GB/T 43741-2024網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全眾測服務(wù)要求

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T43741—2024

網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全眾測服務(wù)要求

Cybersecuritytechnology—

Requirementsforcrowdsourcingsecuritytestservices

2024-04-25發(fā)布2024-11-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T43741—2024

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

通則

4………………………2

角色及職責(zé)

4.1…………………………2

服務(wù)流程

4.2……………3

安全風(fēng)險

4.3……………4

服務(wù)要求

5…………………4

準(zhǔn)備階段服務(wù)要求

5.1…………………4

實施階段服務(wù)要求

5.2…………………5

后處理階段服務(wù)要求

5.3………………7

附錄資料性網(wǎng)絡(luò)安全眾測服務(wù)平臺功能

A()…………8

附錄規(guī)范性授權(quán)測試方行為準(zhǔn)則

B()…………………11

GB/T43741—2024

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心中國電子技術(shù)標(biāo)準(zhǔn)化研究院國家信息

:、、

技術(shù)安全研究中心阿里云計算有限公司奇安信網(wǎng)神信息技術(shù)北京股份有限公司中國移動通信集

、、()、

團有限公司中國科學(xué)院軟件研究所上海斗象信息科技有限公司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司

、、、、

中通服咨詢設(shè)計研究院有限公司上海文鰩信息科技有限公司螞蟻科技集團股份有限公司杭州安恒

、、、

信息技術(shù)股份有限公司北京市政務(wù)安全保障中心北京信息安全測評中心北京東方通網(wǎng)信科技有限

、()、

公司北京眾安天下科技有限公司北京奇虎科技有限公司中國工業(yè)互聯(lián)網(wǎng)研究院啟明星辰信息技術(shù)

、、、、

集團股份有限公司北京數(shù)字觀星科技有限公司中國電子科技網(wǎng)絡(luò)信息安全有限公司

、、。

本文件主要起草人云曉春王文磊耿冬梅劉賢剛張大江舒敏孫彥楊晨高繼明王宏

:、、、、、、、、、、

嚴(yán)寒冰何能強董航王惠蒞鄧萍萍俞斌崔婷婷李媛胡鳴王俊杰郭亮閆宏石王龑邱勤

、、、、、、、、、、、、、、

左敏胡曉娜查奇文張奇楊蔚李旭楠嚴(yán)定宇伍俊毓

、、、、、、、。

Ⅰ

GB/T43741—2024

引言

中華人民共和國網(wǎng)絡(luò)安全法第二十七條規(guī)定任何個人和組織不得從事非法侵入他人網(wǎng)絡(luò)干

《》“、

擾他人網(wǎng)絡(luò)正常功能竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動不得提供專門用于從事侵入網(wǎng)絡(luò)干擾網(wǎng)

、;、

絡(luò)正常功能及防護措施竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動的程序工具本文件在遵守國家相

、、……”。

應(yīng)的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)要求的基礎(chǔ)上緊密圍繞國內(nèi)網(wǎng)絡(luò)安全眾測服務(wù)的發(fā)展實踐和需求提出了網(wǎng)

,,

絡(luò)安全眾測服務(wù)要求

。

Ⅱ

GB/T43741—2024

網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全眾測服務(wù)要求

1范圍

本文件描述了網(wǎng)絡(luò)安全眾測服務(wù)的角色及其職責(zé)服務(wù)流程以及安全風(fēng)險規(guī)定了服務(wù)要求

,,,。

本文件適用于網(wǎng)絡(luò)安全眾測服務(wù)活動

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語

GB/T25069—2022

信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識與描述規(guī)范

GB/T28458—2020

信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范

GB/T30276—2020

信息安全技術(shù)個人信息安全規(guī)范

GB/T35273

3術(shù)語和定義

和界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2022GB/T28458—2020。

31

.

網(wǎng)絡(luò)安全眾測服務(wù)crowdsourcingsecuritytestservice

以眾包和自愿的方式組織非特定的自然人或組織對網(wǎng)絡(luò)產(chǎn)品和系統(tǒng)等開展漏洞發(fā)現(xiàn)等安全測試

,

的過程

。

注1網(wǎng)絡(luò)安全眾測服務(wù)符合國家漏洞有關(guān)管理規(guī)定

:。

注2關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全眾測服務(wù)在網(wǎng)絡(luò)安全主管部門和保護工作部門的指導(dǎo)下進行

:。

32

.

眾測需求方crowdsourcingtestdemand-side

需要網(wǎng)絡(luò)安全眾測服務(wù)的組織

(3.1)。

注眾測需求方擁有對測試對象的所有權(quán)與眾測組織方簽訂授權(quán)測試協(xié)議并授權(quán)眾測組織