近年来,网络安全服务需求不断增加,但仍存在恶意低价竞标、交付质量差、交付不规范、服务过程引入安全风险、可能造成服务需求方的数据被泄露、滥用等问题,影响了网络安全服务产业的健康发展。
为推动网络安全服务工作落实《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规要求,保证网络安全服务的质量、效果,防范服务过程中的网络安全和数据安全风险,提升服务的规范性、可持续性,制定该标准。
网络安全服务指的是根据服务协议,基于服务人员、技术、工具、管理和资金等资源,提供保障网络运行安全、网络信息安全等服务的相关过程。
标准规定了网络安全服务机构提供网络安全服务应具备的能力。适用于指导网络安全服务机构开展网络安全服务,以及评价网络安全服务机构的能力水平,也可为网络安全服务需求方选择网络安全服务机构时提供参考。
1、基本条件
境内注册、不涉及失信名单、不可靠实体清单、未处理的行政处罚等。
增强要求
高层管理人员无犯罪记录、2年内没有被有关部门通报。
2、组织管理
根据GB/T 22080《信息安全管理体系要求》建立信息安全管理体系、建立服务人员档案、人员具备GB/T 42446《网络安全从业人员能力基本要求》规定的知识和技能要求等。
增强要求
高层管理人员作为服务负责人、独立的项目服务团队、服务人员背景审查、服务人员无信息网络犯罪记录等。
3、项目管理
重点内容如下:
按照GB/T 42461《网络安全服务成本度量指南》对安全服务项目的成本进行度量。
协助服务需求方根据《国家网络安全事件应急预案》处置安全事件
根据《网络产品安全漏洞管理规定》报告漏洞
对服务过程中的关键活动进行记录,建立、维护服务档案,档案至少保存6年
服务交付后归还权限、清理数据并予以确认
4、供应链管理
采购和供应链管理制度、合格供应商目录、供应商声明、供应商人员管理、供应过程档案。增强要求:评估服务供应中断的风险。
5、技术能力
形成技术指导文档、网络安全事件处置所需的技术能力、符合国家密码管理规定。增强要求:建立网络安全服务管理系统、共享网络安全信息。
6、服务工具
修复安全问题、合法版权、通过检测认证、使用权限分离、不对系统产生影响。增强要求:单独的服务工具清单、第三方机构的安全检测、工具备份。
7、远程服务
人员进行实名登记、设置复杂度高的口令、指定的终端及客户端、使用加密通道、留存6个月内远程操作的日志。
8、法律保障
专业法务人员审核服务协议、服务协议明确责任边界、服务内容、交付成果、知识产权归属、保密承诺、停止服务或退出市场条款。
9、数据安全保护
约定数据安全保护条款、不私自变更目的和对外提供、确保数据保密性、完整性、可用性和真实性、数据出境管理要求、服务结束脱敏、移交、清理或销毁数据。
增强要求:网络流量监测、分开存储和处理、二次加工限制。
10、服务可持续性
服务期限到期前提前告知影响、资料、账号、证件和令牌等交还、替代和交接方案。增强要求:确保网络安全服务工作顺利交接后撤离