代替GB/T32914—2016信息安全技術網絡安全服務能力要求Informationsecuritytechnology—Capabilityrequirementsofcybersecurityser2023-09-07發布國家標準化管理委員會GB/T32914—2023前言 Ⅲ 12規范性引用文件 13術語和定義 14總體要求 25一般要求 25.1基本條件 25.2組織管理 35.3項目管理 35.4供應鏈管理 55.5技術能力 55.6服務工具 55.7遠程股務 65.8法律保障 65.9數據安全保護 65.10服務可持續性 75.11檢測評估服務專項要求 75.12安全運維服務專項要求 76增強要求 86.1基本條件 86.2組織管理 86.3供應鏈管理 86.4技術能力 86.5服務工具 86.6數據安全保護 96.7服務可持續性 96.8安全運維服務專項要求 9附錄A(資料性)網絡安全服務使用的常見工具類型 參考文獻 I本文件代替GB/T32914—20168信息安全技術信息安全服務提供方管理要求》,與b)增加了總體要求(見第4章):c)將第5章、第5章內容吏改并合并為“第5章一般要求”(見第5章，2016年版的第5章、第6章);—2016年首次發布為GB/T32914—2016;Ⅱ信息安全技術網絡安全服務能力要求本文件規定了網絡安全服務的能力要求，包括一般要求和增強要求。本文件適用于指導網絡安全服務機構開展網絡安全服務，以及評價網絡安全服務機構的能力水平，也可為網絡安全服務需求方選擇網絡安全服務機構時提供參考。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注口期的引用文件，其最新版本(包括所有的修改單)適用于GB/T20984信息安全技術信息安全風險評估方法GB/T22080信息技術安全技術信息安全管理體系要求GB/T25069信息安全技術術語GB/T36959信息安全技術網絡安全等級保護測評機構能力要求和評估規范GB/T39204—2022信息安全技術關鍵信息基礎設施安全保護要求GB/T42446信息安全技術網絡安全從業人員能力基本要求GB/T42461信息安全技術網絡安全服務成本度量指南國家網絡安全事件應急預案(2017年1月10日中央網絡安全和信息化領導小組辦公室[2017]4號公布)網絡產品安全漏洞管理規定(2021年7月12日工業和信息化部國家互聯網信息辦公室公安部(2021]66號公布)網絡關鍵設備和網絡安全專用產品日錄(第一批)(2017年6月1日國家互聯網信息辦公室工業和信息化部公安部國家認證認可監督管理委員會[2017]01號公布)3術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。全等服務的相關過程。2c)未被列入可能影響網絡安全服務的負面清單，如失信被執行人名單、重大稅收違法案件當事人名單、政府采購嚴重違法失信行為記錄名單和不可靠實體清單等；d)不存在未處理的網絡安全相關行政處罰和正在接受網絡安全審查等情形。5.2組織管理服務機構的組織管理應滿足以下要求：a)按照GB/T22080建立信息安全管理體系；b)設置與網絡安全服務規模相適應的專業技術部門或團隊；c)網絡安全服務項目負責人具備2年以上相應網絡安全服務項目經驗；d)建立服務人員檔案，包括服務人員的資格證明、培訓/考核記錄、技術方向和能力水平、從業經歷、實際參與項目及分工等信息，檔案至少保存至服務人員離職后6年；f)與服務人員簽訂保密協議，約定服務項目實施中的通用保密要求，并定期進行保密教育。5.3項目管理5.3.1服務成本度量服務機構應按照GB/T42461對網絡安全服務項目的成本進行度量后合理確定服務報價。服務機構的網絡安全服務方案應滿足以下要求：a)在服務項目實施前編制網絡安全服務方案，并得到服務需求方的認可；b)在服務方案中明確網絡安全服務范圍、服務日標、服務依據、服務內容及服務水平；c)在服務方案中明確服務人員(包括項目負責人和項目實施人員的職責等)、服務流程(包括計劃和風險控制等)等服務要素。5.3.3服務實施服務機構在服務實施過程中的要求包括以下內容。b)應建立服務變更管理流程，變更前與服務需求方就具體事項主動溝通，經服務需求方同意務需求方系統和業務造成影響的，應進行針對性的改進、補救或恢復。c)應建立項目應急處置機制，確定雙方的接口人，及時處理服務實施過程中產生的投訴、爭議和突發事件等，并形成處置結論或解決方案。d)在服務過程中發現網絡安全事件，應及時向服務需求方報告安全事件情況，并根據國家網絡安3e)在服務過程中發現網絡產品(含硬件和軟件)的網絡安全注：通用產品是指已公開銷售或開放授權，且被廣泛應用的產品。情況進行監督。4應商：要求。注：經確認工具的版本不屬于涉及安全問題的5h)應確保使用服務工具的過程不會對服務需求方系統邊界安全措施造成影響(如服務需求方系b)對遠程登錄操作人員進行身份鑒別，為賬號設置復雜度高(如長度不少于12位，包含大寫字注1:約定數據安全保護的條款的方式包括在服務協議中專門體現或簽署單獨的數據安全保護協議，注2:現場提供網絡安全服務的，明確項目相關資料是否能被外帶的要求。注3:涉及紙質資料的，明確是否可被電子化。6d)因服務所需向境外提供和傳輸網絡安全服務過程中獲取的各類數據，應在事前向服務需求方單獨告知出境日的、數據種類、數量、周期和接收方等情況，取得服務需求方書面同意。同時，還應遵守數據出境管理相關法律法規的要求。等處理。服務需求方對處理情況提出核驗或審計的，應予以充分配合。5.10服務可持續性服務機構保障服務可持續性的要求包括以下內容；a)服務終止后，可能對服務需求方系統、業務和數據等造成影響的，應在服務期限到期前向服務需求方告知；b)涉及服務機構更換的，應根據服務需求方要求向指定的其他服務機構移交相關的資料、賬號、證件和令牌等；c)如確有無法提供持續服務的情況，應提前向服務需求方告知相關情況，并提出服務需求方認可的替代或交接方案，以保障服務需求方業務的持續性。5.11檢測評估服務專項要求服務機構提供檢測評估服務的專項要求包括以下內容：B)服務機構應具備基本的檢測評估相關服務工具研發能力或二次開發能力；b)服務內容涉及風險評估的，應按照GB/T20984的規定對風險進行識別，定性或定量分析和e)開展漏洞掃描和滲透測試等可能會對服務需求方系統、業務和數據等造成影響的，應向服務需求方單獨告知影響、風險及應對措施，經服務需求方同意后采取影響最小的方式實施；d)服務需求方要求使用測試環境進行檢測評估時，應分析測試環境與真實環境(如生產環境)的區別，向服務需求方告知檢測評估結果的適用范圍；e)應針對檢測評估所發現的安全問題和風險等提出安全整改建議，并在服務需求方完成整改后驗證整改效果，服務需求方無相關需求的除外；f)檢測評估報告等服務交付成果應至少保存6年，有關法律法規和行業管理另有規定的除外。5.12安全運維服務專項要求服務機構提供安全運維服務的專項要求包括以下內容：a)維持安全運維服務團隊的穩定性，駐場服務人員每年或單個項日服務期間更換比例原則上應不超過30%;b)安全運維服務團隊應具備對網絡攻擊行為進行主動發現、分析和提出防護建議的能力；c)對運維工作記錄進行匯總，定期向服務需求方提供安全運維工作簡報，簡報的形式和提交時間d)應通過運維事件響應和事件關閉率等可量化的指標，衡量安全運維的服務水平和用戶滿意度；7e)服務交付成果中應包含服務周期內的安全運維總結報告，總結報告內容包括安全運維工作的6增強要求6.1基本條件服務機構應具備以下條件：a)法定代表人、董事、合伙人以及高層管理人員無犯罪記錄；b)2年內沒有因重大網絡安全服務問題被有關部門通報。6.2組織管理服務機構組織管理應滿足以下要求：a)指定一名高層管理人員作為網絡安全服務負責人；h)根據服務協議中的服務內容建立相對獨立的項目服務團隊(服務期內保證不少于50%服務人員僅服務特定項目);c)對項目服務人員進行背景審查，審查結果長期留存并可供服務需求方查看；項目服務人員的身份和安全背景等發生變化(如取得非中國國籍)或必要時，重新進行背景審查；d)確保項日服務人員是持有相關技術資格證明且任職1年以上的員工，且無信息網絡犯罪記錄；e)確保項日服務人員每人每年教育培訓時長不少于30個學時，教育培訓和考核內容包括網絡安f)確保項目服務人員已掌握保密相關知識和技能(如通過保密培訓及考試),知曉了其應當履行與服務需求方簽署保密協議(或承諾書和責任書)。6.3供應鏈管理服務機構在服務過程中需要引入供應商產品或服務的，應對政治、貿易和外交等因素導致產品或服務供應中斷的風險進行評估，優先選樣合格供應商目錄中供應有保障的產品或服務。6.4技術能力服務機構的技術能力要求包括以下內容：a)應按照GB/T39204—2022中第9章的相關內容，通過建立與國家、行業等有關管理部門、研b)應建立網絡安全服務管理系統，將網絡安全服務的基本情況和5.3,3d)~f)涉及的記錄錄入系統并進行自動化管理，且系統可支持通過接口方式共享相關記錄。6.5服務工具服務機構在服務過程中使用服務工具的要求包括以下內容；a)應針對服務項目建立單獨的服務工具清單，并明確服務工具的使用要求和范圍；8b)服務工具需接入服務需求方生產環境的，應取得安全認證或通過第三方機構的安全檢測；c)服務工具無法使用會對服務水平產生顯著影響的，應通過提前采購儲備、同類型產品備份或簽署備貨協議等方式保障服務工具的持續供應。6.6數據安全保護服務機構對服務過程中獲取的數據進行安全保護的要求包括：a)服務過程中應對網絡安全服務產生的網絡流量數據進行監測或審計，保證所有網絡流量數據均為提供服務所必需；涉及出境流量數據的，應按照5.9d)的規定處置：b)服務過程中獲取的數據，應與其他數據分開存儲和處理，并按照GB/T39204—2022中7.10的規定予以保護；c)對服務過程中獲取的原始數據進行加工、分析和使用(如數據脫敏后的態勢分析和算法訓練等)應經服務需求方同意，并滿足相關法律法規和行業管理規定的要求，6.7服務可持續性涉及服務機構更換的，服務機構應確保網絡安全服務工作順利交接后才可退出服務。6.8安全運維服務專項要求服務機構提供安全運維服務的專項要求包括以下內容：a)應保證運維地點位于中國境內，如確需境外運維，應符合法律法規要求及相關規定；b)安全運維服務團隊應具備對服務需求方暴露面進行識別的能力；c)安全運維服務團隊應具備對不同廠商安全設備產生的日志進行整合分析，以及對5.3.3f)中記錄的、服務需求方所掌握的以及從其他渠道獲知的網絡安全信息進行匯總和研判的能力。9(資料性)網絡安全服務使用的常見工具類型A.1漏洞掃描工具和運行等過程中，有意或無意產生的脆弱性或后門，并提出一定的防范和補救措施建議的工具。A.2漏洞挖掘工具設計、實現、配置和運行等過程中，可能存在的脆弱性或后門，并提出一定的防范和補救措施建議的A.3配置核查工具安全配置檢測和合規性分析，生成安全配置建議和合規性報告的工具。A.4軟件成分分析工具通過分析軟件包含的一些信息和特征，基于人工智能(AI)的分析引擎發現軟件及其第三方組件的A.5應用安全檢測工具通過代理、虛擬專用網絡(VPN)或在服務端部署客戶端程序，收集、監控應用程序(如Web應用)運行時函數執行和數據傳輸，并與掃描器端進行實時交互，高效、準確地識