网络安全服务机构等级评定规范全文及说明Word格式.docx
《网络安全服务机构等级评定规范全文及说明Word格式.docx》由会员分享,可在线阅读,更多相关《网络安全服务机构等级评定规范全文及说明Word格式.docx(89页珍藏版)》请在冰点文库上搜索。
考虑到本文件中的某些条款可能涉及专利,中国标准化协会、北京网络空间平安协会不负责对任何该类专利的鉴别。
本文件首次修订。
引言
随着互联网的普及应用,网络平安已成为国家平安战略重要组成局部。
如何确保信息网络的设施安全、运行平安和数据平安,备受社会各方关注。
20XX年6月1日,《中华人民共和国网络平安法》正式实施,对如何强化网络平安管理、提高网络产品和效劳的平安可控水平等提出了明确的要求。
在此环境下,众多为网络平安建设、平安运转、数据平安可用提供技术性效劳的机构应运而生、开展迅猛,已经形成规模庞大的网络平安效劳产业。
这些效劳机构的技术能力、工作标准及管理水平,直接影响着我国信息网络的平安。
制定《网络平安效劳机构等级评定标准》,按照标准要求实施网络平安效劳机构等级评定,客观公正地评价服务机构的资格和效劳能力,既可作为效劳机构开展自我评价的标准和标准,也可为用户在维护网络平安工作中选择效劳机构提供依据,有利于标准市场秩序、防止恶性竞争、杜绝不良企业涉足网络平安行业,促进网络平安效劳行业的健康开展,切实保护我国网络的平安。
1范围
本文件规定了网络平安效劳机构(以下简称“效劳机构”)应具备的根本能力要求、专业能力要求及评定要求。
本文件适用于第三方机构对效劳机构进行资信和能力评价,可作为效劳机构开展自我评价的依据,并可为效劳对象选择效劳机构提供依据。
2标准性引用文件
以下文件对于本文件的应用是必不可少的。
但凡注日期的引用文件,仅注日期的版本适用于本文件。
但凡不注日期引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T27000—2006合格评定词汇和通用原那么
3术语和定义
以下术语和定义适用于本文件。
3.1
网络平安效劳cybersecurityservice
由效劳机构为效劳对象提供的全面或局部网络平安解决方案的效劳。
主要包括网络与信息系统安全工程的设计、实施、运行、维护和数据保护与应用,以及相关的咨询和培训等活动。
3.2
网络平安效劳机构cybersecurityserviceinstitutions
按照合同或协议的约定为效劳对象提供网络平安效劳的组织,也称为网络平安效劳提供商。
3.3
网络平安效劳机构等级cybersecurityserviceinstitutiongrade
用于评定网络平安效劳机构效劳能力的级别,主要包括从业时间、法律资格、财务资信、制度及流程、人员状况、技术能力、专业能力等方面的要求,以下简称“效劳等级”。
网络平安效劳机构等级评定组织gradingorganizationofcybersecurityserviceInstitutions
行业内有影响力的专业机构、专业协会和专业组织等对网络平安效劳机构的效劳能力按照相应标准进行等级评估的第三方组织,简称“评定机构”。
4网络平安效劳类型
4.1平安咨询效劳
效劳机构根据效劳对象网络与信息系统所支持的业务和管理,通过知识传递、工作辅导和系统规划等形式提供的网络平安效劳。
主要包括平安规划、平安管理体系咨询、平安风险评估、平安应急管理咨询、业务连续性管理咨询等。
4.2信息系统平安集成效劳
效劳机构根据效劳对象对网络平安效劳的需求,提供和实施的平安需求界定、平安设计、平安实施、平安保障等网络平安效劳。
主要效劳流程包括平安方案设计、实施、测试和验收等。
4.3信息系统平安运维效劳
为保障和提升效劳对象的信息系统平安防护能力,及时解决出现的网络平安问题,由效劳机构通过管理与技术手段提供的网络平安效劳。
主要包括平安巡检、病毒查杀、备份和恢复、平安审计、平安优化、渗透测试、风险评估等。
4.4监测预警效劳
效劳机构依托专业知识和技能,利用专业工具对及时发现的网络平安风险进行持续跟踪、分析和预警,并按照规程进行上报的效劳。
主要包括漏洞检测、攻击监测、恶意代码检测、平安态势感知和平安通报等。
4.5应急响应效劳
效劳机构根据效劳对象信息平安应急管理体系,针对各类突发信息平安事件做出快速响应,及时而有效进行事件处理,最大程度减少事件造成的影响和损失,或根据效劳对象已有的应急预案,在设备、系统、业务、组织等不同层面进行测试和演练,从而提高效劳对象应对各类突发事件的能力。
主要包括应急响应、应急预案和应急演练等。
效劳机构为解决软件产品的漏洞问题,而将平安活动集成到系统开发和软件质量保证活动中,在软件开发的每个关键点嵌入平安要素,通过平安需求分析、平安设计、平安编码、平安测试等专业手段,解决各阶段可能出现的平安问题,有效减少软件产品潜在的漏洞数量提高软件产品平安质量的活动。
4.7工业控制系统平安效劳
效劳机构针对效劳对象工业网络与信息平安问题,通过管理与技术手段保护效劳对象的工业控制系统的软硬件、网络及其中数据,使其不因偶然的或者恶意原因而遭受破坏、更改泄露,保障工业控制系统连续正常地运行所提供的一系列平安效劳。
主要包括工业控制系统调研、工业控制系统风险评估、安全解决方案设计、平安加固与防护实施、运维管理体系建设等。
4.8数据平安效劳
效劳机构根据效劳对象数据管理要求提供的数据权属、数据保护、数据平安共享、数据权益保障、数据交易应用等网络平安效劳。
主要包括数据的分级、权属、注册、保护、共享、应用、交易、评估、权益、溯源等。
4.9信息平安风险评估效劳
效劳机构通过对信息系统提供风险评估效劳,系统地分析网络与信息系统所面临的威胁及其存在的威胁性,评估平安事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和平安整改措施。
4.10云计算平安效劳
效劳机构根据效劳对象的云计算业务范围确定其云效劳模型,从根底能力、管理能力和技术能力这三方面出发,提供符合客户业务场景的最正确实践指导的平安效劳。
从管理保障角度做好法律法规遵守、合规和审计、信息治理、业务连续性和灾备管理、供给商管理控制的工作;
从技术保障角度做好根底设施平安保障、虚拟化和容器平安保护、应用平安保护、数据平安保护、权限访问管理、应急响应控制的工作。
4.11信息系统平安审计效劳
效劳机构根据效劳对象网络与信息系统现状情况,能通过收集和评价审计证据,检查和促进被审计单位信息系统及其内部控制的真实性、正确性、完整性、平安性、可靠性和经济性等要素。
使被效劳对象的内控目标得以有效地实现、使组织的资源得到高效地使用。
主要包括IT治理层审计、重要信息系统层审计等。
4.12渗透测试效劳
效劳机构根据效劳对象的测试需求,模拟黑客攻击的手法,进行的非破坏性的攻击性测试,以期发现可能被黑客利用对系统进行入侵的平安漏洞和隐患及攻击路径,并将入侵的过程和漏洞细节产生报告给效劳对象,提出详细、合理的修复建议,指导其进行整改,去除平安隐患,降低平安风险,为效劳对象信息系统的平稳运行提供平安保障。
5评定原那么与流程
5.1权威性原那么
由评定机构依据本文件公开、公正、公平的原那么进行评定。
5.2自愿原那么
网络平安效劳机构等级评定由效劳机构自愿向评定机构提出中请,评定机构收到申请后依据本文件进行评定。
5.3—致性原那么
网络平安效劳能力具有本地化特征,网络平安效劳企业在不同区域的效劳能力由相应区域的评定机构依照该文件进行评定,以保证效劳能力等级评定在不同区域的一致性。
5.4公平性原那么
评定机构相关人员要进行统一培训,采用相同的评定实施规那么和流程,以保证评定的公平性。
5.5综合评定原那么
网络平安效劳机构评定的等级要求同时满足该等级的根本能力要求和专业能力要求,假设根本能力和专业能力评定的等级不一致,取较低的等级作为网络平安效劳机构的最终评定等级。
5.6评定流程
网络平安效劳机构等级评定流程按附录A的规定执行。
6效劳机构等级划分
网络平安效劳机构等级评定要求包含根本能力要求、技术效劳能力要求。
根本能力要求包含法律资格、财务资信、人员状况、办公场所、从业时间、经营业绩、管理制度、合同管理等,具体要求见第7章。
技术效劳能力要求包含根本要求、准备阶段、设计阶段、实施阶段、效劳保障阶段等4个阶段的效劳过程要求,具体要求见标准性附录B-M。
依据效劳机构的根本能力和技术效劳能力要求分为一级、二级、三级、四级,其中四级最高,一级最低。
7根本能力要求
7.1第一级要求
法律资格
应具有中华人民共和国境内注册的独立法人资格,产权关系明确,具有相应的经营范围。
财务资信
应有健全的财务管理制度,财务数据真实可信。
7.1.3办公场所
应具有固定的办公场所和相应的办公条件,能够满足机构设置及其业务需要。
人员能力要求
网络平安效劳机构的效劳人员要求:
a)机构负责人应拥有1年以上(含1年)信息技术领域管理经历;
b)技术负责人应从事网络平安技术工作1年以上(含1年);
c)应从事网络平安效劳人员5名以上(含5名);
d)应拥有与申报类别一致的网络平安专业技术人员证书3名以上(含3名)。
从业时间
首次中请不做要求。
经营业绩
首次申请不做要求,维持资格最少完成一个1个与申报类别一致的网络平安效劳工程。
管理制度
网络平安效劳机构管理制度要求:
a)应具备健全的人力资源管理制度,效劳人员能持续满足业务需求;
b)应建立文档控制程序,明确文档管理职责;
c)应建立工程管理制度和实施细那么;
d)应制定专业人员业务技能培训方案和能力考核指标;
e)应制定保密管理制度,明确岗位保密责任,对效劳对象敏感信息和知识产权予以保护,与相关人员签订保密协议,并进行保密教育。
合同管理
网络平安效劳机构的合同要求:
a)应具有健全的合同管理制度;
b)应具有健全的合同评审程序;
c)合同内容应具有明确的效劳范围,效劳内容和方法,符合网络平安法律法规要求,应具有保护客户的敏感信息和知识产权条款。
7.2第二级要求
7.2.1法律资格
应具有中华人民共和国境内注册的独立法人资格,产权关系明确,应具有相应的经营范围。
7.2.2财务资信
应有健全的财务管理制度,财务数据真实可信,近1年经营状况良好。
7.2.3办公场所
应具有固定的办公场所和相应的办公条件,办公场所面积能够满足机构设置及其业务需要。
7.2.4人员能力
平安效劳机构的效劳人员要求:
a)机构负责人应拥有2年以上(含2年)信息技术领域管理经历;
b)技术负责人应从事网络平安技术工作2年以上(含2年);
c)应从事网络平安效劳人员10名以上(含10名);
d)应拥有与申报类别一致的网络平安专业技术人员证书6名以上(含6名)o
7.2.5从业时间
应从事与申报类别一致的网络平安效劳1年以上。
7.2.6经营业绩
效劳机构的经营业绩要求:
a)近二年内应签订并完成至少3个与申报类别一致的网络平安效劳工程;
b)非平安咨询效劳近二年应完成与申报类别一致的效劳业绩累积达50(含50)万元以上,其中至少有一个与申报类别一致的单个效劳工程合同额10(含10)万元以上;
平安咨询效劳近二年完成与申报类别一致的效劳业绩累积达20(#20)万元以上,其中至少有一个与申报类别一致的单个服务工程合同额5(含5)万元以上。
效劳机构的管理制度要求:
e)应制定保密管理制度,明确岗位保密责任,对效劳对象敏感信息和知识产权予以保护,与相关人员签订保密协议,并进行保密教育。
效劳机构的合同管理要求:
7.3第三级要求
7.3.1法律资格
应有健全的财务管理制度,财务数据真实可信,近3年经营状况良好。
7.3.3办公场所
7.3.4人员能力
效劳机构的效劳人员要求:
a)机构负责人应拥有3年以上(含3年)信息技术领域管理经历;
b)技术负责人应从事网络平安技术工作3年以上(含3年);
c)应从事网络平安效劳人员20名(含20名)以上;
d)应拥有与申报类别一致的网络平安专业技术人员证书10名(含10名)以上。
7.3.5从业时间
应从事与申报类别一致的网络平安效劳3年以上,或取得网络平安效劳等级评定资质2级满1年以上。
7.3.6经营业绩
a)近二年内应签订并完成至少6个与申报类别一致的网络平安效劳工程;
b)非平安咨询效劳近二年应完成与申报类别一致的效劳业绩累积达100(含100)万元以上,其中至少有一个与申报类别一致的单个效劳工程合同额30(含30)万元以上;
平安咨询效劳近二年完成与申报类别一致的效劳业绩累积达50(含50)万元以上,其中至少有一个与申报类别一致的单个效劳工程合同额10(含10)万元以上。
7.3.7管理制度
e)应制定保密管理制度,明确岗位保密责任,对效劳对象敏感信息和知识产权予以保护,与相关人员签订保密协议,并进行保密教育;
f)应参照国际或国内标准,建立覆盖信息网络平安效劳的质量管理体系并有效运行。
效劳机构的合同要求:
a)应具有健全的合同管理制度;
b)应具有健全的合同评审程序;
c)合同内容应具有明确的效劳范围,效劳内容和方法,符合网络平安法律法规要求,应具有保护客户的敏感信息和知识产权条款。
7.3.9专业工具
效劳机构的专业工具要求:
a)应具备独立的测试环境及必要的软、硬件设备,用于技术培训和模拟测试;
b)应具备承当与申报类别一致的网络平安效劳工程所需的平安工具,并对工具进行管理和版本控制。
7.4第四级要求
7.4.1法律资格
7.4.2财务资信
7.4.3办公场所
7.4.4人员能力
a)机构负责人应拥有5年以上(含5年)信息网络技术领域管理经历;
b)技术负责人应从事网络平安技术工作5年以上(含5年);
c)应从事网络平安技术效劳人员30名以上(含30名);
d)拥有与申报类别一致的网络平安专业技术人员证书20名以上(含20名)。
7.4.5从业时间
应从事与申报类别一致的网络平安效劳5年以上,或取得网络平安效劳等级评定资质3级满1年以上。
7.4.6经营业绩
a)近二年内应至少签订并完成10个网络平安效劳工程;
b)非平安咨询效劳近二年应完成与申报类别一致的效劳业绩累积达200(含200)万元以上,其中至少有一个与申报类别一致的单个效劳工程合同额100(含100)万元以上;
平安咨询效劳近二年完成与申报类别一致的效劳业绩累积达100(#100)万元以上,其中至少有一个与申报类别一致的单个效劳工程合同额20(含20)万元以上。
7.4.7管理制度
g)应参照国际或国内标准,建立信息平安管理体系并有效运行。
7.4.8合同管理
7.4.9专业工具
附录A
(标准性附录)
评定流程
开展网络平安效劳机构等级评定,按照图A.1规定的流程进行。
是
附录B
平安咨询效劳机构评价要求
B.1第一级要求
B.1.1准备阶段
a)应编制平安咨询效劳方案、平安咨询效劳模板,并在工程实施过程中按照模板实施;
b)应为平安咨询效劳实施活动提供工作方案,方案应包含平安咨询效劳准那么;
c)应根据项R需求准备必要的工具;
d)应对工程团队实施平安咨询效劳前进行培训。
实施阶段
a)应面向组织操作层,了解组织业务流程、技术应用和数据开发利用情况;
b)应形成平安咨询效劳的解决方案;
c)应按照效劳能力要求实施管理活动并记录,确保效劳能力管理和效劳过程实施可追溯,效劳
结果可度量或可评估;
d)应提交满足平安咨询效劳方案的结果;
e)应根据调查及分析结果,为解决问题制定改善方案,并对其可行性和实效性进行评价,必要
时对实施方案进行修改。
改良阶段
a)应建立效劳能力管理改良和创新机制;
b)应提供工程风险管理记录;
c)应具备平安咨询效劳指南性文件和质量手册。
B.2第二级要求
B.2.1根本要求
除满足一级能力要求外,还应满足B.2.2〜B.2.4的要求。
B.2.2准备阶段
a)
应开展工程前期调研,形成组织根本现状、需求和目标,明确工程范围;
b)
应根据工程目标和前期调研结果,确定工程实施方案。
B.2.3
应面向组织操作层和执行层,了解组织的业务流程、技术应用、数据开发利用和人财物资源
配置管理情况;
实施成果在父付之刖,应进行工程内部评审。
B.2.4
应对不符合要求的行为进行总结分析,对未达成的指标进行调查分析,根据分析结果确定改进措施,制定效劳能力改良方案并实施;
应在整个组织中开展各种改良与创新,包括人员、过程、技术和资源等要素。
B.3第三级要求
B.3.1
根本要求
除满足二级能力要求外,还应满足B.3.2〜B.3.4要求。
准备阶段
a)应确定平安标准以及用户需求,完成平安需求分析报告;
b)工程实施方案应同相关方进行评审。
B.3.3实施阶段
a)应面向组织操作层、执行层和管理层,了解组织的组织结构、业务流程、技术应用、数据开发利用、人财物资源配置管理和绩效考核情况;
b)应调查用户满意度,并对效劳能力实施的结果进行评价,支持效劳改良;
c)针对用户应开展平安咨询效劳成果培训。
a)应用多种方法在整个组织中开展各种改良与创新,包括人员、过程、技术和资源等要素;
b)平安咨询效劳的培训应区分对象和层次,针对性开展,要有培训方案、培训课件、培训效果统计和考核。
B.4.1根本要求
除满足三级能力要求外,还应满足B.4.2〜B.4.4的要求。
B.4.2准备阶段
a)应采取相关措施,保障工具管理的标准性;
b)应制定覆盖工程准备阶段、实施阶段和改良阶段的培训方案,明确培训对象、培训内容、培训方案等。
B.4.3实施阶段
实施阶段要求:
a)应面向组织操作层、执行层、管理层和决策层,了解组织的战略规划、业务流程、组织结构、技术应用、数据开发利用、人财物资源配置管理和绩效考核情况;
b)应采用多种咨询方法进行效劳实施;
c)针对工程成果应组织召开专家评审会。
B.4.4改良阶段
a)应具备平安咨询效劳知识库,具备知识收集、检索和维护的手段和功能;
b)应建立平安咨询效劳标准库,具备时效性、完善性、系统性和适用性;
c)应建立平安咨询效劳专家库,能够满足工程需要。
附录C
(标准性目录)
信息系统平安集成技术效劳能力评价要求
C.1第一级要求
C.1.1根本要求
准备阶段要求:
a)应组建不少于3人的平安集成工程团队,包括技术人员和管理人员,指定工程负责人;
b)应根据效劳对象的需求,确定系统集成建设平安需求和建设目标,明确系统功能、性能及平安性要求,并编写技术方案;
C)应基于系统建设平安需求,提出产品选型方案和建设预算;
d)应明确范围、目标、时间、内容、质量等;
e)应与效劳对象确定工程平安集成过程中的
升级会员 