米乐M6.《信息安全技术 网络安全服务能力要求》国标发布安恒

　　2023年9月7日，国家市场监督管理总局（国家标准化管理委员会）发布中华人民共和国国家标准2023年第9号公告，其中安恒信息深度参与的国家标准GB/T 32914-2023《信息安全技术 网络安全服务能力要求》正式批准发布，并将于2024年4月1日正式实施。该标准是对GB/T 32914-2016《信息安全技术 信息安全服务提供方管理要求》的修订。

　　近年来，网络安全服务需求不断增加，但市场需求不断增加的同时也出现了很多不规范不符合市场合理竞争的现象，如低价竞争、交付不规范、交付质量不能满足用户需求及产生的数据泄露问题等等。

　　为营造健康有序的网络安全服务市场，也为落实我国近年来相继推出的《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等法律法规的相关要求，推进网络安全服务认证体系建设，提升网络安全服务机构能力水平和服务质量，因此提出对国家标准GB/T 32914-2016《信息安全技术 信息安全服务提供方管理要求》的立项修订。

　　修订后的标准名称由原来的“信息安全服务提供方管理要求”改为“网络安全服务能力要求”。标准技术内容方面，在2016版标准的基础上，明确了网络安全服务的核心定义，规定了网络安全服务机构提供网络安全服务应具备的能力，界定了标准的适用范围。

　　为有效保证该标准的应用实施，2023年3月15日，国家市场监督管理总局、中央网络安全和信息化委员办公室、工业和信息化部和四部委联合发布了《关于开展网络安全服务认证工作的实施意见》。“意见”中提出，将 “开展国家统一推行的网络安全服务认证工作”，通过认证的网络安全服务机构应当按照标准规范开展网络安全服务工作。

　　在标准的修订过程中，安恒信息积极参与标准研究与起草，同时为保证标准内容条款的科学性和合理性，组织开展“试点验证”工作。网络安全国家标准是网络安全行业健康发展的技术保障，安恒信息作为网络安全服务领域的重要力量，在完善网络安全标准化体系建设工作方面，也将会持续奋进，贡献安恒力量！

　　近年来，由于国民经济各行业对网络安全服务需求的逐步加大，随之出现了很多不规范不符合市场合理竞争的现象，如越来越多的低价竞争、交付不规范和交付质量不能满足用户需求以及产生的数据泄露等等。为落实《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等法律法规要求，推进网络安全服务认证体系建设，规范网络安全服务市场秩序，提升网络安全服务机构能力水平和服务质量，同步配合由国家市场监督管理总局、中央网络安全和信息化委员办公室、工业和信息化部和四部委联合发布的《关于开展网络安全服务认证工作的实施意见》实施，提出了对国家标准GB/T 32914-2016《信息安全技术 信息安全服务提供方管理要求》的修订。修订后的标准名称由原来的“信息安全服务提供方管理要求”改为“网络安全服务能力要求”。标准技术内容方面，在2016版国家标准的基础上，明确了网络安全服务的核心定义，规定了网络安全服务机构提供网络安全服务应具备的能力，界定了标准的适用范围。

　　修订后的标准主要规定了网络安全服务的能力要求，包括一般要求和增强要求。适用于指导网络安全服务机构开展网络安全服务，以及评价网络安全服务机构的能力水平，也可为网络安全服务需求方选择网络安全服务机构时提供参考。

　　标准对网络安全服务的定义是：根据服务协议，基于、技术、工具、管理、资金等资源，提供保障网络运行安全、网络信息安全等服务的相关过程。常见的网络安全服务包括检测评估、安全运维和安全咨询等，网络安全服务通常以供需双方的服务项目形式进行。同时补充说明，网络安全等级保护测评、商用密码应用安全性评估属于检测评估服务中的特定类别服务。

　　网络安全服务机构向网络安全服务需求方提供网络安全服务，应满足一般要求；网络安全服务机构向对网络安全服务有更高要求的服务需求方（如党政机关、关键信息基础设施运营者等）提供网络安全服务时，还应满足增强要求；网络安全等级保护测评机构的要求应符合GB/T 36959-2018《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》的规定；商用密码应用安全性评估机构的要求应符合国家密码管理有关法律法规和标准规范的规定。

　　——c) 未被列入可能影响网络安全服务的负面清单，如失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单和不可靠实体清单等；

　　——d)建立档案，包括的资格证明、培训/考核记录、技术方向和能力水平、从业经历、实际参与项目及分工等信息，档案至少保存至离职后6年；

　　——e)具备GB/T 42446规定的网络安全服务相关的知识和技能要求，熟练掌握《国家网络安全事件应急预案》《网络产品安全漏洞管理规定》等的要求，接受岗前培训并经考核评定合格后上岗；

　　——b) 根据服务协议中的服务内容建立相对独立的项目服务团队（服务期内保证不少于50%仅服务特定项目）

　　——c)对项目进行背景审查，审查结果长期留存并可供服务需求方查看；项目的身份和安全背景等发生变化（如取得非中国国籍）或必要时，重新进行背景审查；

　　——d)确保项目是持有相关技术资格证明且任职 1 年以上的员工，且无信息网络犯罪记录；

　　——e)确保项目每人每年教育培训时长不少于 30 个学时，教育培训和考核内容包括网络安全相关法律法规、政策标准、网络安全保护技术、管理知识和实操技能等；

　　——f)确保项目已掌握保密相关知识和技能（如通过保密培训及考试），知晓了其应当履行的安全保密义务和承担的法律责任，包括安全职责、保密内容、奖惩机制和保密期限等，并分别与服务需求方签署保密协议（或承诺书和责任书）。

　　——服务机构应按照 GB/T 42461 对网络安全服务项目的成本进行度量后合理确定服务报价。

　　——c)在服务方案中明确（包括项目负责人和项目实施人员的职责等）、服务流程（包括计划或进度等）、服务环境、服务方法、服务工具以及服务保障（包括资源保障、质量管理、保密管理和风险控制等）等服务要素。

　　——a)应根据服务方案组织项目实施，与服务需求方保持沟通、反馈，如采取通知、定期例会或报告等形式;

　　——a)按服务协议中所规定的关键节点，提交服务交付成果，如服务方案、服务过程文档和记录、服务报告（包括阶段报告、总结报告、验收报告等），并得到服务需求方的确认；

　　——b)保证所有服务交付成果的真实性、准确性和完整性，能清晰阐明其中的依据、组成、结论、措施、数据来源及支撑材料等内容；

　　——c)完成服务交付后，根据与服务需求方的约定，主动将服务需求方提供的数据、资料、访问凭证，开通的账号、部署的工具等进行交还、清理或卸载，并向服务需求方提供由项目签字的承诺或确认函。

　　——a)建立统一的采购和供应链管理制度，对供应商的基本条件、供应过程、供应变更等进行审核、监督、管理，基本条件满足 5.1c）、d）中的条件；

　　——b)对长期使用、依赖度高的产品、服务建立合格供应商目录，且同类产品和服务有多个合格供应商；

　　——c)要求供应商声明不非法获取服务需求方数据、控制和操纵服务需求方系统和设备，或利用服务需求方对产品的依赖性谋取不正当利益或者迫使更新换代；

　　——e)在获知供应链相关的安全事件信息或威胁信息后，采取更新、中止、替换供应商等针对性的应急措施；

　　——f)建立和维护供应过程档案，记录所有供应商 6 年内提供产品的名称、标识、版本、产地和生产商，服务的名称、涉及的人员名单及其简历等信息。

　　——服务机构在服务过程中需要引入供应商产品或服务的，应对、贸易和外交等因素导致产品或服务供应中断的风险进行评估，优先选择合格供应商目录中供应有保障的产品或服务。

　　——a)应对已开展的网络安全服务形成技术指导文档（包括技术规范、操作指引和用例集等），编制技术指导文档应重点关注以下内容：

　　2）国内外权威机构发布的安全态势报告、漏洞公告、突发安全事件报告等中的最新安全威胁分析方法、脆弱性识别方法、安全加固指引等内容；

　　——b)服务内容涉及网络安全事件处置的，应根据《国家网络安全事件应急预案》及相关国家标准要求，建立网络安全事件处置所需的技术能力，如编制相关工作程序、开展知识技能培训和进行实操演练等；

　　——c)开展网络安全服务过程中，涉及使用密码的，应符合国家密码管理有关规定和相关标准规范要求。

　　——a)应按照GB/T 39204-2022第9章的相关内容，通过建立与国家、行业等有关管理部门、研究机构、其他网络安全服务机构、服务需求方和业界专家的合作机制，共享网络安全信息；

　　——b)应建立网络安全服务管理系统，将网络安全服务的基本情况和5.3.3d）~f）涉及的记录录入系统并进行自动化管理，且系统可支持通过接口方式共享相关记录。

　　——a)服务工具被有关部门通报或从其他渠道获知（如行业曝光等）存在安全问题的，应立即停止使用直至问题被修复；

　　——b)服务工具为《网络关键设备和网络安全专用产品目录（第一批）》中的，应已通过国家检测认证；

　　——c)应确保服务工具的合法版权且授权在有效期内，运行状态良好，并持续更新和升级；涉及模板和知识库的，应根据相关法律法规、标准及时更新；

　　——d)应明确服务工具的使用方法，对工具使用人员进行培训，避免因不当操作对服务需求方系统、业务和数据造成影响；

　　——e)应根据服务项目对服务工具使用权限进行分离，防止非授权使用服务工具的功能、访问工具中的日志和报告等数据；

　　——f)应定期检验服务工具的安全性，如对工具进行杀毒、对工具产生的网络流量进行分析等，避免工具存在影响安全性的组件或功能，如隐蔽的链接、协议或端口等；

　　——g)应关注服务工具及其组件的安全漏洞公告和相关信息，在发现漏洞被披露时，应第一时间评估漏洞的影响，在不影响服务需求方系统和业务等的前提下，采取更新补丁或下线工具等措施；

　　——h)应确保使用服务工具的过程不会对服务需求方系统边界安全措施造成影响（如服务需求方系统被服务工具以外的非授权工具、终端或第三方系统绕过边界防护措施直接访问）。

　　——c)服务工具无法使用会对服务水平产生显著影响的，应通过提前采购储备、同类型产品备份或签署备货协议等方式保障服务工具的持续供应。

　　——b)对远程登录操作人员进行身份鉴别，为账号设置复杂度高（如长度不少于12位，包含大写字母、小写字母、数字和特殊字符等三种以上的字符类型）的口令并定期更换；

　　——d)远程登录操作时，采用密码技术建立安全的信息传输通道，保证通信过程中数据的保密性和完整性；

　　——e)至少留存6个月内远程操作的日志，定期对日志进行审计，审计过程中发现存在网络安全事件的按照5.3.3d）的规定处置。

　　4） 体现因需遵循的法律法规、政策变化影响而造成服务中断、停止服务或退出市场等的相关条款及相应责任。

　　——a)在服务实施前，应与服务需求方明确约定数据安全保护的相关条款，包括服务过程中涉及的个人信息（如身份信息等）、业务数据、系统数据、安全数据及其他相关资料的保护要求，以及数据的使用目的和周期、最小处理范围、最小特权访问和事后处置等保护措施；

　　——b)不应将网络安全服务过程中获取的数据变更目的使用，不应向第三方提供或进行公。