ICS 35.030 CCS L 80 中华人民共和国国家标准 GB/T 32914—2023 代替GB/T 32914-2016 ` 信息安全技术 网络安全服务能力要求 Information security technology－Capability requirements of cybersecurity service 2023-09-07 发布 2024-04-01 实施 GB/T XXXXX—XXXX 目 次 前言 ................................................................................ II 1 2 3 4 5 范围 ............................................................................... 规范性引用文件 ..................................................................... 术语和定义 ......................................................................... 总体要求 ........................................................................... 一般要求 ........................................................................... 5.1 基本条件 ....................................................................... 5.2 组织管理 ....................................................................... 5.3 项目管理 ....................................................................... 5.4 供应链管理 ..................................................................... 5.5 技术能力 ....................................................................... 5.6 服务工具 ....................................................................... 5.7 远程服务 ....................................................................... 5.8 法律保障 ....................................................................... 5.9 数据安全保护 ................................................................... 5.10 服务可持续性 .................................................................. 5.11 检测评估服务专项要求 .......................................................... 5.12 安全运维服务专项要求 .......................................................... 6 增强要求 ........................................................................... 6.1 基本条件 ....................................................................... 6.2 组织管理 ....................................................................... 6.3 供应链管理 ..................................................................... 6.4 技术能力 ....................................................................... 6.5 服务工具 ....................................................................... 6.6 数据安全保护 ................................................................... 6.7 服务可持续性 ................................................................... 6.8 安全运维服务专项要求 ........................................................... 1 1 1 2 2 2 3 3 5 5 5 6 6 6 7 7 7 7 7 8 8 8 8 8 9 9 附 录 A （资料性） 网络安全服务使用的常见工具类型 ................................... 10 参 考 文 献 ......................................................................... 12 I GB/T 32914-XXXX 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本 文 件 代 替 GB/T 32914—2016 《 信 息 安 全 技 术 信 息 安 全 服 务 提 供 方 管 理 要 求 》 ， 与 GB/T 32914—2016相比，除结构调整和编辑性改动外，主要技术变化如下： a) 将术语“信息安全服务”更改为“网络安全服务”，并更改了定义（见3.1，2016年版的3.1）； b) 增加了总体要求（见第4章）； c) 将第5章、第6章内容更改并合并为“第5章 一般要求”（见第5章，2016年版的第5章、第6章）； d) 增加了“供应链管理”要求（见5.4）； e) 增加了“远程服务”要求（见5.7）； f) 增加了“法律保障”要求（见5.8）； g) 增加了“数据安全保护”要求（见5.9）； h) 增加了“服务可持续性”要求（见5.10）； i) 增加了“检测评估服务专项要求”内容（见第5.11）； j) 增加了“安全运维服务专项要求”内容（见第5.12）； k) 增加了“增强要求”内容（见第6章）； l) 增加了“网络安全服务使用的常见工具类型”内容（见附录A）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息安全 测评中心、国家信息技术安全研究中心、中国电子科技集团公司第十五研究所（信息产业信息安全测评 中心）、公安部第一研究所、公安部第三研究所、中国软件评测中心（工业和信息化部软件与集成电路 促进中心）、工业和信息化部电子第五研究所、中国信息通信研究院、国家工业信息安全发展研究中心、 杭州安恒信息技术股份有限公司、北京安信天行科技有限公司、北京神州绿盟科技有限公司、全知科技 (杭州)有限责任公司、广州竞远安全技术股份有限公司、中国移动通信集团有限公司、北京市政务信息 安全保障中心（北京信息安全测评中心)、奇安信科技集团股份有限公司、深信服科技股份有限公司、 北京天融信网络安全技术有限公司、北京时代新威信息技术有限公司。 本文件主要起草人：杨建军、何延哲、李有元、程瑜琦、陆丽、史大为、霍珊珊、李秋香、陆臻、 陈青民、朱雪峰、李彦峰、陈星、何刚、方兴、金达、王琰、张斌、徐克超、李智明、程潞样、韦国文、 邱勤、李媛、宋宏涛、陈洪波、马力、白旭东、李伟旗、王连强、李豫然、陈广勇、张静、周顿科、张 铁铮、俞政臣、刘健、路明、唐刚、王翔宇、万紫骞、鲁立、孟楠、戴方芳、于盟、赵冉、徐思嘉、吕 泽伟。 本文件及其所代替文件的历次版本发布情况为： ——2016年首次发布为GB/T 32914-2016； ——本次为第一次修订。 II GB/T 32914—XXXX 信息安全技术 网络安全服务能力要求 1 范围 本文件规定了网络安全服务的能力要求，包括一般要求和增强要求。 本文件适用于指导网络安全服务机构开展网络安全服务，以及评价网络安全服务机构的能力水平， 也可为网络安全服务需求方选择网络安全服务机构时提供参考。 注：本文件所述网络安全服务不含涉及国家秘密的网络安全服务。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 20984 信息安全技术 信息安全风险评估方法 GB/T 22080 信息技术 安全技术 信息安全管理体系 要求 GB/T 25069 信息安全技术 术语 GB/T 36959 信息安全技术 网络安全等级保护测评机构能力要求和评估规范 GB/T 39204—2022 信息安全技术 关键信息基础设施安全保护要求 GB/T 42446 信息安全技术 网络安全从业人员能力基本要求 GB/T 42461 信息安全技术 网络安全服务成本度量指南 国家网络安全事件应急预案 网络产品安全漏洞管理规定 网络关键设备和网络安全专用产品目录 3 术语和定义 GB/T 25069界定的以及下列术语和定义适用于本文件。 3.1 网络安全服务 cybersecurity service 根据服务协议，基于服务人员、技术、工具、管理和资金等资源，提供保障网络运行安全