计算机信息系统安全服务规范.pdf

计算机信息系统安全服务规范

1范围

本文件规定了从事计算机信息系统安全服务的机构应具备的服务能力要求及评定方法。

本文件适用于第三方评审机构对在从事计算机信息系统安全服务的机构进行等级评定，评定结果

可作为政府部门和企事业单位选用安全服务时的参考依据；也可作为从事计算机信息系统安全服务的

机构改进自身服务能力的指导。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适

用于本文件。

GB/T25069-2022安全技术术语

GB/T30271-2013信息安全技术信息安全服务能力评估准则

3术语和定义

GB/T25069-2022和GB/T30271-2013界定的以及下列术语和定义适用于本文件。

3.1

计算机信息系统computerinformationsystem

由计算机及相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进

行采集、加工、存储、传输、检索等处理的人机系统。

3.2

计算机信息系统安全computerinformationsystemsecurity

采取适当措施保护数据和资源，使计算机信息系统免受偶然或恶意的修改、损害、访问、泄露等

操作的危害。

3.3

信息安全服务informationsecurityservice

面向组织或个人的各类信息安全保障需求，由服务提供方按照服务协议所执行的一个信息安全过

程或服务。

3.4

安全服务机构securityservices

按照服务协议，通过专业计算机信息系统安全服务人员提供信息安全服务的各类组织机构。

3.5

第三方评审机构third-partyassessmentorganization

独立于信息安全服务相关方的专业评估机构。

4安全服务机构等级划分

安全服务机构等级评定是衡量安全服务机构服务能力的尺度，依据安全服务机构的基本条件、基

本资格、管理能力、技术服务能力等分为一级、二级、三级、四级，其中一级最高，四级最低。

1

5安全服务机构评定标准

安全服务机构等级评定要求包含基本能力要求、分级能力要求和服务能力过程要求。基本能力要

求包含基本条件、基本管理能力要求、基本技术能力要求，具体要求见第6章。分级能力要求为安全服

务机构各级别的能力要求，包含基本资格、管理能力要求、技术能力要求，具体要求见第7章。服务能

力过程要求包含准备阶段、设计阶段、实施阶段、服务保障阶段等4个阶段，具体要求见第8章。

6安全服务机构基本能力要求

6.1基本条件

安全服务机构应具备的基本条件包括：

a)具有中华人民共和国境内注册的独立法人资格，并具有相关部门颁发的合法经营资格；

b)拥有长期固定的办公场所，具有能满足业务需求的设备和环境；

c)有健全的财务制度，财务数据真实可信；

d)遵守国家现行法律、法规，无违法记录。

6.2基本管理能力要求

安全服务机构应具备的基本管理能力包括：

a)建立人员管理制度和能力考核指标，制定相关培训计划，定期开展培训；

b)建立文档管理制度，确保项目文档资料妥善保管；

c)建立项目管理制度，有健全的监督检查机制；

d)建立保密管理制度，确保客户信息安全可控；

e)建立质量管理制度，跟踪服务质量，并能对服务质量进行持续改进。

6.3基本技术能力要求

安全服务机构应具备的基本技术能力包括：

a)具备评估系统安全威胁的能力，能够识别系统所面临的各种安全威胁及其性质和特征，以及

对威胁的可能性进行评估；

b)具备评估系统脆弱性的能力，能够收集、合成系统的脆弱性数据；

c)具备评估安全对系统的影响的能力，能够识别安全对所实施的系统的影响，并对发生影响的

可能性进行评估；

d)具备评估系统安全风险的能力，识别出给定环境中涉及到对某一系统有依赖关系的安全风险；

e)具备确定系统安全