GB∕ T 32914-2023 信息安全技術(shù) 網(wǎng)絡(luò)安全服務(wù)能力要求（正式版）

ICS35.030代替GB/T32914—2016信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會IGB/T32914—2023 Ⅲ 12規(guī)范性引用文件 13術(shù)語和定義 1 25一般要求 25.1基本條件 25.2組織管理 35.3項目管理 35.4供應(yīng)鏈管理 55.5技術(shù)能力 55.6服務(wù)工具 55.7遠(yuǎn)程服務(wù) 65.8法律保障 65.9數(shù)據(jù)安全保護(hù) 65.10服務(wù)可持續(xù)性 75.11檢測評估服務(wù)專項要求 75.12安全運維服務(wù)專項要求 7 86.1基本條件 86.2組織管理 86.3供應(yīng)鏈管理 86.4技術(shù)能力 86.5服務(wù)工具 86.6數(shù)據(jù)安全保護(hù) 96.7服務(wù)可持續(xù)性 96.8安全運維服務(wù)專項要求 9附錄A(資料性)網(wǎng)絡(luò)安全服務(wù)使用的常見工具類型 ⅢGB/T32914—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T32914—2016《信息安全技術(shù)信息安全服務(wù)提供方管理要求》,與b)增加了總體要求(見第4章);c)將第5章、第6章內(nèi)容更改并合并為“第5章一般要求”(見第5章，2016年版的第5章、第6章);k)增加了“增強(qiáng)要求”內(nèi)容(見第6章);請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。測評中心、國家信息技術(shù)安全研究中心、中國電子科技集團(tuán)公司第十五研究所(信息產(chǎn)業(yè)信息安全測評本文件及其所代替文件的歷次版本發(fā)布情況為： 2016年首次發(fā)布為GB/T32914—2016:1GB/T32914—2023信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求1范圍本文件規(guī)定了網(wǎng)絡(luò)安全服務(wù)的能力要求，包括一般要求和增強(qiáng)要求。本文件適用于指導(dǎo)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開展網(wǎng)絡(luò)安全服務(wù)，以及評價網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的能力水平，也可為網(wǎng)絡(luò)安全服務(wù)需求方選擇網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)時提供參考。注：本文件所述網(wǎng)絡(luò)安全服務(wù)不含涉及國家秘密的網(wǎng)絡(luò)安全服務(wù)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20984信息安全技術(shù)信息安全風(fēng)險評估方法GB/T22080信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T25069信息安全技術(shù)術(shù)語GB/T36959信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)能力要求和評估規(guī)范GB/T39204—2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求GB/T42446信息安全技術(shù)網(wǎng)絡(luò)安全從業(yè)人員能力基本要求GB/T42461信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)成本度量指南國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案(2017年1月10日中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室〔2017〕4號公布)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定(2021年7月12日工業(yè)和信息化部國家互聯(lián)網(wǎng)信息辦公室公安部網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)(2017年6月1日國家互聯(lián)網(wǎng)信息辦公室工業(yè)和信息化部公安部國家認(rèn)證認(rèn)可監(jiān)督管理委員會〔2017〕01號公布)3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。3.1網(wǎng)絡(luò)安全服務(wù)cybersecurityservice全等服務(wù)的相關(guān)過程。注1:常見的網(wǎng)絡(luò)安全服務(wù)包括檢測評估、安全運維和安全咨詢等。注2:網(wǎng)絡(luò)安全服務(wù)通常以供需雙方的服務(wù)項目形式進(jìn)行。注3:網(wǎng)絡(luò)安全等級保護(hù)測評、商用密碼應(yīng)用安全性評估屬于檢測評估服務(wù)中的特定類別服務(wù)。2GB/T32914—20233.2網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)cybersecurityserviceprovider提供網(wǎng)絡(luò)安全服務(wù)(3.1)的組織。3.3網(wǎng)絡(luò)安全服務(wù)需求方cybersecurityserviceacquirer獲取外部所提供的網(wǎng)絡(luò)安全服務(wù)(3.1),以滿足網(wǎng)絡(luò)安全需求，實現(xiàn)自身業(yè)務(wù)目標(biāo)的組織或個人。3.4服務(wù)開始前供需雙方共同簽署，并在服務(wù)過程中共同遵守的約定。3.5服務(wù)水平servicelevel在服務(wù)協(xié)議(3.4)中對服務(wù)交付成果明確約定、可測量和文檔化的一系列服務(wù)指標(biāo)。3.6服務(wù)要素servicefactors3.7服務(wù)方案serviceplans基于服務(wù)目標(biāo)，對服務(wù)各階段中所需執(zhí)行的過程、任務(wù)、活動以及相關(guān)服務(wù)要素(3.6)、服務(wù)水平(3.5)進(jìn)行詳細(xì)描述的文檔。3.8服務(wù)變更servicechange4總體要求4.1網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)向網(wǎng)絡(luò)安全服務(wù)需求方提供網(wǎng)絡(luò)安全服務(wù)，應(yīng)滿足第5章的要求。網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)向?qū)W(wǎng)絡(luò)安全服務(wù)有更高要求的服務(wù)需求方(如黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者等)提供網(wǎng)絡(luò)安全服務(wù)時，還應(yīng)滿足第6章的要求。4.2網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)的要求應(yīng)符合GB/T36959的規(guī)定。4.3商用密碼應(yīng)用安全性評估機(jī)構(gòu)的要求應(yīng)符合國家密碼管理有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的規(guī)定。5一般要求5.1基本條件服務(wù)機(jī)構(gòu)應(yīng)具備以下基本條件：a)在中華人民共和國境內(nèi)注冊；b)法定代表人、董事、合伙人以及高層管理人員三年內(nèi)無犯罪記錄；3GB/T32914—2023c)未被列入可能影響網(wǎng)絡(luò)安全服務(wù)的負(fù)面清單，如失信被執(zhí)行人名單、重大稅收違法案件當(dāng)事人名單、政府采購嚴(yán)重違法失信行為記錄名單和不可靠實體清單等；d)不存在未處理的網(wǎng)絡(luò)安全相關(guān)行政處罰和正在接受網(wǎng)絡(luò)安全審查等情形。5.2組織管理服務(wù)機(jī)構(gòu)的組織管理應(yīng)滿足以下要求：a)按照GB/T22080建立信息安全管理體系；b)設(shè)置與網(wǎng)絡(luò)安全服務(wù)規(guī)模相適應(yīng)的專業(yè)技術(shù)部門或團(tuán)隊；c)網(wǎng)絡(luò)安全服務(wù)項目負(fù)責(zé)人具備2年以上相應(yīng)網(wǎng)絡(luò)安全服務(wù)項目經(jīng)驗；d)建立服務(wù)人員檔案，包括服務(wù)人員的資格證明、培訓(xùn)/考核記錄、技術(shù)方向和能力水平、從業(yè)經(jīng)歷、實際參與項目及分工等信息，檔案至少保存至服務(wù)人員離職后6年；e)服務(wù)人員具備GB/T42446規(guī)定的網(wǎng)絡(luò)安全服務(wù)相關(guān)的知識和技能要求，熟練掌握《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》等的要求，接受崗前培訓(xùn)并經(jīng)考核評定合格后上崗；f)與服務(wù)人員簽訂保密協(xié)議，約定服務(wù)項目實施中的通用保密要求，并定期進(jìn)行保密教育。5.3項目管理服務(wù)機(jī)構(gòu)應(yīng)按照GB/T42461對網(wǎng)絡(luò)安全服務(wù)項目的成本進(jìn)行度量后合理確定服務(wù)報價。服務(wù)機(jī)構(gòu)的網(wǎng)絡(luò)安全服務(wù)方案應(yīng)滿足以下要求：a)在服務(wù)項目實施前編制網(wǎng)絡(luò)安全服務(wù)方案，并得到服務(wù)需求方的認(rèn)可；c)在服務(wù)方案中明確服務(wù)人員(包括項目負(fù)責(zé)人和項目實施人員的職責(zé)等)、服務(wù)流程(包括計劃和風(fēng)險控制等)等服務(wù)要素。服務(wù)機(jī)構(gòu)在服務(wù)實施過程中的要求包括以下內(nèi)容。a)應(yīng)根據(jù)服務(wù)方案組織項目實施，與服務(wù)需求方保持溝通、反饋，如采取通知、定期例會或報告等形式。b)應(yīng)建立服務(wù)變更管理流程，變更前與服務(wù)需求方就具體事項主動溝通，經(jīng)服務(wù)需求方同意務(wù)需求方系統(tǒng)和業(yè)務(wù)造成影響的，應(yīng)進(jìn)行針對性的改進(jìn)、補(bǔ)救或恢復(fù)。c)應(yīng)建立項目應(yīng)急處置機(jī)制，確定雙方的接口人，及時處理服務(wù)實施過程中產(chǎn)生的投訴、爭議和突發(fā)事件等，并形成處置結(jié)論或解決方案。d)在服務(wù)過程中發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，應(yīng)及時向服務(wù)需求方報告安全事件情況，并根據(jù)國家網(wǎng)絡(luò)安4GB/T32914—2023全事件報告的有關(guān)規(guī)定報告安全事件。如網(wǎng)絡(luò)安全服務(wù)涉及網(wǎng)絡(luò)安全事件處置，應(yīng)協(xié)助服務(wù)需求方根據(jù)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》及相關(guān)規(guī)定處置，并在服務(wù)需求方的服務(wù)器和終端等存儲媒介妥善留存事件處置記錄(包括事件原因、事件經(jīng)過、事件影響、處置人員和處置結(jié)果等)和相關(guān)原始數(shù)據(jù)(如行為日志、網(wǎng)絡(luò)數(shù)據(jù)包和有害程序樣本等)。e)在服務(wù)過程中發(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品(含硬件和軟件)的網(wǎng)絡(luò)安全漏洞時，應(yīng)及時向服務(wù)需求方報告。f)應(yīng)對服務(wù)過程中的關(guān)鍵活動進(jìn)行記錄，包括但不限于：1)服務(wù)變更記錄；2)接收數(shù)據(jù)和資料的記錄；3)引入的供應(yīng)商產(chǎn)品(包括名稱、標(biāo)識和版本)以及服務(wù)人員(名單);4)與關(guān)鍵人員溝通和訪談的記錄；5)關(guān)鍵安全策略變更記錄；6)進(jìn)行補(bǔ)丁更新和系統(tǒng)加固的記錄；7)與漏洞和安全事件處置有關(guān)的記錄。g)建立、維護(hù)服務(wù)檔案(包括服務(wù)方案和服務(wù)記錄等),且檔案至少保存6年，有關(guān)法律法規(guī)和行業(yè)管理另有規(guī)定的除外。h)不應(yīng)轉(zhuǎn)包網(wǎng)絡(luò)安全服務(wù)。分包網(wǎng)絡(luò)安全服務(wù)時，確保服務(wù)需求方事前書面同意，分包的服務(wù)內(nèi)容應(yīng)通過服務(wù)協(xié)議將網(wǎng)絡(luò)安全服務(wù)的目標(biāo)、責(zé)任和要求有效傳遞到涉及的供應(yīng)商，并對其履約情況進(jìn)行監(jiān)督。服務(wù)機(jī)構(gòu)在服務(wù)過程中的風(fēng)險控制應(yīng)滿足以下要求：a)識別服務(wù)要素產(chǎn)生的風(fēng)險，提出應(yīng)對措施并確認(rèn)其有效性；b)服務(wù)過程中的操作可能對服務(wù)需求方系統(tǒng)的功能和性能，數(shù)據(jù)的保密性、完整性、可用性和真實性等造成影響的，需向服務(wù)需求方進(jìn)行風(fēng)險提示，經(jīng)服務(wù)需求方同意并采取風(fēng)險規(guī)避措施(如在測試環(huán)境中仿真驗證、進(jìn)行系統(tǒng)和數(shù)據(jù)備份等)后方能實施；c)采取必要的監(jiān)督機(jī)制或?qū)徲嫶胧?，確保服務(wù)人員對系統(tǒng)和數(shù)據(jù)的操作不超出服務(wù)協(xié)議及服務(wù)需求方授權(quán)的范圍；d)對于可能影響網(wǎng)絡(luò)安全服務(wù)質(zhì)量的重大事項，如項目負(fù)責(zé)人及關(guān)鍵服務(wù)人員變更、服務(wù)機(jī)構(gòu)業(yè)服務(wù)機(jī)構(gòu)交付服務(wù)成果應(yīng)滿足以下要求：報告(包括階段報告、總結(jié)報告和驗收報告等),并得到服務(wù)需求方的確認(rèn)；數(shù)據(jù)來源及支撐材料等內(nèi)容；c)完成服務(wù)交付后，根據(jù)與服務(wù)需求方的約定，主動將服務(wù)需求方提供的數(shù)據(jù)、資料、訪問憑證，開通的賬號和部署的工具等進(jìn)行交還、清理或卸載，并向服務(wù)需求方提供由項目服務(wù)人員簽字的承諾或確認(rèn)函。5GB/T32914—20235.4供應(yīng)鏈管理服務(wù)機(jī)構(gòu)的供應(yīng)鏈管理應(yīng)滿足以下要求：督和管理，基本條件滿足5.1c)和d)b)對長期使用、依賴度高的產(chǎn)品和服務(wù)建立合格供應(yīng)商目錄，且同類產(chǎn)品和服務(wù)有多個合格供應(yīng)商；c)要求供應(yīng)商聲明不非法獲取服務(wù)需求方數(shù)據(jù)、控制和操縱服務(wù)需求方系統(tǒng)和設(shè)備，或利用服務(wù)需求方對產(chǎn)品的依賴性謀取不正當(dāng)利益或者迫使更新?lián)Q代；注：聲明的方式包括在合同內(nèi)容中體現(xiàn)、簽署專門的承諾書等。d)在服務(wù)過程中需要引入供應(yīng)商人員的，按照5.2對相關(guān)人員進(jìn)行篩選、考核和管理；e)在獲知供應(yīng)鏈相關(guān)的安全事件信息或威脅信息后，采取更新、中止或替換供應(yīng)商等針對性的應(yīng)急措施；f)建立和維護(hù)供應(yīng)過程檔案，記錄所有供應(yīng)商6年內(nèi)提供產(chǎn)品的名稱、標(biāo)識、版本、產(chǎn)地和生產(chǎn)5.5技術(shù)能力服務(wù)機(jī)構(gòu)的技術(shù)能力要求包括以下內(nèi)容。a)應(yīng)對已開展的網(wǎng)絡(luò)安全服務(wù)形成技術(shù)指導(dǎo)文檔(包括技術(shù)規(guī)范、操作指引和用例集等),編制技術(shù)指導(dǎo)文檔應(yīng)重點關(guān)注以下內(nèi)容：2)國內(nèi)外權(quán)威機(jī)構(gòu)發(fā)布的安全態(tài)勢報告、漏洞公告、突發(fā)安全事件報告等中的最新安全威脅3)國內(nèi)外網(wǎng)絡(luò)安全技術(shù)等的發(fā)展動向中關(guān)于安全控制、技術(shù)解決方案等內(nèi)容。b)服務(wù)內(nèi)容涉及網(wǎng)絡(luò)安全事件處置的，應(yīng)根據(jù)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》及相關(guān)國家標(biāo)準(zhǔn)要求，建立網(wǎng)絡(luò)安全事件處置所需的技術(shù)能力，如編制相關(guān)工作程序、開展知識技能培訓(xùn)和進(jìn)行實操演練等。c)開展網(wǎng)絡(luò)安全服務(wù)過程中，涉及使用密碼的，應(yīng)符合國家密碼管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)規(guī)范要求。5.6服務(wù)工具服務(wù)機(jī)構(gòu)在服務(wù)過程中使用服務(wù)工具的要求包括以下內(nèi)容：a)服務(wù)工具被有關(guān)部門通報或從其他渠道獲知(如行業(yè)曝光等)存在安全問題的，應(yīng)立即停止使用直至問題被修復(fù)；注：經(jīng)確認(rèn)工具的版本不屬于涉及安全問題的版本，或經(jīng)證明問題不存在的除外。b)服務(wù)工具為《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)》中的，應(yīng)已通過國家檢測認(rèn)證；c)應(yīng)確保服務(wù)工具的合法版權(quán)且授權(quán)在有效期內(nèi)，運行狀態(tài)良好，并持續(xù)更新和升級；涉及模板d)應(yīng)明確服務(wù)工具的使用方法，對工具使用人員進(jìn)行培訓(xùn)，避免因不當(dāng)操作對服務(wù)需求方系統(tǒng)、業(yè)務(wù)和數(shù)據(jù)造成影響；e)應(yīng)根據(jù)服務(wù)項目對服務(wù)工具使用權(quán)限進(jìn)行分離，防止非授權(quán)服務(wù)人員使用服務(wù)工具的功能、訪問工具中的日志和報告等數(shù)據(jù)；6GB/T32914—2023f)應(yīng)定期檢驗服務(wù)工具的安全性，如對工具進(jìn)行殺毒、對工具產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行分析等，避免g)應(yīng)關(guān)注服務(wù)工具及其組件的安全漏洞公告和相關(guān)信息，在發(fā)現(xiàn)漏洞被披露時，應(yīng)第一時間評估漏洞的影響，在不影響服務(wù)需求方系統(tǒng)和業(yè)務(wù)等的前提下，采取更新補(bǔ)丁或下線工具等措施；h)應(yīng)確保使用服務(wù)工具的過程不會對服務(wù)需求方系統(tǒng)邊界安全措施造成影響(如服務(wù)需求方系統(tǒng)被服務(wù)工具以外的其他非授權(quán)工具、終端或第三方系統(tǒng)繞過邊界防護(hù)措施直接訪問)。5.7遠(yuǎn)程服務(wù)服務(wù)機(jī)構(gòu)需要遠(yuǎn)程提供服務(wù)的(如遠(yuǎn)程操作服務(wù)工具和登錄服務(wù)需求方系統(tǒng)等),應(yīng)在服務(wù)需求方和服務(wù)機(jī)構(gòu)雙方約定下滿足以下要求：a)對遠(yuǎn)程登錄操作人員進(jìn)行實名登記，分配僅能自用的賬號；b)對遠(yuǎn)程登錄操作人員進(jìn)行身份鑒別，為賬號設(shè)置復(fù)雜度高(如長度不少于12位，包含大寫字母、小寫字母、數(shù)字和特殊字符等三種以上的字符類型)的口令并定期更換；c)遠(yuǎn)程登錄操作僅限于指定的終端及客戶端(如有),并對權(quán)限范圍和時間周期進(jìn)行限制；d)遠(yuǎn)程登錄操作時，采用密碼技術(shù)建立安全的信息傳輸通道，保證通信過程中數(shù)據(jù)的保密性和完e)至少留存6個月內(nèi)遠(yuǎn)程操作的日志，定期對日志進(jìn)行審計，審計過程中發(fā)現(xiàn)存在網(wǎng)絡(luò)安全事件的按照5.3.3d)的規(guī)定處置。5.8法律保障服務(wù)機(jī)構(gòu)的法律保障要求包括以下內(nèi)容。a)應(yīng)由專業(yè)法務(wù)人員審核網(wǎng)絡(luò)安全服務(wù)協(xié)議。b)應(yīng)在服務(wù)協(xié)議中明確以下內(nèi)容：1)服務(wù)機(jī)構(gòu)與服務(wù)需求方雙方的責(zé)任邊界；3)網(wǎng)絡(luò)安全服務(wù)的數(shù)據(jù)安全保護(hù)、項目成果知識產(chǎn)權(quán)歸屬和保密承諾等條款；注：數(shù)據(jù)安全保護(hù)條款具體見5.9a)。4)體現(xiàn)因需遵循的法律法規(guī)、政策變化影響而造成服務(wù)中斷、停止服務(wù)或退出市場等的相關(guān)條款及相應(yīng)責(zé)任。5.9數(shù)據(jù)安全保護(hù)服務(wù)機(jī)構(gòu)對服務(wù)過程中獲取的數(shù)據(jù)(包括原始數(shù)據(jù)和加工分析產(chǎn)生的數(shù)據(jù)等)進(jìn)行安全保護(hù)的要求包括以下內(nèi)容。a)在服務(wù)實施前，應(yīng)與服務(wù)需求方明確約定數(shù)據(jù)安全保護(hù)的相關(guān)條款，包括服務(wù)過程中涉及的個的使用目的和周期、最小處理范圍、最小特權(quán)訪問和事后處置等保護(hù)措施。注1:約定數(shù)據(jù)安全保護(hù)的條款的方式包括在服務(wù)協(xié)議中專門體現(xiàn)或簽署單獨的數(shù)據(jù)安全保護(hù)協(xié)議。注2:現(xiàn)場提供網(wǎng)絡(luò)安全服務(wù)的，明確項目相關(guān)資料是否能被外帶的要求。注3:涉及紙質(zhì)資料的，明確是否可被電子化。b)不應(yīng)將網(wǎng)絡(luò)安全服務(wù)過程中獲取的數(shù)據(jù)變更目的使用，不應(yīng)向第三方提供或進(jìn)行公開，服務(wù)協(xié)議中明確授權(quán)或經(jīng)服務(wù)需求方同意的除外。c)應(yīng)采取必要的安全措施，如加密、簽名和備份等7GB/T32914—2023d)因服務(wù)所需向境外提供和傳輸網(wǎng)絡(luò)安全服務(wù)過程中獲取的各類數(shù)據(jù)，應(yīng)在事前向服務(wù)需求方單獨告知出境目的、數(shù)據(jù)種類、數(shù)量、周期和接收方等情況，取得服務(wù)需求方書面同意。同時，還應(yīng)遵守數(shù)據(jù)出境管理相關(guān)法律法規(guī)的要求。等處理。服務(wù)需求方對處理情況提出核驗或?qū)徲嫷?，?yīng)予以充分配合。注4:包括服務(wù)工具中殘留數(shù)據(jù)的處置。5.10服務(wù)可持續(xù)性服務(wù)機(jī)構(gòu)保障服務(wù)可持續(xù)性的要求包括以下內(nèi)容：a)服務(wù)終止后，可能對服務(wù)需求方系統(tǒng)、業(yè)務(wù)和數(shù)據(jù)等造成影響的，應(yīng)在服務(wù)期限到期前向服務(wù)需求方告知；b)涉及服務(wù)機(jī)構(gòu)更換的，應(yīng)根據(jù)服務(wù)需求方要求向指定的其他服務(wù)機(jī)構(gòu)移交相關(guān)的資料、賬號、證件和令牌等；c)如確有無法提供持續(xù)服務(wù)的情況，應(yīng)提前向服務(wù)需求方告知相關(guān)情況，并提出服務(wù)需求方認(rèn)可的替代或交接方案，以保障服務(wù)需求方業(yè)務(wù)的持續(xù)性。5.11檢測評估服務(wù)專項要求服務(wù)機(jī)構(gòu)提供檢測評估服務(wù)的專項要求包括以下內(nèi)容：a)服務(wù)機(jī)構(gòu)應(yīng)具備基本的檢測評估相關(guān)服務(wù)工具研發(fā)能力或二次開發(fā)能力；注：利用腳本語言編寫測試代碼等認(rèn)為是基本研發(fā)能力的體現(xiàn)。b)服務(wù)內(nèi)容涉及風(fēng)險評估的，應(yīng)按照GB/T20984的規(guī)定對風(fēng)險進(jìn)行識別、定性或定量分析和c)開展漏洞掃描和滲透測試等可能會對服務(wù)需求方系統(tǒng)、業(yè)務(wù)和數(shù)據(jù)等造成影響的，應(yīng)向服務(wù)需求方單獨告知影響、風(fēng)險及應(yīng)對措施，經(jīng)服務(wù)需求方同意后采取影響最小的方式實施；d)服務(wù)需求方要求使用測試環(huán)境進(jìn)行檢測評估時，應(yīng)分析測試環(huán)境與真實環(huán)境(如生產(chǎn)環(huán)境)的區(qū)別，向服務(wù)需求方告知檢測評估結(jié)果的適用范圍；e)應(yīng)針對檢測評估所發(fā)現(xiàn)的安全問題和風(fēng)險等提出安全整改建議，并在服務(wù)需求方完成整改后驗證整改效果，服務(wù)需求方無相關(guān)需求的除外；f)檢測評估報告等服務(wù)交付成果應(yīng)至少保存6年，有關(guān)法律法規(guī)和行業(yè)管理另有規(guī)定的除外。5.12安全運維服務(wù)專項要求服務(wù)機(jī)構(gòu)提供安全運維服務(wù)的專項要求包括以下內(nèi)容：a)維持安全運維服務(wù)團(tuán)隊的穩(wěn)定性，駐場服務(wù)人員每年或單個項目服務(wù)期間更換比例原則上應(yīng)不超過30%;注1:如更換比例超過30%,向服務(wù)需求方告知更換服務(wù)人員的原因，以及采取何種保障措施確保服務(wù)水平不會下降。b)安全運維服務(wù)團(tuán)隊?wèi)?yīng)具備對網(wǎng)絡(luò)攻擊行為進(jìn)行主動發(fā)現(xiàn)、分析和提出防護(hù)建議的能力；注2:發(fā)現(xiàn)方式包括日志分析、異常文件分析、異常進(jìn)程分析、異常流量分析和威脅源分析等。c)對運維工作記錄進(jìn)行匯總，定期向服務(wù)需求方提供安全運維工作簡報，簡報的形式和提交時間d)應(yīng)通過運維事件響應(yīng)和事件關(guān)閉率等可量化的指標(biāo)，衡量安全運維的服務(wù)水平和用戶滿意度；8GB/T32914—2023e)服務(wù)交付成果中應(yīng)包含服務(wù)周期內(nèi)的安全運維總結(jié)報告，總結(jié)報告內(nèi)容包括安全運維工作的6增強(qiáng)要求6.1基本條件服務(wù)機(jī)構(gòu)應(yīng)具備以下條件：a)法定代表人、董事、合伙人以及高層管理人員無犯罪記錄；b)2年內(nèi)沒有因重大網(wǎng)絡(luò)安全服務(wù)問題被有關(guān)部門通報。6.2組織管理服務(wù)機(jī)構(gòu)組織管理應(yīng)滿足以下要求：a)指定一名高層管理人員作為網(wǎng)絡(luò)安全服務(wù)負(fù)責(zé)人；b)根據(jù)服務(wù)協(xié)議中的服務(wù)內(nèi)容建立相對獨立的項目服務(wù)團(tuán)隊(服務(wù)期內(nèi)保證不少于50%服務(wù)人員僅服務(wù)特定項目);c)對項目服務(wù)人員進(jìn)行背景審查，審查結(jié)果長期留存并可供服務(wù)需求方查看；項目服務(wù)人員的身份和安全背景等發(fā)生變化(如取得非中國國籍)或必要時，重新進(jìn)行背景審查；d)確保項目服務(wù)人員是持有相關(guān)技術(shù)資格證明且任職1年以上的員工，且無信息網(wǎng)絡(luò)犯罪記錄；e)確保項目服務(wù)人員每人每年教育培訓(xùn)時長不少于30個學(xué)時，教育培訓(xùn)和考核內(nèi)容包括網(wǎng)絡(luò)安注：常見的實操技能包括網(wǎng)絡(luò)攻擊演練或沙盤推演、威脅及入侵痕跡分析、攻擊阻斷和安全加固和網(wǎng)絡(luò)安全事件處f)確保項目服務(wù)人員已掌握保密相關(guān)知識和技能(如通過保密培訓(xùn)及考試),知曉了其應(yīng)當(dāng)履行與服務(wù)需求方簽署保密協(xié)議(或承諾書和責(zé)任書)。6.3供應(yīng)鏈管理服務(wù)機(jī)構(gòu)在服務(wù)過程中需要引入供應(yīng)商產(chǎn)品或服務(wù)的，應(yīng)對政治、貿(mào)易和外交等因素導(dǎo)致產(chǎn)品或服務(wù)供應(yīng)中斷的風(fēng)險進(jìn)行評估，優(yōu)先選擇合格供應(yīng)商目錄中供應(yīng)有保障的產(chǎn)品或服務(wù)。注：如選用具有自主知識產(chǎn)權(quán)、有備份方案的產(chǎn)品或服務(wù)。6.4技術(shù)能力服務(wù)機(jī)構(gòu)的技術(shù)能力要求包括以下內(nèi)容：a)應(yīng)按照GB/T39204—2022中第9章的相關(guān)內(nèi)容，通過建立與國家、行業(yè)等有關(guān)管理部門、研究機(jī)構(gòu)、其他網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、服務(wù)需求方b)應(yīng)建立網(wǎng)絡(luò)安全服務(wù)管理系統(tǒng)，將網(wǎng)絡(luò)安全服務(wù)的基本情況和5.3.3d)～f)涉及的記錄錄入系統(tǒng)并進(jìn)行自動化管理，且系統(tǒng)可支持通過接口方式共享相關(guān)記錄。6.5服務(wù)工具服務(wù)機(jī)構(gòu)在服務(wù)過程中使用服務(wù)工具的要求包括以下內(nèi)容：a)應(yīng)針對服務(wù)項目建立單獨的服務(wù)工具清單，并明確服務(wù)工具的使用要求和范圍；9GB/T32914—2023b)服務(wù)工具需接入服務(wù)需求方生產(chǎn)環(huán)境的，應(yīng)取得安全認(rèn)證或通過第三方機(jī)構(gòu)的安全檢測；c)服務(wù)工具無法使用會對服務(wù)水平產(chǎn)生顯著影響的，應(yīng)通過提前采購儲備、同類型產(chǎn)品備份或簽署備貨協(xié)議等方式保障服務(wù)工具的持續(xù)供應(yīng)。6.6數(shù)據(jù)安全保護(hù)服務(wù)機(jī)構(gòu)對服務(wù)過程中獲取的數(shù)據(jù)進(jìn)行安全保護(hù)的要求包括：a)服務(wù)過程中應(yīng)對網(wǎng)絡(luò)安全服務(wù)產(chǎn)生的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行監(jiān)測或?qū)徲?，保證所有網(wǎng)絡(luò)流量數(shù)據(jù)均為提供服務(wù)所必需；涉及出境流量數(shù)據(jù)的，應(yīng)按照5.9d)的規(guī)定處置；b)服務(wù)過程中獲取的數(shù)據(jù)，應(yīng)與其他數(shù)據(jù)分開存儲和處理，并按照GB/T39204—2022中7.10的規(guī)定予以保護(hù)；c)對服務(wù)過程中獲取的原始數(shù)據(jù)進(jìn)行加工、分析和使用(如數(shù)據(jù)脫敏后的態(tài)勢分析和算法訓(xùn)練等)應(yīng)經(jīng)服務(wù)需求方同意，并滿足相關(guān)法律法規(guī)和行業(yè)管理規(guī)定的要求。6.7服務(wù)可持續(xù)性涉及服務(wù)機(jī)構(gòu)更換的，服務(wù)機(jī)構(gòu)應(yīng)確保網(wǎng)絡(luò)安全服務(wù)工作順利交接后才可退出服務(wù)。6.8安全運維服務(wù)專項要求服務(wù)機(jī)構(gòu)提供安全運維服務(wù)的專項要求包括以下內(nèi)容：a)應(yīng)保證運維地點位于中國境內(nèi)，如確需境外運維，應(yīng)符合法律法規(guī)要求及相關(guān)規(guī)定；b)安全運維服務(wù)團(tuán)隊?wèi)?yīng)具備對服務(wù)需求方暴露面進(jìn)行識別的能力；注：識別內(nèi)容包括：互聯(lián)網(wǎng)和內(nèi)網(wǎng)資產(chǎn)的互聯(lián)網(wǎng)協(xié)議地址、端口和應(yīng)用服務(wù)，互聯(lián)網(wǎng)上的內(nèi)部信息(組織架構(gòu)、郵箱賬號和組織通訊錄等),公共存儲空間(如，代碼托管平臺、文庫和網(wǎng)盤等)的可能被攻擊者利用的技術(shù)文檔等。c)安全運維服務(wù)團(tuán)隊?wèi)?yīng)具備對不同廠商安全設(shè)備產(chǎn)生的日志進(jìn)行整合分析，以及對5.3.3f)中記錄的、服務(wù)需求方所掌握的以及從其他渠道獲知的網(wǎng)絡(luò)安全信息進(jìn)行匯總和研判的能力。GB/T32914—2023(資料性)網(wǎng)絡(luò)安全服