云安全
态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
《信息安全技术 网络安全服务能力要求》国标发布,2024新奥门资料深度参与
深度参与国家标准制定
2023年9月7日,国家市场监督管理总局(国家标准化管理委员会)发布中华人民共和国国家标准2023年第9号公告,其中2024新奥门资料深度参与的国家标准GB/T 32914-2023《信息安全技术 网络安全服务能力要求》正式批准发布,并将于2024年4月1日正式实施。该标准是对GB/T 32914-2016《信息安全技术 信息安全服务提供方管理要求》的修订。
近年来,网络安全服务需求不断增加,但市场需求不断增加的同时也出现了很多不规范不符合市场合理竞争的现象,如低价竞争、交付不规范、交付质量不能满足用户需求及产生的数据泄露问题等等。
为营造健康有序的网络安全服务市场,也为落实我国近年来相继推出的《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等法律法规的相关要求,推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量,因此提出对国家标准GB/T 32914-2016《信息安全技术 信息安全服务提供方管理要求》的立项修订。
修订后的标准名称由原来的“信息安全服务提供方管理要求”改为“网络安全服务能力要求”。标准技术内容方面,在2016版标准的基础上,明确了网络安全服务的核心定义,规定了网络安全服务机构提供网络安全服务应具备的能力,界定了标准的适用范围。
为有效保证该标准的应用实施,2023年3月15日,国家市场监督管理总局、中央网络安全和信息化委员办公室、工业和信息化部和公安部四部委联合发布了《关于开展网络安全服务认证工作的实施意见》。“意见”中提出,将 “开展国家统一推行的网络安全服务认证工作”,通过认证的网络安全服务机构应当按照标准规范开展网络安全服务工作。
在标准的修订过程中,2024新奥门资料积极参与标准研究与起草,同时为保证标准内容条款的科学性和合理性,组织开展“试点验证”工作。网络安全国家标准是网络安全行业健康发展的技术保障,2024新奥门资料作为网络安全服务领域的重要力量,在完善网络安全标准化体系建设工作方面,也将会持续奋进,贡献安恒力量!
标准修订背景
近年来,由于国民经济各行业对网络安全服务需求的逐步加大,随之出现了很多不规范不符合市场合理竞争的现象,如越来越多的低价竞争、交付不规范和交付质量不能满足用户需求以及产生的数据泄露等等。为落实《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等法律法规要求,推进网络安全服务认证体系建设,规范网络安全服务市场秩序,提升网络安全服务机构能力水平和服务质量,同步配合由国家市场监督管理总局、中央网络安全和信息化委员办公室、工业和信息化部和公安部四部委联合发布的《关于开展网络安全服务认证工作的实施意见》实施,提出了对国家标准GB/T 32914-2016《信息安全技术 信息安全服务提供方管理要求》的修订。修订后的标准名称由原来的“信息安全服务提供方管理要求”改为“网络安全服务能力要求”。标准技术内容方面,在2016版国家标准的基础上,明确了网络安全服务的核心定义,规定了网络安全服务机构提供网络安全服务应具备的能力,界定了标准的适用范围。
标准的主要内容解读
标准适用范围
修订后的标准主要规定了网络安全服务的能力要求,包括一般要求和增强要求。适用于指导网络安全服务机构开展网络安全服务,以及评价网络安全服务机构的能力水平,也可为网络安全服务需求方选择网络安全服务机构时提供参考。
对重要概念重新进行了定义和说明
标准对网络安全服务的定义是:根据服务协议,基于服务人员、技术、工具、管理、资金等资源,提供保障网络运行安全、网络信息安全等服务的相关过程。常见的网络安全服务包括检测评估、安全运维和安全咨询等,网络安全服务通常以供需双方的服务项目形式进行。同时补充说明,网络安全等级保护测评、商用密码应用安全性评估属于检测评估服务中的特定类别服务。
总体要求
网络安全服务机构向网络安全服务需求方提供网络安全服务,应满足一般要求;网络安全服务机构向对网络安全服务有更高要求的服务需求方(如党政机关、关键信息基础设施运营者等)提供网络安全服务时,还应满足增强要求;网络安全等级保护测评机构的要求应符合GB/T 36959-2018《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》的规定;商用密码应用安全性评估机构的要求应符合国家密码管理有关法律法规和标准规范的规定。
一般要求和增强要求的对比
基本条件
5.1
一般要求
● 服务机构的一般要求
——a) 在中华人民共和国境内注册;
——b) 法定代表人、董事、合伙人以及高层管理人员三年内无犯罪记录;
——c) 未被列入可能影响网络安全服务的负面清单,如失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单和不可靠实体清单等;
——d) 不存在未处理的网络安全相关行政处罚和正在接受网络安全审查等情形。
6.1
增强要求
● 服务机构的增强要求
——a) 法定代表人、董事、合伙人以及高层管理人员无犯罪记录;
——b) 2年内没有因重大网络安全服务问题被有关部门通报。
组织管理
5.2
一般要求
● 建立信息安全管理体系
——a)按照GB/T 22080建立信息安全管理体系;
● 设置专业的技术部门或团队
——b)设置与网络安全服务规模相适应的专业技术部门或团队;
● 项目负责人的要求
——c)网络安全服务项目负责人具备2年以上相应网络安全服务项目经验;
● 建立服务人员档案
——d)建立服务人员档案,包括服务人员的资格证明、培训/考核记录、技术方向和能力水平、从业经历、实际参与项目及分工等信息,档案至少保存至服务人员离职后6年;
● 项目服务人员的要求
——e)服务人员具备GB/T 42446规定的网络安全服务相关的知识和技能要求,熟练掌握《国家网络安全事件应急预案》《网络产品安全漏洞管理规定》等的要求,接受岗前培训并经考核评定合格后上岗;
● 签署保密协议
——f)与服务人员签订保密协议,约定服务项目实施中的通用保密要求,并定期进行保密教育。
6.2
增强要求
● 项目负责人的要求
——a) 指定一名高层管理人员作为网络安全服务负责人;
● 服务团队的要求
——b) 根据服务协议中的服务内容建立相对独立的项目服务团队(服务期内保证不少于50%服务人员仅服务特定项目)
● 项目服务人员的要求
——c)对项目服务人员进行背景审查,审查结果长期留存并可供服务需求方查看;项目服务人员的身份和安全背景等发生变化(如取得非中国国籍)或必要时,重新进行背景审查;
——d)确保项目服务人员是持有相关技术资格证明且任职 1 年以上的员工,且无信息网络犯罪记录;
——e)确保项目服务人员每人每年教育培训时长不少于 30 个学时,教育培训和考核内容包括网络安全相关法律法规、政策标准、网络安全保护技术、管理知识和实操技能等;
——f)确保项目服务人员已掌握保密相关知识和技能(如通过保密培训及考试),知晓了其应当履行的安全保密义务和承担的法律责任,包括安全职责、保密内容、奖惩机制和保密期限等,并分别与服务需求方签署保密协议(或承诺书和责任书)。
项目管理
5.3
一般要求
● 服务成本
——服务机构应按照 GB/T 42461 对网络安全服务项目的成本进行度量后合理确定服务报价。
● 服务方案
——a)在服务项目实施前编制网络安全服务方案,并得到服务需求方的认可;
——b)在服务方案中明确网络安全服务范围、服务目标、服务依据、服务内容及服务水平;
——c)在服务方案中明确服务人员(包括项目负责人和项目实施人员的职责等)、服务流程(包括计划或进度等)、服务环境、服务方法、服务工具以及服务保障(包括资源保障、质量管理、保密管理和风险控制等)等服务要素。
● 服务实施
——a)应根据服务方案组织项目实施,与服务需求方保持沟通、反馈,如采取通知、定期例会或报告等形式;
——b)应建立服务变更管理流程;
——c)应建立项目应急处置机制;
——d)及时向服务需求方报告发现的安全事件情况;
——e)及时向服务需求方报告发现的网络安全漏洞;
——f)记录服务过程中的关键活动;
——g)建立、维护服务档案;
——h)不应转包网络安全服务。
● 风险控制
——a)识别服务要素产生的风险,提出应对措施并确认其有效性;
——b)服务过程中对系统功能性能、数据安全等影响,应向需求方进行风险提示;
——c)对服务人员的操作权限和范围采取必要的监督或审计措施;
——d)对可能影响服务质量的重大事项,应向服务需求方提前报告。
● 成果交付
——a)按服务协议中所规定的关键节点,提交服务交付成果,如服务方案、服务过程文档和记录、服务报告(包括阶段报告、总结报告、验收报告等),并得到服务需求方的确认;
——b)保证所有服务交付成果的真实性、准确性和完整性,能清晰阐明其中的依据、组成、结论、措施、数据来源及支撑材料等内容;
——c)完成服务交付后,根据与服务需求方的约定,主动将服务需求方提供的数据、资料、访问凭证,开通的账号、部署的工具等进行交还、清理或卸载,并向服务需求方提供由项目服务人员签字的承诺或确认函。
供应链管理
5.4
一般要求
● 建立供应链管理制度
——a)建立统一的采购和供应链管理制度,对供应商的基本条件、供应过程、供应变更等进行审核、监督、管理,基本条件满足 5.1c)、d)中的条件;
● 建立合格供应商目录
——b)对长期使用、依赖度高的产品、服务建立合格供应商目录,且同类产品和服务有多个合格供应商;
● 对供应商和供应商人员的要求
——c)要求供应商声明不非法获取服务需求方数据、控制和操纵服务需求方系统和设备,或利用服务需求方对产品的依赖性谋取不正当利益或者迫使更新换代;
——d)在服务过程中需要引入供应商人员的,按照 5.2 对相关人员进行筛选、考核、管理;
——e)在获知供应链相关的安全事件信息或威胁信息后,采取更新、中止、替换供应商等针对性的应急措施;
——f)建立和维护供应过程档案,记录所有供应商 6 年内提供产品的名称、标识、版本、产地和生产商,服务的名称、涉及的人员名单及其简历等信息。
6.3
增强要求
● 提出从政治、贸易、外交等综合评估供应链风险
——服务机构在服务过程中需要引入供应商产品或服务的,应对政治、贸易和外交等因素导致产品或服务供应中断的风险进行评估,优先选择合格供应商目录中供应有保障的产品或服务。
技术能力
5.5
一般要求
● 编制技术指导文件
——a)应对已开展的网络安全服务形成技术指导文档(包括技术规范、操作指引和用例集等),编制技术指导文档应重点关注以下内容:
1)网络安全服务相关法律法规、标准等中的要求、最佳实践等内容;
2)国内外权威机构发布的安全态势报告、漏洞公告、突发安全事件报告等中的最新安全威胁分析方法、脆弱性识别方法、安全加固指引等内容;
3) 国内外网络安全技术等的发展动向中关于安全控制、技术解决方案等内容。
● 网络安全事件应急处置的能力
——b)服务内容涉及网络安全事件处置的,应根据《国家网络安全事件应急预案》及相关国家标准要求,建立网络安全事件处置所需的技术能力,如编制相关工作程序、开展知识技能培训和进行实操演练等;
● 涉及密码的要求
——c)开展网络安全服务过程中,涉及使用密码的,应符合国家密码管理有关规定和相关标准规范要求。
6.4
增强要求
● 提出共享网络安全信息和建立网络安全服务管理系统
——a)应按照GB/T 39204-2022第9章的相关内容,通过建立与国家、行业等有关管理部门、研究机构、其他网络安全服务机构、服务需求方和业界专家的合作机制,共享网络安全信息;
——b)应建立网络安全服务管理系统,将网络安全服务的基本情况和5.3.3d)~f)涉及的记录录入系统并进行自动化管理,且系统可支持通过接口方式共享相关记录。
服务工具
5.6
一般要求
● 服务工具存在安全问题时
——a)服务工具被有关部门通报或从其他渠道获知(如行业曝光等)存在安全问题的,应立即停止使用直至问题被修复;
● 服务工具应通过国家检测认证和合法版权
——b)服务工具为《网络关键设备和网络安全专用产品目录(第一批)》中的,应已通过国家检测认证;
——c)应确保服务工具的合法版权且授权在有效期内,运行状态良好,并持续更新和升级;涉及模板和知识库的,应根据相关法律法规、标准及时更新;
● 明确服务工具的使用方法
——d)应明确服务工具的使用方法,对工具使用人员进行培训,避免因不当操作对服务需求方系统、业务和数据造成影响;
● 服务工具的管理
——e)应根据服务项目对服务工具使用权限进行分离,防止非授权服务人员使用服务工具的功能、访问工具中的日志和报告等数据;
● 服务工具的安全
——f)应定期检验服务工具的安全性,如对工具进行杀毒、对工具产生的网络流量进行分析等,避免工具存在影响安全性的组件或功能,如隐蔽的链接、协议或端口等;
——g)应关注服务工具及其组件的安全漏洞公告和相关信息,在发现漏洞被披露时,应第一时间评估漏洞的影响,在不影响服务需求方系统和业务等的前提下,采取更新补丁或下线工具等措施;
——h)应确保使用服务工具的过程不会对服务需求方系统边界安全措施造成影响(如服务需求方系统被服务工具以外的其它非授权工具、终端或第三方系统绕过边界防护措施直接访问)。
6.5
增强要求
● 建立服务工具清单
——a)应针对服务项目建立单独的服务工具清单,并明确服务工具的使用要求和范围;
——b)服务工具需接入服务需求方生产环境的,应取得安全认证或通过第三方机构的安全检测;
——c)服务工具无法使用会对服务水平产生显著影响的,应通过提前采购储备、同类型产品备份或签署备货协议等方式保障服务工具的持续供应。
远程服务
5.7
一般要求
● 远程操作的权限要求
——a)对远程登录操作人员进行实名登记,分配仅能自用的账号;
——c)远程登录操作仅限于指定的终端及客户端(如有),并对权限范围和时间周期进行限制;
● 远程登录的口令要求
——b)对远程登录操作人员进行身份鉴别,为账号设置复杂度高(如长度不少于12位,包含大写字母、小写字母、数字和特殊字符等三种以上的字符类型)的口令并定期更换;
● 信息传输要求
——d)远程登录操作时,采用密码技术建立安全的信息传输通道,保证通信过程中数据的保密性和完整性;
● 远程操作日志要求
——e)至少留存6个月内远程操作的日志,定期对日志进行审计,审计过程中发现存在网络安全事件的按照5.3.3d)的规定处置。
法律保障
5.8
一般要求
● 网络安全服务协议审核
——a)应由专业法务人员审核网络安全服务协议;
● 网络安全服务协议要求
——b)应在服务协议中明确以下内容:
1) 服务机构与服务需求方双方的责任边界;
2) 网络安全服务的范围、内容、目标、节点、水平、交付成果和验收等条款;
3) 网络安全服务的数据安全保护、项目成果知识产权归属和保密承诺等条款;
4) 体现因需遵循的法律法规、政策变化影响而造成服务中断、停止服务或退出市场等的相关条款及相应责任。
数据安全保护
5.9
一般要求
● 明确数据安全保护条款
——a)在服务实施前,应与服务需求方明确约定数据安全保护的相关条款,包括服务过程中涉及的个人信息(如身份信息等)、业务数据、系统数据、安全数据及其他相关资料的保护要求,以及数据的使用目的和周期、最小处理范围、最小特权访问和事后处置等保护措施;
● 不应私自变更数据使用目的
——b)不应将网络安全服务过程中获取的数据变更目的使用,不应向第三方提供或进行公开,服务协议中明确授权或经服务需求方同意的除外;
● 采取数据安全措施
——c)应采取必要的安全措施,如加密、签名和备份等,保证所获取数据的保密性、完整性、可用性和真实性,未经服务需求方同意,不应更改、删除和销毁原始数据;
● 明确数据出境的要求
——d)因服务所需向境外提供和传输网络安全服务过程中获取的各类数据,应在事前向服务需求方单独告知出境目的、数据种类、数量、周期和接收方等情况,取得服务需求方书面同意。同时,还应遵守数据出境管理相关法律法规的要求;
● 服务完成后数据处理要求
——e)在服务实施完成之后,应按服务需求方和服务协议的要求,进行数据的脱敏、移交、清理或销毁等处理。服务需求方对处理情况提出核验或审计的,应予以充分配合。
6.6
增强要求
● 监测和审计网络流量数据、数据处理
——a)服务过程中应对网络安全服务产生的网络流量数据进行监测或审计,保证所有网络流量数据均为提供服务所必需;涉及出境流量数据的,应按照5.9d)的规定处置;
——b)服务过程中获取的数据,应与其他数据分开存储和处理,并按照GB/T 39204-2022中7.10的规定予以保护;
——c)对服务过程中获取的原始数据进行加工、分析和使用(如数据脱敏后的态势分析和算法训练等)应经服务需求方同意,并满足相关法律法规和行业管理规定的要求。
服务可持续性
5.10
一般要求
● 当服务可持续性可能出现影响或中断时,应如何处理
——a)服务终止后,可能对服务需求方系统、业务和数据等造成影响的,应在服务期限到期前向服务需求方告知;
——b)涉及服务机构更换的,应根据服务需求方要求向指定的其他服务机构移交相关的资料、账号、证件和令牌等;
——c)如确有无法提供持续服务的情况,应提前向服务需求方告知相关情况,并提出服务需求方认可的替代或交接方案,以保障服务需求方业务的持续性。
6.7
一般要求
● 服务机构变更
——涉及服务机构更换的,服务机构应确保网络安全服务工作顺利交接后才可退出服务。
检测评估服务专项要求
5.11
一般要求
● 服务机构应具备的基本能力
——a)服务机构应具备基本的检测评估相关服务工具研发能力或二次开发能力;
● 涉及风险评估时的要求
——b)服务内容涉及风险评估的,应按照GB/T 20984的规定对风险进行识别、定性或定量分析和评价;
● 开展漏扫、渗透时的要求
——c)开展漏洞扫描和渗透测试等可能会对服务需求方系统、业务和数据等造成影响的,应向服务需求方单独告知影响、风险及应对措施,经服务需求方同意后采取影响最小的方式实施;
● 明确测试环境和真实环境的区别
——d)服务需求方要求使用测试环境进行检测评估时,应分析测试环境与真实环境(如生产环境)的区别,向服务需求方告知检测评估结果的适用范围;
● 整改完成并验证效果
——e)应针对检测评估所发现的安全问题和风险等提出安全整改建议,并在服务需求方完成整改后验证整改效果,服务需求方无相关需求的除外;
● 明确检测评估报告保存时间
——f)检测评估报告等服务交付成果应至少保存6年,有关法律法规和行业管理另有规定的除外。
安全运维服务专项要求
5.12
一般要求
● 服务团队的稳定性要求
——a)维持安全运维服务团队的稳定性,驻场服务人员每年或单个项目服务期间更换比例原则上应不超过30%;
● 服务团队的能力要求
——b)安全运维服务团队应具备对网络攻击行为进行主动发现、分析和提出防护建议的能力;
● 安全运维工作简报
——c)对运维工作记录进行汇总,定期向服务需求方提供安全运维工作简报,简报的形式和提交时间应在服务协议或服务方案中明确,包括日报、周报、月报、季报和年报等形式;
● 提出评估服务水平的可量化指标
——d)应通过运维事件响应和事件关闭率等可量化的指标,衡量安全运维的服务水平和用户满意度;
● 安全运维总结报告
——e)服务交付成果中应包含服务周期内的安全运维总结报告,总结报告内容包括安全运维工作的基本情况、处置的安全事件、采取的改进措施和服务水平评价数据等。
6.8
增强要求
● 明确运维地点范围、服务团队对暴露面的识别能力等
——应保证运维地点位于中国境内,如确需境外运维,应符合法律法规要求及相关规定;
——安全运维服务团队应具备对服务需求方暴露面进行识别的能力;
——安全运维服务团队应具备对不同厂商安全设备产生的日志进行整合分析,以及对5.3.3f)中记录的、服务需求方所掌握的以及从其他渠道获知的网络安全信息进行汇总和研判的能力。
标准实施的重要意义
2023年3月15日,国家市场监督管理总局、中央网络安全和信息化委员办公室、工业和信息化部和公安部四部委联合发布的《关于开展网络安全服务认证工作的实施意见》(https://www.gov.cn/zhengce/zhengceku/2023-04/02/content_5749741.htm)。该标准的实施将为相关主管部门开展网络安全服务认证工作提供标准支撑,有效促进网络安全服务产业健康有序发展。另一方面,该标准的内容条款是对众多网络安全服务过程和要求的总结提炼,有效落实了我国最新的法律法规相关要求,与我国网络安全管理工作紧密衔接,该标准的实施将进一步明确网络安全服务机构责任、规范网络安全服务市场、提升网络安全服务过程中的规范性,有助于网络安全服务机构避免重复能力建设,规范网络安全服务过程和要求、提升自身的核心优势能力,整体提升网络安全服务水平。
2024新奥门资料在积极参与行业相关标准研究与起草的同时,为全面自高自身面对面对复杂和严苛网络环境下的网络安全运营水平和能力,从资产管理、攻击面管理、漏洞管理、威胁狩猎和应急响应五个核心攻防对抗维度出发,通过持续度量和迭代优化安全保障能力,打造了集态势感知、通报预警、信息共享、指挥协调的一体化安全运营体系,实现了安全能力全覆盖、安全管理全统一、安全响应全协同和安全运营实战化的网络安全运营服务高指标保障。
往期精彩回顾
