網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)信息安全等服務(wù)的相關(guān)過程。常見的網(wǎng)絡(luò)安全服務(wù)包括檢測(cè)評(píng)估、安全運(yùn)維和安全咨詢等，網(wǎng)絡(luò)安全服務(wù)通常以供需雙方的服務(wù)項(xiàng)目形式進(jìn)行。同時(shí)補(bǔ)充說(shuō)明，網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、商用密碼應(yīng)用安全性評(píng)估屬于檢測(cè)評(píng)估服務(wù)中的特定類別服務(wù)。

總體要求

網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)向網(wǎng)絡(luò)安全服務(wù)需求方提供網(wǎng)絡(luò)安全服務(wù)，應(yīng)滿足一般要求；網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)向?qū)W(wǎng)絡(luò)安全服務(wù)有更高要求的服務(wù)需求方（如黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等）提供網(wǎng)絡(luò)安全服務(wù)時(shí)，還應(yīng)滿足增強(qiáng)要求；網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的要求應(yīng)符合GB/T 36959-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力要求和評(píng)估規(guī)范》的規(guī)定；商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)的要求應(yīng)符合國(guó)家密碼管理有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的規(guī)定。

一般要求和增強(qiáng)要求的對(duì)比

基本條件

5.1

一般要求

● 服務(wù)機(jī)構(gòu)的一般要求

——a) 在中華人民共和國(guó)境內(nèi)注冊(cè)；

——b) 法定代表人、董事、合伙人以及高層管理人員三年內(nèi)無(wú)犯罪記錄；

——c) 未被列入可能影響網(wǎng)絡(luò)安全服務(wù)的負(fù)面清單，如失信被執(zhí)行人名單、重大稅收違法案件當(dāng)事人名單、政府采購(gòu)嚴(yán)重違法失信行為記錄名單和不可靠實(shí)體清單等；

——d) 不存在未處理的網(wǎng)絡(luò)安全相關(guān)行政處罰和正在接受網(wǎng)絡(luò)安全審查等情形。

6.1

增強(qiáng)要求

● 服務(wù)機(jī)構(gòu)的增強(qiáng)要求

——a) 法定代表人、董事、合伙人以及高層管理人員無(wú)犯罪記錄；

——b) 2年內(nèi)沒有因重大網(wǎng)絡(luò)安全服務(wù)問題被有關(guān)部門通報(bào)。

組織管理

5.2

一般要求

● 建立信息安全管理體系

——a)按照GB/T 22080建立信息安全管理體系；

● 設(shè)置專業(yè)的技術(shù)部門或團(tuán)隊(duì)

——b)設(shè)置與網(wǎng)絡(luò)安全服務(wù)規(guī)模相適應(yīng)的專業(yè)技術(shù)部門或團(tuán)隊(duì)；

● 項(xiàng)目負(fù)責(zé)人的要求

——c)網(wǎng)絡(luò)安全服務(wù)項(xiàng)目負(fù)責(zé)人具備2年以上相應(yīng)網(wǎng)絡(luò)安全服務(wù)項(xiàng)目經(jīng)驗(yàn)；

● 建立服務(wù)人員檔案

——d)建立服務(wù)人員檔案，包括服務(wù)人員的資格證明、培訓(xùn)/考核記錄、技術(shù)方向和能力水平、從業(yè)經(jīng)歷、實(shí)際參與項(xiàng)目及分工等信息，檔案至少保存至服務(wù)人員離職后6年；

● 項(xiàng)目服務(wù)人員的要求

——e)服務(wù)人員具備GB/T 42446規(guī)定的網(wǎng)絡(luò)安全服務(wù)相關(guān)的知識(shí)和技能要求，熟練掌握《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》等的要求，接受崗前培訓(xùn)并經(jīng)考核評(píng)定合格后上崗；

● 簽署保密協(xié)議

——f)與服務(wù)人員簽訂保密協(xié)議，約定服務(wù)項(xiàng)目實(shí)施中的通用保密要求，并定期進(jìn)行保密教育。

6.2

增強(qiáng)要求

● 項(xiàng)目負(fù)責(zé)人的要求

——a) 指定一名高層管理人員作為網(wǎng)絡(luò)安全服務(wù)負(fù)責(zé)人；

● 服務(wù)團(tuán)隊(duì)的要求

——b) 根據(jù)服務(wù)協(xié)議中的服務(wù)內(nèi)容建立相對(duì)獨(dú)立的項(xiàng)目服務(wù)團(tuán)隊(duì)（服務(wù)期內(nèi)保證不少于50%服務(wù)人員僅服務(wù)特定項(xiàng)目）

● 項(xiàng)目服務(wù)人員的要求

——c)對(duì)項(xiàng)目服務(wù)人員進(jìn)行背景審查，審查結(jié)果長(zhǎng)期留存并可供服務(wù)需求方查看；項(xiàng)目服務(wù)人員的身份和安全背景等發(fā)生變化（如取得非中國(guó)國(guó)籍）或必要時(shí)，重新進(jìn)行背景審查；

——d)確保項(xiàng)目服務(wù)人員是持有相關(guān)技術(shù)資格證明且任職 1 年以上的員工，且無(wú)信息網(wǎng)絡(luò)犯罪記錄；

——e)確保項(xiàng)目服務(wù)人員每人每年教育培訓(xùn)時(shí)長(zhǎng)不少于 30 個(gè)學(xué)時(shí)，教育培訓(xùn)和考核內(nèi)容包括網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、政策標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全保護(hù)技術(shù)、管理知識(shí)和實(shí)操技能等；

——f)確保項(xiàng)目服務(wù)人員已掌握保密相關(guān)知識(shí)和技能（如通過保密培訓(xùn)及考試），知曉了其應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，包括安全職責(zé)、保密內(nèi)容、獎(jiǎng)懲機(jī)制和保密期限等，并分別與服務(wù)需求方簽署保密協(xié)議（或承諾書和責(zé)任書）。

項(xiàng)目管理

5.3

一般要求

● 服務(wù)成本

——服務(wù)機(jī)構(gòu)應(yīng)按照 GB/T 42461 對(duì)網(wǎng)絡(luò)安全服務(wù)項(xiàng)目的成本進(jìn)行度量后合理確定服務(wù)報(bào)價(jià)。

● 服務(wù)方案

——a)在服務(wù)項(xiàng)目實(shí)施前編制網(wǎng)絡(luò)安全服務(wù)方案，并得到服務(wù)需求方的認(rèn)可；

——b)在服務(wù)方案中明確網(wǎng)絡(luò)安全服務(wù)范圍、服務(wù)目標(biāo)、服務(wù)依據(jù)、服務(wù)內(nèi)容及服務(wù)水平；

——c)在服務(wù)方案中明確服務(wù)人員（包括項(xiàng)目負(fù)責(zé)人和項(xiàng)目實(shí)施人員的職責(zé)等）、服務(wù)流程（包括計(jì)劃或進(jìn)度等）、服務(wù)環(huán)境、服務(wù)方法、服務(wù)工具以及服務(wù)保障（包括資源保障、質(zhì)量管理、保密管理和風(fēng)險(xiǎn)控制等）等服務(wù)要素。

● 服務(wù)實(shí)施

——a)應(yīng)根據(jù)服務(wù)方案組織項(xiàng)目實(shí)施，與服務(wù)需求方保持溝通、反饋，如采取通知、定期例會(huì)或報(bào)告等形式;

——b)應(yīng)建立服務(wù)變更管理流程;

——c)應(yīng)建立項(xiàng)目應(yīng)急處置機(jī)制;

——d)及時(shí)向服務(wù)需求方報(bào)告發(fā)現(xiàn)的安全事件情況;

——e)及時(shí)向服務(wù)需求方報(bào)告發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞；

——f)記錄服務(wù)過程中的關(guān)鍵活動(dòng)；

——g)建立、維護(hù)服務(wù)檔案；

——h)不應(yīng)轉(zhuǎn)包網(wǎng)絡(luò)安全服務(wù)。

● 風(fēng)險(xiǎn)控制

——a)識(shí)別服務(wù)要素產(chǎn)生的風(fēng)險(xiǎn)，提出應(yīng)對(duì)措施并確認(rèn)其有效性；

——b)服務(wù)過程中對(duì)系統(tǒng)功能性能、數(shù)據(jù)安全等影響，應(yīng)向需求方進(jìn)行風(fēng)險(xiǎn)提示；

——c)對(duì)服務(wù)人員的操作權(quán)限和范圍采取必要的監(jiān)督或?qū)徲?jì)措施；

——d)對(duì)可能影響服務(wù)質(zhì)量的重大事項(xiàng)，應(yīng)向服務(wù)需求方提前報(bào)告。

● 成果交付

——a)按服務(wù)協(xié)議中所規(guī)定的關(guān)鍵節(jié)點(diǎn)，提交服務(wù)交付成果，如服務(wù)方案、服務(wù)過程文檔和記錄、服務(wù)報(bào)告（包括階段報(bào)告、總結(jié)報(bào)告、驗(yàn)收?qǐng)?bào)告等），并得到服務(wù)需求方的確認(rèn)；

——b)保證所有服務(wù)交付成果的真實(shí)性、準(zhǔn)確性和完整性，能清晰闡明其中的依據(jù)、組成、結(jié)論、措施、數(shù)據(jù)來(lái)源及支撐材料等內(nèi)容；

——c)完成服務(wù)交付后，根據(jù)與服務(wù)需求方的約定，主動(dòng)將服務(wù)需求方提供的數(shù)據(jù)、資料、訪問憑證，開通的賬號(hào)、部署的工具等進(jìn)行交還、清理或卸載，并向服務(wù)需求方提供由項(xiàng)目服務(wù)人員簽字的承諾或確認(rèn)函。

供應(yīng)鏈管理

5.4

一般要求

● 建立供應(yīng)鏈管理制度

——a)建立統(tǒng)一的采購(gòu)和供應(yīng)鏈管理制度，對(duì)供應(yīng)商的基本條件、供應(yīng)過程、供應(yīng)變更等進(jìn)行審核、監(jiān)督、管理，基本條件滿足 5.1c）、d）中的條件；

● 建立合格供應(yīng)商目錄

——b)對(duì)長(zhǎng)期使用、依賴度高的產(chǎn)品、服務(wù)建立合格供應(yīng)商目錄，且同類產(chǎn)品和服務(wù)有多個(gè)合格供應(yīng)商；

● 對(duì)供應(yīng)商和供應(yīng)商人員的要求

——c)要求供應(yīng)商聲明不非法獲取服務(wù)需求方數(shù)據(jù)、控制和操縱服務(wù)需求方系統(tǒng)和設(shè)備，或利用服務(wù)需求方對(duì)產(chǎn)品的依賴性謀取不正當(dāng)利益或者迫使更新?lián)Q代；

——d)在服務(wù)過程中需要引入供應(yīng)商人員的，按照 5.2 對(duì)相關(guān)人員進(jìn)行篩選、考核、管理；

——e)在獲知供應(yīng)鏈相關(guān)的安全事件信息或威脅信息后，采取更新、中止、替換供應(yīng)商等針對(duì)性的應(yīng)急措施；

——f)建立和維護(hù)供應(yīng)過程檔案，記錄所有供應(yīng)商 6 年內(nèi)提供產(chǎn)品的名稱、標(biāo)識(shí)、版本、產(chǎn)地和生產(chǎn)商，服務(wù)的名稱、涉及的人員名單及其簡(jiǎn)歷等信息。

6.3

增強(qiáng)要求

● 提出從政治、貿(mào)易、外交等綜合評(píng)估供應(yīng)鏈風(fēng)險(xiǎn)

——服務(wù)機(jī)構(gòu)在服務(wù)過程中需要引入供應(yīng)商產(chǎn)品或服務(wù)的，應(yīng)對(duì)政治、貿(mào)易和外交等因素導(dǎo)致產(chǎn)品或服務(wù)供應(yīng)中斷的風(fēng)險(xiǎn)進(jìn)行評(píng)估，優(yōu)先選擇合格供應(yīng)商目錄中供應(yīng)有保障的產(chǎn)品或服務(wù)。

技術(shù)能力

5.5

一般要求

● 編制技術(shù)指導(dǎo)文件

——a)應(yīng)對(duì)已開展的網(wǎng)絡(luò)安全服務(wù)形成技術(shù)指導(dǎo)文檔（包括技術(shù)規(guī)范、操作指引和用例集等），編制技術(shù)指導(dǎo)文檔應(yīng)重點(diǎn)關(guān)注以下內(nèi)容：

1）網(wǎng)絡(luò)安全服務(wù)相關(guān)法律法規(guī)、標(biāo)準(zhǔn)等中的要求、最佳實(shí)踐等內(nèi)容；

2）國(guó)內(nèi)外權(quán)威機(jī)構(gòu)發(fā)布的安全態(tài)勢(shì)報(bào)告、漏洞公告、突發(fā)安全事件報(bào)告等中的最新安全威脅分析方法、脆弱性識(shí)別方法、安全加固指引等內(nèi)容；

3）國(guó)內(nèi)外網(wǎng)絡(luò)安全技術(shù)等的發(fā)展動(dòng)向中關(guān)于安全控制、技術(shù)解決方案等內(nèi)容。

● 網(wǎng)絡(luò)安全事件應(yīng)急處置的能力

——b)服務(wù)內(nèi)容涉及網(wǎng)絡(luò)安全事件處置的，應(yīng)根據(jù)《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》及相關(guān)國(guó)家標(biāo)準(zhǔn)要求，建立網(wǎng)絡(luò)安全事件處置所需的技術(shù)能力，如編制相關(guān)工作程序、開展知識(shí)技能培訓(xùn)和進(jìn)行實(shí)操演練等；

● 涉及密碼的要求

——c)開展網(wǎng)絡(luò)安全服務(wù)過程中，涉及使用密碼的，應(yīng)符合國(guó)家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)規(guī)范要求。

6.4

增強(qiáng)要求

●?提出共享網(wǎng)絡(luò)安全信息和建立網(wǎng)絡(luò)安全服務(wù)管理系統(tǒng)

——a)應(yīng)按照GB/T 39204-2022第9章的相關(guān)內(nèi)容，通過建立與國(guó)家、行業(yè)等有關(guān)管理部門、研究機(jī)構(gòu)、其他網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、服務(wù)需求方和業(yè)界專家的合作機(jī)制，共享網(wǎng)絡(luò)安全信息；

——b)應(yīng)建立網(wǎng)絡(luò)安全服務(wù)管理系統(tǒng)，將網(wǎng)絡(luò)安全服務(wù)的基本情況和5.3.3d）~f）涉及的記錄錄入系統(tǒng)并進(jìn)行自動(dòng)化管理，且系統(tǒng)可支持通過接口方式共享相關(guān)記錄。

服務(wù)工具

5.6

一般要求

● 服務(wù)工具存在安全問題時(shí)

——a)服務(wù)工具被有關(guān)部門通報(bào)或從其他渠道獲知（如行業(yè)曝光等）存在安全問題的，應(yīng)立即停止使用直至問題被修復(fù)；

● 服務(wù)工具應(yīng)通過國(guó)家檢測(cè)認(rèn)證和合法版權(quán)

——b)服務(wù)工具為《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》中的，應(yīng)已通過國(guó)家檢測(cè)認(rèn)證；

——c)應(yīng)確保服務(wù)工具的合法版權(quán)且授權(quán)在有效期內(nèi)，運(yùn)行狀態(tài)良好，并持續(xù)更新和升級(jí)；涉及模板和知識(shí)庫(kù)的，應(yīng)根據(jù)相關(guān)法律法規(guī)、標(biāo)準(zhǔn)及時(shí)更新；

● 明確服務(wù)工具的使用方法

——d)應(yīng)明確服務(wù)工具的使用方法，對(duì)工具使用人員進(jìn)行培訓(xùn)，避免因不當(dāng)操作對(duì)服務(wù)需求方系統(tǒng)、業(yè)務(wù)和數(shù)據(jù)造成影響；

● 服務(wù)工具的管理

——e)應(yīng)根據(jù)服務(wù)項(xiàng)目對(duì)服務(wù)工具使用權(quán)限進(jìn)行分離，防止非授權(quán)服務(wù)人員使用服務(wù)工具的功能、訪問工具中的日志和報(bào)告等數(shù)據(jù)；

● 服務(wù)工具的安全

——f)應(yīng)定期檢驗(yàn)服務(wù)工具的安全性，如對(duì)工具進(jìn)行殺毒、對(duì)工具產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行分析等，避免工具存在影響安全性的組件或功能，如隱蔽的鏈接、協(xié)議或端口等；

——g)應(yīng)關(guān)注服務(wù)工具及其組件的安全漏洞公告和相關(guān)信息，在發(fā)現(xiàn)漏洞被披露時(shí)，應(yīng)第一時(shí)間評(píng)估漏洞的影響，在不影響服務(wù)需求方系統(tǒng)和業(yè)務(wù)等的前提下，采取更新補(bǔ)丁或下線工具等措施；

——h)應(yīng)確保使用服務(wù)工具的過程不會(huì)對(duì)服務(wù)需求方系統(tǒng)邊界安全措施造成影響（如服務(wù)需求方系統(tǒng)被服務(wù)工具以外的其它非授權(quán)工具、終端或第三方系統(tǒng)繞過邊界防護(hù)措施直接訪問）。

6.5

增強(qiáng)要求

● 建立服務(wù)工具清單

——a)應(yīng)針對(duì)服務(wù)項(xiàng)目建立單獨(dú)的服務(wù)工具清單，并明確服務(wù)工具的使用要求和范圍；

——b)服務(wù)工具需接入服務(wù)需求方生產(chǎn)環(huán)境的，應(yīng)取得安全認(rèn)證或通過第三方機(jī)構(gòu)的安全檢測(cè)；

——c)服務(wù)工具無(wú)法使用會(huì)對(duì)服務(wù)水平產(chǎn)生顯著影響的，應(yīng)通過提前采購(gòu)儲(chǔ)備、同類型產(chǎn)品備份或簽署備貨協(xié)議等方式保障服務(wù)工具的持續(xù)供應(yīng)。

遠(yuǎn)程服務(wù)

5.7

一般要求

● 遠(yuǎn)程操作的權(quán)限要求

——a)對(duì)遠(yuǎn)程登錄操作人員進(jìn)行實(shí)名登記，分配僅能自用的賬號(hào)；

——c)遠(yuǎn)程登錄操作僅限于指定的終端及客戶端（如有），并對(duì)權(quán)限范圍和時(shí)間周期進(jìn)行限制；

● 遠(yuǎn)程登錄的口令要求

——b)對(duì)遠(yuǎn)程登錄操作人員進(jìn)行身份鑒別，為賬號(hào)設(shè)置復(fù)雜度高（如長(zhǎng)度不少于12位，包含大寫字母、小寫字母、數(shù)字和特殊字符等三種以上的字符類型）的口令并定期更換；

● 信息傳輸要求

——d)遠(yuǎn)程登錄操作時(shí)，采用密碼技術(shù)建立安全的信息傳輸通道，保證通信過程中數(shù)據(jù)的保密性和完整性；

● 遠(yuǎn)程操作日志要求

——e)至少留存6個(gè)月內(nèi)遠(yuǎn)程操作的日志，定期對(duì)日志進(jìn)行審計(jì)，審計(jì)過程中發(fā)現(xiàn)存在網(wǎng)絡(luò)安全事件的按照5.3.3d）的規(guī)定處置。

法律保障

5.8

一般要求

● 網(wǎng)絡(luò)安全服務(wù)協(xié)議審核

——a)應(yīng)由專業(yè)法務(wù)人員審核網(wǎng)絡(luò)安全服務(wù)協(xié)議；

● 網(wǎng)絡(luò)安全服務(wù)協(xié)議要求

——b)應(yīng)在服務(wù)協(xié)議中明確以下內(nèi)容：

1）服務(wù)機(jī)構(gòu)與服務(wù)需求方雙方的責(zé)任邊界；

2）網(wǎng)絡(luò)安全服務(wù)的范圍、內(nèi)容、目標(biāo)、節(jié)點(diǎn)、水平、交付成果和驗(yàn)收等條款；

3）網(wǎng)絡(luò)安全服務(wù)的數(shù)據(jù)安全保護(hù)、項(xiàng)目成果知識(shí)產(chǎn)權(quán)歸屬和保密承諾等條款；

4）體現(xiàn)因需遵循的法律法規(guī)、政策變化影響而造成服務(wù)中斷、停止服務(wù)或退出市場(chǎng)等的相關(guān)條款及相應(yīng)責(zé)任。

數(shù)據(jù)安全保護(hù)

5.9

一般要求

● 明確數(shù)據(jù)安全保護(hù)條款

——a)在服務(wù)實(shí)施前，應(yīng)與服務(wù)需求方明確約定數(shù)據(jù)安全保護(hù)的相關(guān)條款，包括服務(wù)過程中涉及的個(gè)人信息（如身份信息等）、業(yè)務(wù)數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、安全數(shù)據(jù)及其他相關(guān)資料的保護(hù)要求，以及數(shù)據(jù)的使用目的和周期、最小處理范圍、最小特權(quán)訪問和事后處置等保護(hù)措施；

● 不應(yīng)私自變更數(shù)據(jù)使用目的

——b)不應(yīng)將網(wǎng)絡(luò)安全服務(wù)過程中獲取的數(shù)據(jù)變更目的使用，不應(yīng)向第三方提供或進(jìn)行公開，服務(wù)協(xié)議中明確授權(quán)或經(jīng)服務(wù)需求方同意的除外；

● 采取數(shù)據(jù)安全措施

——c)應(yīng)采取必要的安全措施，如加密、簽名和備份等，保證所獲取數(shù)據(jù)的保密性、完整性、可用性和真實(shí)性，未經(jīng)服務(wù)需求方同意，不應(yīng)更改、刪除和銷毀原始數(shù)據(jù)；

● 明確數(shù)據(jù)出境的要求

——d)因服務(wù)所需向境外提供和傳輸網(wǎng)絡(luò)安全服務(wù)過程中獲取的各類數(shù)據(jù)，應(yīng)在事前向服務(wù)需求方單獨(dú)告知出境目的、數(shù)據(jù)種類、數(shù)量、周期和接收方等情況，取得服務(wù)需求方書面同意。同時(shí)，還應(yīng)遵守?cái)?shù)據(jù)出境管理相關(guān)法律法規(guī)的要求；

● 服務(wù)完成后數(shù)據(jù)處理要求

——e)在服務(wù)實(shí)施完成之后，應(yīng)按服務(wù)需求方和服務(wù)協(xié)議的要求，進(jìn)行數(shù)據(jù)的脫敏、移交、清理或銷毀等處理。服務(wù)需求方對(duì)處理情況提出核驗(yàn)或?qū)徲?jì)的，應(yīng)予以充分配合。

6.6

增強(qiáng)要求

● 監(jiān)測(cè)和審計(jì)網(wǎng)絡(luò)流量數(shù)據(jù)、數(shù)據(jù)處理

——a)服務(wù)過程中應(yīng)對(duì)網(wǎng)絡(luò)安全服務(wù)產(chǎn)生的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行監(jiān)測(cè)或?qū)徲?jì)，保證所有網(wǎng)絡(luò)流量數(shù)據(jù)均為提供服務(wù)所必需；涉及出境流量數(shù)據(jù)的，應(yīng)按照5.9d）的規(guī)定處置；

——b)服務(wù)過程中獲取的數(shù)據(jù)，應(yīng)與其他數(shù)據(jù)分開存儲(chǔ)和處理，并按照GB/T 39204-2022中7.10的規(guī)定予以保護(hù)；

——c)對(duì)服務(wù)過程中獲取的原始數(shù)據(jù)進(jìn)行加工、分析和使用（如數(shù)據(jù)脫敏后的態(tài)勢(shì)分析和算法訓(xùn)練等）應(yīng)經(jīng)服務(wù)需求方同意，并滿足相關(guān)法律法規(guī)和行業(yè)管理規(guī)定的要求。

服務(wù)可持續(xù)性

5.10

一般要求

● 當(dāng)服務(wù)可持續(xù)性可能出現(xiàn)影響或中斷時(shí)，應(yīng)如何處理

——a)服務(wù)終止后，可能對(duì)服務(wù)需求方系統(tǒng)、業(yè)務(wù)和數(shù)據(jù)等造成影響的，應(yīng)在服務(wù)期限到期前向服務(wù)需求方告知；

——b)涉及服務(wù)機(jī)構(gòu)更換的，應(yīng)根據(jù)服務(wù)需求方要求向指定的其他服務(wù)機(jī)構(gòu)移交相關(guān)的資料、賬號(hào)、證件和令牌等；

——c)如確有無(wú)法提供持續(xù)服務(wù)的情況，應(yīng)提前向服務(wù)需求方告知相關(guān)情況，并提出服務(wù)需求方認(rèn)可的替代或交接方案，以保障服務(wù)需求方業(yè)務(wù)的持續(xù)性。

6.7

一般要求

● 服務(wù)機(jī)構(gòu)變更

——涉及服務(wù)機(jī)構(gòu)更換的，服務(wù)機(jī)構(gòu)應(yīng)確保網(wǎng)絡(luò)安全服務(wù)工作順利交接后才可退出服務(wù)。

檢測(cè)評(píng)估服務(wù)專項(xiàng)要求

5.11

一般要求

● 服務(wù)機(jī)構(gòu)應(yīng)具備的基本能力

——a)服務(wù)機(jī)構(gòu)應(yīng)具備基本的檢測(cè)評(píng)估相關(guān)服務(wù)工具研發(fā)能力或二次開發(fā)能力；

● 涉及風(fēng)險(xiǎn)評(píng)估時(shí)的要求

——b)服務(wù)內(nèi)容涉及風(fēng)險(xiǎn)評(píng)估的，應(yīng)按照GB/T 20984的規(guī)定對(duì)風(fēng)險(xiǎn)進(jìn)行識(shí)別、定性或定量分析和評(píng)價(jià)；

● 開展漏掃、滲透時(shí)的要求

——c)開展漏洞掃描和滲透測(cè)試等可能會(huì)對(duì)服務(wù)需求方系統(tǒng)、業(yè)務(wù)和數(shù)據(jù)等造成影響的，應(yīng)向服務(wù)需求方單獨(dú)告知影響、風(fēng)險(xiǎn)及應(yīng)對(duì)措施，經(jīng)服務(wù)需求方同意后采取影響最小的方式實(shí)施；

● 明確測(cè)試環(huán)境和真實(shí)環(huán)境的區(qū)別

——d)服務(wù)需求方要求使用測(cè)試環(huán)境進(jìn)行檢測(cè)評(píng)估時(shí)，應(yīng)分析測(cè)試環(huán)境與真實(shí)環(huán)境（如生產(chǎn)環(huán)境）的區(qū)別，向服務(wù)需求方告知檢測(cè)評(píng)估結(jié)果的適用范圍；

● 整改完成并驗(yàn)證效果

——e)應(yīng)針對(duì)檢測(cè)評(píng)估所發(fā)現(xiàn)的安全問題和風(fēng)險(xiǎn)等提出安全整改建議，并在服務(wù)需求方完成整改后驗(yàn)證整改效果，服務(wù)需求方無(wú)相關(guān)需求的除外；

● 明確檢測(cè)評(píng)估報(bào)告保存時(shí)間

——f)檢測(cè)評(píng)估報(bào)告等服務(wù)交付成果應(yīng)至少保存6年，有關(guān)法律法規(guī)和行業(yè)管理另有規(guī)定的除外。

安全運(yùn)維服務(wù)專項(xiàng)要求

5.12

一般要求

● 服務(wù)團(tuán)隊(duì)的穩(wěn)定性要求

——a)維持安全運(yùn)維服務(wù)團(tuán)隊(duì)的穩(wěn)定性，駐場(chǎng)服務(wù)人員每年或單個(gè)項(xiàng)目服務(wù)期間更換比例原則上應(yīng)不超過30%；

● 服務(wù)團(tuán)隊(duì)的能力要求

——b)安全運(yùn)維服務(wù)團(tuán)隊(duì)?wèi)?yīng)具備對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行主動(dòng)發(fā)現(xiàn)、分析和提出防護(hù)建議的能力；

● 安全運(yùn)維工作簡(jiǎn)報(bào)

——c)對(duì)運(yùn)維工作記錄進(jìn)行匯總，定期向服務(wù)需求方提供安全運(yùn)維工作簡(jiǎn)報(bào)，簡(jiǎn)報(bào)的形式和提交時(shí)間應(yīng)在服務(wù)協(xié)議或服務(wù)方案中明確，包括日?qǐng)?bào)、周報(bào)、月報(bào)、季報(bào)和年報(bào)等形式；

● 提出評(píng)估服務(wù)水平的可量化指標(biāo)

——d)應(yīng)通過運(yùn)維事件響應(yīng)和事件關(guān)閉率等可量化的指標(biāo)，衡量安全運(yùn)維的服務(wù)水平和用戶滿意度；

● 安全運(yùn)維總結(jié)報(bào)告

——e)服務(wù)交付成果中應(yīng)包含服務(wù)周期內(nèi)的安全運(yùn)維總結(jié)報(bào)告，總結(jié)報(bào)告內(nèi)容包括安全運(yùn)維工作的基本情況、處置的安全事件、采取的改進(jìn)措施和服務(wù)水平評(píng)價(jià)數(shù)據(jù)等。

6.8

增強(qiáng)要求

● 明確運(yùn)維地點(diǎn)范圍、服務(wù)團(tuán)隊(duì)對(duì)暴露面的識(shí)別能力等

——應(yīng)保證運(yùn)維地點(diǎn)位于中國(guó)境內(nèi)，如確需境外運(yùn)維，應(yīng)符合法律法規(guī)要求及相關(guān)規(guī)定；

——安全運(yùn)維服務(wù)團(tuán)隊(duì)?wèi)?yīng)具備對(duì)服務(wù)需求方暴露面進(jìn)行識(shí)別的能力；

——安全運(yùn)維服務(wù)團(tuán)隊(duì)?wèi)?yīng)具備對(duì)不同廠商安全設(shè)備產(chǎn)生的日志進(jìn)行整合分析，以及對(duì)5.3.3f）中記錄的、服務(wù)需求方所掌握的以及從其他渠道獲知的網(wǎng)絡(luò)安全信息進(jìn)行匯總和研判的能力。

標(biāo)準(zhǔn)實(shí)施的重要意義

2023年3月15日，國(guó)家市場(chǎng)監(jiān)督管理總局、中央網(wǎng)絡(luò)安全和信息化委員辦公室、工業(yè)和信息化部和公安部四部委聯(lián)合發(fā)布的《關(guān)于開展網(wǎng)絡(luò)安全服務(wù)認(rèn)證工作的實(shí)施意見》（https://www.gov.cn/zhengce/zhengceku/2023-04/02/content_5749741.htm）。該標(biāo)準(zhǔn)的實(shí)施將為相關(guān)主管部門開展網(wǎng)絡(luò)安全服務(wù)認(rèn)證工作提供標(biāo)準(zhǔn)支撐，有效促進(jìn)網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)健康有序發(fā)展。另一方面，該標(biāo)準(zhǔn)的內(nèi)容條款是對(duì)眾多網(wǎng)絡(luò)安全服務(wù)過程和要求的總結(jié)提煉，有效落實(shí)了我國(guó)最新的法律法規(guī)相關(guān)要求，與我國(guó)網(wǎng)絡(luò)安全管理工作緊密銜接，該標(biāo)準(zhǔn)的實(shí)施將進(jìn)一步明確網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)責(zé)任、規(guī)范網(wǎng)絡(luò)安全服務(wù)市場(chǎng)、提升網(wǎng)絡(luò)安全服務(wù)過程中的規(guī)范性，有助于網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)避免重復(fù)能力建設(shè)，規(guī)范網(wǎng)絡(luò)安全服務(wù)過程和要求、提升自身的核心優(yōu)勢(shì)能力，整體提升網(wǎng)絡(luò)安全服務(wù)水平。

安恒信息在積極參與行業(yè)相關(guān)標(biāo)準(zhǔn)研究與起草的同時(shí)，為全面自高自身面對(duì)面對(duì)復(fù)雜和嚴(yán)苛網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全運(yùn)營(yíng)水平和能力，從資產(chǎn)管理、攻擊面管理、漏洞管理、威脅狩獵和應(yīng)急響應(yīng)五個(gè)核心攻防對(duì)抗維度出發(fā)，通過持續(xù)度量和迭代優(yōu)化安全保障能力，打造了集態(tài)勢(shì)感知、通報(bào)預(yù)警、信息共享、指揮協(xié)調(diào)的一體化安全運(yùn)營(yíng)體系，實(shí)現(xiàn)了安全能力全覆蓋、安全管理全統(tǒng)一、安全響應(yīng)全協(xié)同和安全運(yùn)營(yíng)實(shí)戰(zhàn)化的網(wǎng)絡(luò)安全運(yùn)營(yíng)服務(wù)高指標(biāo)保障。