ICS35.030 GB CCS L 80 中华人民共和国国家标准 GB/T32914—2023 代替GB/T32914—2016 信息安全技术 网络安全服务能力要求 Information security technologyCapability requirements of cybersecurity service 2024-04-01实施 2023-09-07发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T32914—2023 目 次 前言 III 范围 1 规范性引用文件 2 3 术语和定义 总体要求 5 一般要求 5.1 基本条件 5.2 组织管理 5.3 项目管理 5.4 供应链管理 5.5 技术能力 服务工具 5.6 5.7 远程服务 5.8 法律保障 5.9 数据安全保护 5.10 服务可持续性 5.11 检测评估服务专项要求 5.12 安全运维服务专项要求 增强要求 6 6.1 基本条件 6.2 组织管理 6.3 供应链管理 6.4 技术能力 6.5 服务工具 6.6 数据安全保护 6.7 服务可持续性 6.8 安全运维服务专项要求 附录A（资料性）F 网络安全服务使用的常见工具类型 10 参考文献 GB/T32914—2023 前言 起草。 本文件代替GB/T32914一2016《信息安全技术 信息安全服务提供方管理要求》，与 GB/T32914一2016相比，除结构调整和编辑性改动外，主要技术变化如下： a）将术语“信息安全服务”更改为“网络安全服务”，并更改了定义（见3.1，2016年版的3.1)； b）增加了总体要求（见第4章）； c） 将第5章、第6章内容更改并合并为“第5章一般要求”（见第5章，2016年版的第5章、 第6章）； d) 增加了“供应链管理”要求（见5.4）； e) 增加了“远程服务”要求（见5.7）； 增加了“法律保障”要求（见5.8）； g） 增加了“数据安全保护”要求（见5.9）； h) 增加了服务可持续性”要求（见5.10）； 增加了“检测评估服务专项要求”内容（见5.11)； 增加了安全运维服务专项要求”内容（见5.12）； k） 增加了“增强要求”内容（见第6章）； 1）增加了“网络安全服务使用的常见工具类型”内容（见附录A）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260O）提出并归口。 本文件起草单位：中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息安全 测评中心、国家信息技术安全研究中心、中国电子科技集团公司第十五研究所（信息产业信息安全测评 中心）、公安部第一研究所、公安部第三研究所、中国软件评测中心（工业和信息化部软件与集成电路促 进中心）、工业和信息化部电子第五研究所、中国信息通信研究院、国家工业信息安全发展研究中心、杭 州安恒信息技术股份有限公司、北京安信天行科技有限公司、北京神州绿盟科技有限公司、全知科技（杭 州)有限责任公司、广州竞远安全技术股份有限公司、中国移动通信集团有限公司、北京市政务信息安全 保障中心（北京信息安全测评中心）、奇安信科技集团股份有限公司、深信服科技股份有限公司、北京天 融信网络安全技术有限公司、北京时代新威信息技术有限公司。 本文件主要起草人：杨建军、何延哲、李有元、程瑜琦、陆丽、史大为、霍珊珊、李秋香、陆臻、陈青民、 朱雪峰、李彦峰、陈星、何刚、方兴、金达、王琰、张斌、徐克超、李智明、程潞样、韦国文、邱勤、李媛、 宋宏涛、陈洪波、马力、白旭东、李伟旗、王连强、李豫然、陈广勇、张静、周顿科、张铁铮、俞政臣、刘健、 路明、唐刚、王翔宇、万紫骞、鲁立、孟楠、戴方芳、于盟、赵冉、徐思嘉、吕泽伟。 本文件及其所代替文件的历次版本发布情况为： —2016年首次发布为GB/T32914—2016； ——本次为第一次修订。 GB/T32914—2023 信息安全技术 网络安全服务能力要求 1范围 本文件规定了网络安全服务的能力要求，包括一般要求和增强要求。 平，也可为网络安全服务需求方选择网络安全服务机构时提供参考。 注：本文件所述网络安全服务不含涉及国家秘密的网络安全服务 2规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T209841 信息安全技术信息安全风险评估方法 GB/T22080 信息技术安全技术信息安全管理体系 要求 GB/T25069 信息安全技术术语 GB/T36959信息安全技术网络安全等级保护测评机构能力要求和评估规范 GB/T39204一2022信息安全技术关键信息基础设施安全保护要求 GB/T42446信息安全技术网络安全从业人员能力基本要求 GB/T42461信息安全技术网络安全服务成本度量指南 国家网络安全事件应急预案（2017年1月10日中央网络安全和信息化领导小组办公室【2017 4号公布） 网络产品安全漏洞管理规定（2021年7月12日工业和信息化部国家互联网信息办公室公安部 【2021]66号公布） 网络关键设备和网络安全专用产品目录（第一批）（2017年6月1日国家互联网信息办公室工业 和信息化部公安部国家认证认可监督管理委员会【201701号公布） 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 网络安全服务cybersecurityservice 全等服务的相关过程。 注1：常见的网络安全服务包括检测评估、安全运维和安全咨询等。 注2：网络安全服务通常以供需双方的服务项目形式进行。 注3：网络安全等级保护测评、商用密码应用安全性评估属于检测评估服务中的特定类别服务。 1 GB/T32914—2023 3.2 网络安全服务机构cybersecurityserviceprovider 提供网络安全服务（3.1)的组织。 注：简称"服务机构”。 3.3 网络安全服务需求方 jcybersecurityserviceacquirer 获取外部所提供的网络安全服务（3.1），以满足网络安全需求，实现自身业务目标的组织或个人。 注：简称“服务需求方”。 3.4 服务协议 service contract 服务开始前供需双方共同签署，并在服务过程中共同遵守的约定。 注：服务协议形式上是服务合同及其附属的工作说明书。 3.5 服务水平servicelevel 在服务协议（3.4)中对服务交付成果明确约定、可测量和文档化的一系列服务指标。 3.6 服务要素servicefactors 规划和实施服务所需的服务人员、服务流程、服务环境、服务方法、服务工具和服务保障等要素。 3.7 服务方案 serviceplans 基于服务目标，对服务各阶段中所需执行的过程、任务、活动以及相关服务要素（3.6）、服务水平 （3.5）进行详细描述的文档。 3.8 服务变更servicechange 对服务范围、服务目标、服务依据、服务内容、服务水平（3.5）、服务价格和服务要素（3.6)等进行新 增、修改或解除的活动。 4总体要求 4.1F 网络安全服务机构向网络安全服务需求方提供网络安全服务，应满足第5章的要求。网络安全服 务机构向对网络安全服务有更高要求的服务需求方（如党政机关、关键信息基础设施运营者等）提供网 络安全服务时，还应满足第6章的要求。 4.2网络安全等级保护测评机构的要求应符合GB/T36959的规定。 4.3商用密码应用安全性评估机构的要求应符合国家密码管理有关法律法规和标准规范的规定。 5一般要求 5.1基本条件 服务机构应具备以下基本条件： a）在中华人民共和国境内注册； b）法定代表人、董事、合伙人以及高层管理人员三年内无犯罪记录； 2 GB/T32914—2023 注：以公司为例，高层管理人员包括总经理、副总经理、财务总监、技术总监和安全总监等。 c）未被列人可能影响网络安全服务的负面清单，如失信被执行人名单、重大税收违法案件当事人 d）不存在未处理的网络安全相关行政处罚和正在接受网络安全审查等情形。 5.2 2组织管理 服务机构的组织管理应满足以下要求： a）按照GB/T22080建立信息安全管理体系； 设置与网络安全服务规模相适应的专业技术部门或团队； b)i c) 网络安全服务项目负责人具备2年以上相应网络安全服务项目经验； d)交 建立服务人员档案，包括服务人员的资格证明、培训/考核记录、技术方向和能力水平、从业经 历、实际参与项目及分工等信息，档案至少保存至服务人员离职后6年； e） 服务人员具备GB/T42446规定的网络安全服务相关的知识和技能要求，熟练掌握《国家网络安全 事件应急预案》网络产品安全漏洞管理规定》等的要求，接受岗前培训并经考核评定合格后上岗； 注：岗位涉及使用网络安全服务工具（以下简称“服务工具”)的，培训及考核内容需涵盖服务工具实操部分；服务工 具包括设备、平台、软件、模板和知识库等，常见服务工具类型见附录A。 f）与服务人员签订保密协议，约定服务项目实施中的通用保密要求，并定期进行保密教育。 5.3项目管理 5.3.1服务成本度量 服务机构应按照GB/T42461对网络安全服务项目的成本进行度量后合理确定服务报价。 5.3.2服务方案 服务机构的网络安全服务方案应满足以下要求： a）在服务项目实施前编制网络安全服务方案，并得到服务需求方的认可； b）在服务方案中明确网络安全服务范围、服务目标、服务依据、服务内容及服务水平； c） 在服务方案中明确服务人员（包括项目负