GB/T 32914-2023《信息安全技术 网络安全服务能力要求》解读

2023-11-06

近年来,网络安全服务需求不断增加,但仍存在恶意低价竞标、交付质量差、交付不规范、服务过程引入安全风险、可能造成服务需求方的数据被泄露、滥用等问题,影响了网络安全服务产业的健康发展。

为推动网络安全服务工作落实《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规要求,保证网络安全服务的质量、效果,防范服务过程中的网络安全和数据安全风险,提升服务的规范性、可持续性,制定该标准。

网络安全服务指的是根据服务协议,基于服务人员、技术、工具、管理和资金等资源,提供保障网络运行安全、网络信息安全等服务的相关过程。

标准规定了网络安全服务机构提供网络安全服务应具备的能力。适用于指导网络安全服务机构开展网络安全服务,以及评价网络安全服务机构的能力水平,也可为网络安全服务需求方选择网络安全服务机构时提供参考。

1、基本条件

境内注册、不涉及失信名单、不可靠实体清单、未处理的行政处罚等。

增强要求

高层管理人员无犯罪记录、2年内没有被有关部门通报。

2、组织管理

根据GB/T 22080《信息安全管理体系要求》建立信息安全管理体系、建立服务人员档案、人员具备GB/T 42446《网络安全从业人员能力基本要求》规定的知识和技能要求等。

增强要求

高层管理人员作为服务负责人、独立的项目服务团队、服务人员背景审查、服务人员无信息网络犯罪记录等。

3、项目管理

重点内容如下:

按照GB/T 42461《网络安全服务成本度量指南》对安全服务项目的成本进行度量。

协助服务需求方根据《国家网络安全事件应急预案》处置安全事件

根据《网络产品安全漏洞管理规定》报告漏洞

对服务过程中的关键活动进行记录,建立、维护服务档案,档案至少保存6

服务交付后归还权限、清理数据并予以确认

4、供应链管理

采购和供应链管理制度、合格供应商目录、供应商声明、供应商人员管理、供应过程档案。增强要求:评估服务供应中断的风险。

5、技术能力

形成技术指导文档、网络安全事件处置所需的技术能力、符合国家密码管理规定。增强要求:建立网络安全服务管理系统、共享网络安全信息。

6服务工具

修复安全问题、合法版权、通过检测认证、使用权限分离、不对系统产生影响。增强要求:单独的服务工具清单、第三方机构的安全检测、工具备份。

7、远程服务

人员进行实名登记、设置复杂度高的口令、指定的终端及客户端、使用加密通道、留存6个月内远程操作的日志。

8法律保障

专业法务人员审核服务协议、服务协议明确责任边界、服务内容、交付成果、知识产权归属、保密承诺、停止服务或退出市场条款。

9数据安全保护

约定数据安全保护条款、不私自变更目的和对外提供、确保数据保密性、完整性、可用性和真实性、数据出境管理要求、服务结束脱敏、移交、清理或销毁数据。

增强要求:网络流量监测、分开存储和处理、二次加工限制。

10、服务可持续性

服务期限到期前提前告知影响、资料、账号、证件和令牌等交还、替代和交接方案。增强要求:确保网络安全服务工作顺利交接后撤离


阅读0
分享