YD/T 3315-2018
基本信息
标准号: YD/T 3315-2018
中文名称:电信网和互联网安全服务实施要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:3013855
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 3315-2018.Telecommunication network and internet security service implementation requirements.
1范围
YD/T 3315规定了第三方安全服务组织为电信网和互联网实施安全服务过程中所需满足的实施要求。
YD/T 3315适用于第三方安全服务组织。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 2669-2013电信网和互联网第三方安全服务能力评定准则
YD/T 1799-2008网络与信息安全应急处理服务资质评估方法
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
电信网和互联网安全服务telecommunication network and internet security service
面向组织或个人的各类网络安全保障需求,由服务提供方按照服务协议所执行的一个网络安全过程或任务。
通常是基于网络安全技术、产品或管理体系的,通过外包的形式,由专业网络安全人员所提供的支持和帮助。
3.1.2
电信网和互联网安全服务提供方 telecom network and internet security service provider
按照服务协议,通过专业的网络安全人员提供网络安全服务的各类组织机构。网络安全服务提供方在每项具体的服务中,其服务角色和服务职责应该是明确的。如果服务内容仅涉及供需双方的,则服务提供方为乙方角色;在上述服务的基础上,就所涉及的问题,独立于有关各方提供评估、证明等服务并承担相关社会责任的,则服务提供方为第三方角色。服务角色与服务提供方的组织机构类型无关。
1范围
YD/T 3315规定了第三方安全服务组织为电信网和互联网实施安全服务过程中所需满足的实施要求。
YD/T 3315适用于第三方安全服务组织。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 2669-2013电信网和互联网第三方安全服务能力评定准则
YD/T 1799-2008网络与信息安全应急处理服务资质评估方法
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
电信网和互联网安全服务telecommunication network and internet security service
面向组织或个人的各类网络安全保障需求,由服务提供方按照服务协议所执行的一个网络安全过程或任务。
通常是基于网络安全技术、产品或管理体系的,通过外包的形式,由专业网络安全人员所提供的支持和帮助。
3.1.2
电信网和互联网安全服务提供方 telecom network and internet security service provider
按照服务协议,通过专业的网络安全人员提供网络安全服务的各类组织机构。网络安全服务提供方在每项具体的服务中,其服务角色和服务职责应该是明确的。如果服务内容仅涉及供需双方的,则服务提供方为乙方角色;在上述服务的基础上,就所涉及的问题,独立于有关各方提供评估、证明等服务并承担相关社会责任的,则服务提供方为第三方角色。服务角色与服务提供方的组织机构类型无关。
标准图片预览
标准内容
ICS33.030
中华人民共和国通信行业标准
YD/T3315—2018
电信网和互联网安全服务实施要求Telecommunication network and internet security serviceimplementationrequirements
2018-02-09发布
中华人民共和国工业和信息化部2018-04-01实施
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语
4电信网和互联网安全服务概述
安全服务提供方基本要求
组织要求
5.2设备、设施与环境要求
质量保障要求
5.4项目管理要求
5.5保密管理
安全风险评估服务要求
需求分析
6.2方案编制与确认,
资产识别
威胁评估
脆弱性评估
6.6安全证据确认与保存
风险评估报告及处置建议,
安全集成服务要求
安全集成概述
集成准备
方案设计。
建设实施
7.5安全保证
7.6运行维护
7.7培训.
8应急响应服务要求
8.1网络安全应急响应服务概述
准备阶段
检测阶段,
YD/T3315—2018
YD/T3315—2018
抑制阶段
根除阶段.
8.6恢复阶段
总结和报告阶段.
安全培训服务要求,
培训需求分析,
培训计划。
培训准备工作
培训实施,
培训效果评价
10符合性评测服务要求.
测评准备工作
测评方案制定
测评实施bzxz.net
10.5安全证据确认与保存
测评报告要求...
本标准按照GB/T1.1-2009给出的规则起草。YD/T3315—2018
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国通信企业协会通信网络安全专业委员会、中国信息通信研究院、国家计算机网络应急技术处理协调中心、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司、数据通信科学技术研究所、河南省信息咨询设计研究有限公司。本标准主要起草人:李晶晶、江浩洁、谢玮、王卫东、王华、曹曹一生、郑涛、李燕伟、马铮、姜楠、何友斌、陈禹、王鹏翩、汪志、闻蕾、杨振杰。III
1范围
电信网和互联网安全服务实施要求YD/T3315—2018
本标准规定了第三方安全服务组织为电信网和互联网实施安全服务过程中所需满足的实施要求。本标准适用于第三方安全服务组织。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T2669一2013电信网和互联网第三方安全服务能力评定准则YD/T1799—2008网络与信息安全应急处理服务资质评估方法3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
电信网和互联网安全服务telecommunicationnetworkandinternetsecurityservice面向组织或个人的各类网络安全保障需求,由服务提供方按照服务协议所执行的一个网络安全过程或任务。
通常是基于网络安全技术、产品或管理体系的,通过外包的形式,由专业网络安全人员所提供的支持和帮助。
电信网和互联网安全服务提供方telecomnetworkandinternetsecurityserviceprovider按照服务协议,通过专业的网络安全人员提供网络安全服务的各类组织机构。网络安全服务提供方在每项具体的服务中,其服务角色和服务职责应该是明确的。如果服务内容仅涉及供需双方的,则服务提供方为乙方角色:在上述服务的基础上,就所涉及的问题,独立于有关各方提供评估、证明等服务并承担相关社会责任的,则服务提供方为第三方角色。服务角色与服务提供方的组织机构类型无关。
YD/T3315—2018
电信网和互联网安全服务需求方telecomnetworkandinternetsecurityservicedemander使用外部所提供的网络安全服务,以满足电信网和互联网安全保障需求,实现自身业务目标的组织(或个人用户)。
安全风险评估securityriskassessment运用科学的方法与手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,并提出有针对性的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障通信网络及相关系统的安全提供科学依据。3.1.5
安全集成securityintegration
对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固或其他的安全技术和咨询服务。
应急响应emergencyresponse
在处置网络与信息安全事件时提供紧急现场或远程援助的一系列技术和非技术的措施和行动,以降低安全事情给用户造成的损失或影响。3.1.7
安全培训security training
针对电信网和互联网的安全管理、建设,运行维护等与网络安全相关的岗位人员所开展的,以提高安全意识、安全素质和安全技能为目的教育培训活动。服务提供方按照培训需求提供网络与信息安全法律、政策、标准,技术,管理、体系和工程等方面的培训内容。3.1.8
符合性测评conformancetestandassessment针对定级的电信网和互联网网络单元进行检测,评价其是否符合相关安全防护标准的规定要求。3.2缩略语
下列缩略语适用于本文件。
业务影响分析
客户关系管理
入侵检测系统
恢复点目标
Business Impact Analysis
Customer RelationshipManagementIntrusion Detection Systems
Recovery Point Objective
恢复目标时间
电信网和互联网安全服务概述
RecoveryTimeObject
YD/T3315—2018
电信网和互联网安全服务实施要求按照要素分为对服务提供方的基本要求和安全服务过程实施要求两大类。
对安全服务提供方的基本要求是指电信网和互联网安全服务提供方所应满足的基本要素,包括管理与组织、服务企业资质要求两个方面。按照安全服务实施内容的不同,电信网和互联网安全服务分为安全风险评估、符合性测评、安全集成、应急响应、安全培训等5个类型,针对不同安全服务类型的内容和特点,需要满足相应的过程实施要求。网络安全服务要素如图1所示。
符合性测评
测评准备
证据确认
与保存
安全服务过程要素
服务商基本要素要求
安全需求
安全保证
培训需求
培训实施
法律地位
人员组成及
保密管理
测评方案
测评报告
安全集成
方案设计
运行维护
安全培训
培训计划
培训效果评价
企业资质要求
组织架构
设施环境
测评实施
建设实施
培训准备
资质证书
质量保障
需求分析
威胁评估
安全证揭确认
及保存
组织架构
项目协调
变更管理
网络安全服务要素
安全风险评估
方案编制与
脆弱性评估
风险评估报告
及处置建议
应急响应
资产识别
已有安全指
施确认
总结与报告
项目管理要求
风险管理
项目监考
合同管理
进度控制
YD/T3315—2018
5安全服务提供方基本要求
5.1组织要求
5.1.1法律要求
提供电信网和互联网安全服务的组织应是一个独立的实体,由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事业单位:从事电信网和互联网安全服务的组织应拥有健全的组织与管理体系,应制定并落实保密制度,执行保密技术标准。如从事涉及国家秘密的电信网和互联网安全服务的组织应制定符合国家保密部门规定的相关要求,具体应符合YD/T26692013中规定的通信网络安全服务能力等级基本要求。5.1.2资质证书要求
从事电信网和互联网安全服务的组织应具备相关行业组织颁发的网络安全服务能力评定资格证书。5.1.2.2
从事涉及国家秘密的电信网和互联网安全服务的组织应获得国家保密机关的资质认证:5.1.3人员构成和素质要求
从事电信网和互联网安全服务的组织应具有充足的人力资源和合理的人员结构,具备与资质范围相适应的技术负责人。具体要求为:1)组织内获得权威机构安全认证工程师至少应有2名。直接从事安全服务的人员不少于5人,大学本科以上学历不少于80%。至少有项目经理1人,高级项自经理1人。应有一批相对稳定的技术队伍,有至少3人具有2年以上的安全服务项目经验。2)所有与电信网和互联网安全服务有关的人员等应具有基本的信息安全知识,骨干技术人员应系统地掌握信息安全基础理论和核心技术,并具有足够的专业工作经验、3)应有相对稳定的电信网和互联网7安全专业技术队伍。4)法人及主要业务、技术人员无犯罪记录。5.2设备、设施与环境要求
5.2.1基本要求
从事电信网和互联网安全服务的组织:1)应具有固定的工作场所,良好的工作环境,具有实施相关服务的必需的开发、生产、测试和管理工具;
2)应确保所提供服务及承载业务数据和用户数据的设备、设施均位于中国境内。5.2.2安全风险评估服务/符合性测评应具有专门从事电信网和互联网安全风险评估服务/符合性测评服务的相关工具或软件,如漏洞扫4
描工具、安全基线核查、网站安全检测工具等。5.2.3安全集成
YD/T3315—2018
应具有针对安全设计与集成产品的开发、测试和实验环境,有自主研发的安全产品,安全产品研发团队具有较高的技术水平和切实有效的安全服务行业的研发成果。5.2.4应急响应
从事电信网和互联网安全服务的组织:1)应具有实施应急处理服务的必需的研究和实验环境;2)应有处理安全事件的工具或软件,如入侵检测工具、日志分析工具,取证工具等。5.2.5安全培训
从事电信网和互联网安全服务的组织:1)应具有进行安全培训服务的必需的培训场所、培训环境、讲师队伍等:2)应有进行安全培训的安全课件、实验环境、实验工具或软件等。5.3质量保障要求
项目应具备明确的工作目标,与服务需求方进行充分的沟通,明确项目的目标并记录,明确项目对完成目标的考核要求。服务方应具备以下条件:1)服务方为保证项目目标的完成,应建立并落实质量管理体系:从项自需求,项目计划、项目实施、项目总结等各个方面建立完善的管理流程,应具备质量保证、纠正和预防措施管理的规范性文档。2)服务方应建立自行评估服务质量的体系,并能对服务质量进行持续改进的管理流程:编制并建立内部质量管理手册,并对所有项目人员进行培训,使项目成员充分了解、掌握并严格执行质量管理手册,并按照质量保证控制程序进行工作。3)服务方应建立完善的内部质量管理制度:包括保密制度、质量申诉处理制度、定期业务培训、业务交流教育制度、文件资料的档案管理制度,所有项目成员应充分了解并熟悉以上制度,在项目实施过程中遵守相关制度。
5.4项目管理要求
提供电信网和互联网安全服务的组织应对整个安全服务项目进行科学的管理,实现组织架构、风险管理、合同管理、协调管理、监控管理、进度控制、变更管理的严格控制。5.4.1项目组织架构
服务方应具备独立的法人资格,并能够提供足以实施安全服务活动以及包括绩效测量和监测工作的人力、专项技能与技术、财力资源,具备与资质范围相适应的技术负责人;应拥有健全的组织结构和管理体系,有专门的安全服务部门或团队。5.4.2项目风险管理
服务方应具有项目风险管理部门或风险管理人员,并就项目风险进行有效的管理。具体为:5
YD/T3315—2018
1)服务方应建立项目风险管理相关的管理制度,并能提供项目风险管理制度有效运行的证据:2)安全服务项目的风险主要来自安全服务过程的不确定性、安全服务实施人员素质、客户工作环境的特殊要求等。在项目实施之时,应该充分考虑到各种风险因素,识别项目中存在的各种风险,制定风险规避措施和风险计划,并培训项目实施人员,使项目成员能了解并熟悉项目风险,并严格落实项目风险规避的措施
5.4.3项目合同管理
服务提供方应完成以下事项:
1)应签订服务合同或协议;
2)应明确双方的职责和责任;
3)应明确评估的具体行为,明确哪些具体的评估行为是可接受或者禁止的,哪些行为需要系统管理者的事先批准,无其是对于关键系统的拒绝服务尝试,对敏感信息的破解尝试。5.4.4项目协调管理
项目中,将采用正规的项目沟通程序,保证参与项目的各方能够保持对项目的了解和支持。这些管理和沟通措施将对项目过程的质量和结果的质量具有重要的作用。应具有成文的项目协调制度,并符合相关项目管理标准。
5.4.5项目监控管理
项目的技术活动监控指通过对项目资源的协调使得项目过程达到最优的状态,同时通过对各种变化的监控,及时做出对项目执行有利的响应。项目的监控应包括项目计划制定、项目计划执行和项目过程控制。5.4.6项目进度控制
服务方应按照项目计划开展工作,对项目进度要进行严格的管理,并具备项目进度管理制度。应能提供项目进度管理制度可以有效运行的证据。涉及项目计划变更的情况,应双方协商一致解决并更新项目计划书。
5.4.7项目变更管理
不受控制的项目变更,包括目标变更、范围变更、人员变更、环境变更、文档修改等等是对项目质量的重大威胁。具体为:
1)在项目中,应围绕对项目计划的维护为核心,对项目计划及其衍生文档进行正规的变更控制管理:
2)应对项目变更要进行严格的管理,并具备项目变更管理制度:3)应能提供项目变更管理制度可以有效运行的证据。5.5保密管理
服务提供方应与服务对象签订服务合同或协议,明确双方的职责和责任,承诺对所进行的安全服务工作保密,确保不泄露安全服务工作的重要和敏感信息。具体为:6
1)应制定符合国家保密部门要求的工作保密制度和建立相应的组织监管体系:2)安全服务人员应与安全服务提供者签订保密协议,并遵守有关法律法规:YD/T3315—2018
3)建立人员管理程序,明确保密岗位与职责,定期对安全服务人员进行安全保密教育与培训,并签订保密责任书,规定应当履行的安全保密义务和承担的法律责任。安全风险评估服务要求
6.1需求分析
在风险评估实施前,应进行风险评估需求分析,具体包括确定风险评估的自目标,确定风险评估的范围,以及进行系统调研。
6.1.1确定目标
风险评估的准备阶段应根据电信网和互联网业务持续发展在安全方面的需求,明确风险评估的目标,为风险评估的过程提供导向。6.1.2确定范围
基于风险评估目标确定是完成风险评估的前提,应明确风险评估的范围。电信网和互联网及相关系统的安全风险评估内容,可以是整个电信网和互联网及相关系统中全部资产、管理机构,也可以是电信网和互联网及相关系统中的某个部分的独立资产、相关的部门等。6.1.3网络或系统调研
风险评估团队应对电信网和互联网及相关系统中的评估对象进行充分的调研。评估对象调研可以采取问卷调查、现场面谈相结合的方式进行。网络或系统调研内容至少应包括:1)业务战略及管理制度;
2)主要的业务功能和要求;
3)网络结构与网络环境,包括内部连接和外部连接:4)网络或系统边界;
5)主要的硬件、软件;
6)数据和信息:;
7)网络或系统数据的敏感性;
8)支持和使用系统的人员;
9)网络或系统之前风险评估的情况:10)其他。
6.1.4需求确认
上述所有内容确定完成后,应形成较为完整的需求分析报告,得到组织管理者的确认、批准;并将7
YD/T3315—2018
本次风险评估确定的目标和范围向管理层和技术人员进行传达根据风险评估的具体情况,需求分析报告可以单独成文,也可以包含在风险评估实施方案中。6.2方案编制与确认
评估方应确定评估依据和方法,在此基础上编制风险评估方案并获得管理者对风险评估工作的确认。
6.2.1确定依据
应根据系统调研结果,确定评估依据和评估方法。评估依据应包括(但不仅限于):1)现行国际标准、国家标准、行业标准:2)行业主管部门业务系统的要求和制度;3)网络或系统安全保护等级要求:4)网络或系统互联单位的安全要求;5)网络或系统本身的实时性或性能要求等。根据评估依据,应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法,并依据业务实施对系统安全运行的需求,确定相关的判断依据,使之能够与组织环境和安全要求相适应。
6.2.2制定方案
评估方应制定风险评估方案,用于指导实施方开展后续工作。风险评估方案的内容应包括(但不仅限于):
1)团队组织:包括评估团队成员、组织结构、角色、责任等内容:2)工作计划:风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容:3)时间进度安排:项目实施的时间进度安排。6.2.3方案确认
上述所有内容确定后,应形成较为完整的风险评估实施方案,得到组织管理者的确认,批准;在组织范围内就风险评估相关内容进行培训,明确有关人员在风险评估中的任务,6.3资产识别
6.3.1资产分类
在电信网和互联网及相关系统的风险评估中,应将电信网和互联网及相关系统资产进行恰当的分类,以此为基础进行下一步的风险评估。资产分类方法可参见具体网络的安全防护要求,6.3.2资产赋值
应综合考虑资产的社会影响力、业务价值和可用性三个安全属性对资产进行赋值,并在此基础上得出一个综合的结果。为确保资产赋值时的一致性和准确性,组织应建立资产价值评价尺度,以指导资产赋值。资产价值评估者可根据资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步的8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T3315—2018
电信网和互联网安全服务实施要求Telecommunication network and internet security serviceimplementationrequirements
2018-02-09发布
中华人民共和国工业和信息化部2018-04-01实施
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语
4电信网和互联网安全服务概述
安全服务提供方基本要求
组织要求
5.2设备、设施与环境要求
质量保障要求
5.4项目管理要求
5.5保密管理
安全风险评估服务要求
需求分析
6.2方案编制与确认,
资产识别
威胁评估
脆弱性评估
6.6安全证据确认与保存
风险评估报告及处置建议,
安全集成服务要求
安全集成概述
集成准备
方案设计。
建设实施
7.5安全保证
7.6运行维护
7.7培训.
8应急响应服务要求
8.1网络安全应急响应服务概述
准备阶段
检测阶段,
YD/T3315—2018
YD/T3315—2018
抑制阶段
根除阶段.
8.6恢复阶段
总结和报告阶段.
安全培训服务要求,
培训需求分析,
培训计划。
培训准备工作
培训实施,
培训效果评价
10符合性评测服务要求.
测评准备工作
测评方案制定
测评实施bzxz.net
10.5安全证据确认与保存
测评报告要求...
本标准按照GB/T1.1-2009给出的规则起草。YD/T3315—2018
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国通信企业协会通信网络安全专业委员会、中国信息通信研究院、国家计算机网络应急技术处理协调中心、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司、数据通信科学技术研究所、河南省信息咨询设计研究有限公司。本标准主要起草人:李晶晶、江浩洁、谢玮、王卫东、王华、曹曹一生、郑涛、李燕伟、马铮、姜楠、何友斌、陈禹、王鹏翩、汪志、闻蕾、杨振杰。III
1范围
电信网和互联网安全服务实施要求YD/T3315—2018
本标准规定了第三方安全服务组织为电信网和互联网实施安全服务过程中所需满足的实施要求。本标准适用于第三方安全服务组织。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T2669一2013电信网和互联网第三方安全服务能力评定准则YD/T1799—2008网络与信息安全应急处理服务资质评估方法3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
电信网和互联网安全服务telecommunicationnetworkandinternetsecurityservice面向组织或个人的各类网络安全保障需求,由服务提供方按照服务协议所执行的一个网络安全过程或任务。
通常是基于网络安全技术、产品或管理体系的,通过外包的形式,由专业网络安全人员所提供的支持和帮助。
电信网和互联网安全服务提供方telecomnetworkandinternetsecurityserviceprovider按照服务协议,通过专业的网络安全人员提供网络安全服务的各类组织机构。网络安全服务提供方在每项具体的服务中,其服务角色和服务职责应该是明确的。如果服务内容仅涉及供需双方的,则服务提供方为乙方角色:在上述服务的基础上,就所涉及的问题,独立于有关各方提供评估、证明等服务并承担相关社会责任的,则服务提供方为第三方角色。服务角色与服务提供方的组织机构类型无关。
YD/T3315—2018
电信网和互联网安全服务需求方telecomnetworkandinternetsecurityservicedemander使用外部所提供的网络安全服务,以满足电信网和互联网安全保障需求,实现自身业务目标的组织(或个人用户)。
安全风险评估securityriskassessment运用科学的方法与手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,并提出有针对性的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障通信网络及相关系统的安全提供科学依据。3.1.5
安全集成securityintegration
对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固或其他的安全技术和咨询服务。
应急响应emergencyresponse
在处置网络与信息安全事件时提供紧急现场或远程援助的一系列技术和非技术的措施和行动,以降低安全事情给用户造成的损失或影响。3.1.7
安全培训security training
针对电信网和互联网的安全管理、建设,运行维护等与网络安全相关的岗位人员所开展的,以提高安全意识、安全素质和安全技能为目的教育培训活动。服务提供方按照培训需求提供网络与信息安全法律、政策、标准,技术,管理、体系和工程等方面的培训内容。3.1.8
符合性测评conformancetestandassessment针对定级的电信网和互联网网络单元进行检测,评价其是否符合相关安全防护标准的规定要求。3.2缩略语
下列缩略语适用于本文件。
业务影响分析
客户关系管理
入侵检测系统
恢复点目标
Business Impact Analysis
Customer RelationshipManagementIntrusion Detection Systems
Recovery Point Objective
恢复目标时间
电信网和互联网安全服务概述
RecoveryTimeObject
YD/T3315—2018
电信网和互联网安全服务实施要求按照要素分为对服务提供方的基本要求和安全服务过程实施要求两大类。
对安全服务提供方的基本要求是指电信网和互联网安全服务提供方所应满足的基本要素,包括管理与组织、服务企业资质要求两个方面。按照安全服务实施内容的不同,电信网和互联网安全服务分为安全风险评估、符合性测评、安全集成、应急响应、安全培训等5个类型,针对不同安全服务类型的内容和特点,需要满足相应的过程实施要求。网络安全服务要素如图1所示。
符合性测评
测评准备
证据确认
与保存
安全服务过程要素
服务商基本要素要求
安全需求
安全保证
培训需求
培训实施
法律地位
人员组成及
保密管理
测评方案
测评报告
安全集成
方案设计
运行维护
安全培训
培训计划
培训效果评价
企业资质要求
组织架构
设施环境
测评实施
建设实施
培训准备
资质证书
质量保障
需求分析
威胁评估
安全证揭确认
及保存
组织架构
项目协调
变更管理
网络安全服务要素
安全风险评估
方案编制与
脆弱性评估
风险评估报告
及处置建议
应急响应
资产识别
已有安全指
施确认
总结与报告
项目管理要求
风险管理
项目监考
合同管理
进度控制
YD/T3315—2018
5安全服务提供方基本要求
5.1组织要求
5.1.1法律要求
提供电信网和互联网安全服务的组织应是一个独立的实体,由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事业单位:从事电信网和互联网安全服务的组织应拥有健全的组织与管理体系,应制定并落实保密制度,执行保密技术标准。如从事涉及国家秘密的电信网和互联网安全服务的组织应制定符合国家保密部门规定的相关要求,具体应符合YD/T26692013中规定的通信网络安全服务能力等级基本要求。5.1.2资质证书要求
从事电信网和互联网安全服务的组织应具备相关行业组织颁发的网络安全服务能力评定资格证书。5.1.2.2
从事涉及国家秘密的电信网和互联网安全服务的组织应获得国家保密机关的资质认证:5.1.3人员构成和素质要求
从事电信网和互联网安全服务的组织应具有充足的人力资源和合理的人员结构,具备与资质范围相适应的技术负责人。具体要求为:1)组织内获得权威机构安全认证工程师至少应有2名。直接从事安全服务的人员不少于5人,大学本科以上学历不少于80%。至少有项目经理1人,高级项自经理1人。应有一批相对稳定的技术队伍,有至少3人具有2年以上的安全服务项目经验。2)所有与电信网和互联网安全服务有关的人员等应具有基本的信息安全知识,骨干技术人员应系统地掌握信息安全基础理论和核心技术,并具有足够的专业工作经验、3)应有相对稳定的电信网和互联网7安全专业技术队伍。4)法人及主要业务、技术人员无犯罪记录。5.2设备、设施与环境要求
5.2.1基本要求
从事电信网和互联网安全服务的组织:1)应具有固定的工作场所,良好的工作环境,具有实施相关服务的必需的开发、生产、测试和管理工具;
2)应确保所提供服务及承载业务数据和用户数据的设备、设施均位于中国境内。5.2.2安全风险评估服务/符合性测评应具有专门从事电信网和互联网安全风险评估服务/符合性测评服务的相关工具或软件,如漏洞扫4
描工具、安全基线核查、网站安全检测工具等。5.2.3安全集成
YD/T3315—2018
应具有针对安全设计与集成产品的开发、测试和实验环境,有自主研发的安全产品,安全产品研发团队具有较高的技术水平和切实有效的安全服务行业的研发成果。5.2.4应急响应
从事电信网和互联网安全服务的组织:1)应具有实施应急处理服务的必需的研究和实验环境;2)应有处理安全事件的工具或软件,如入侵检测工具、日志分析工具,取证工具等。5.2.5安全培训
从事电信网和互联网安全服务的组织:1)应具有进行安全培训服务的必需的培训场所、培训环境、讲师队伍等:2)应有进行安全培训的安全课件、实验环境、实验工具或软件等。5.3质量保障要求
项目应具备明确的工作目标,与服务需求方进行充分的沟通,明确项目的目标并记录,明确项目对完成目标的考核要求。服务方应具备以下条件:1)服务方为保证项目目标的完成,应建立并落实质量管理体系:从项自需求,项目计划、项目实施、项目总结等各个方面建立完善的管理流程,应具备质量保证、纠正和预防措施管理的规范性文档。2)服务方应建立自行评估服务质量的体系,并能对服务质量进行持续改进的管理流程:编制并建立内部质量管理手册,并对所有项目人员进行培训,使项目成员充分了解、掌握并严格执行质量管理手册,并按照质量保证控制程序进行工作。3)服务方应建立完善的内部质量管理制度:包括保密制度、质量申诉处理制度、定期业务培训、业务交流教育制度、文件资料的档案管理制度,所有项目成员应充分了解并熟悉以上制度,在项目实施过程中遵守相关制度。
5.4项目管理要求
提供电信网和互联网安全服务的组织应对整个安全服务项目进行科学的管理,实现组织架构、风险管理、合同管理、协调管理、监控管理、进度控制、变更管理的严格控制。5.4.1项目组织架构
服务方应具备独立的法人资格,并能够提供足以实施安全服务活动以及包括绩效测量和监测工作的人力、专项技能与技术、财力资源,具备与资质范围相适应的技术负责人;应拥有健全的组织结构和管理体系,有专门的安全服务部门或团队。5.4.2项目风险管理
服务方应具有项目风险管理部门或风险管理人员,并就项目风险进行有效的管理。具体为:5
YD/T3315—2018
1)服务方应建立项目风险管理相关的管理制度,并能提供项目风险管理制度有效运行的证据:2)安全服务项目的风险主要来自安全服务过程的不确定性、安全服务实施人员素质、客户工作环境的特殊要求等。在项目实施之时,应该充分考虑到各种风险因素,识别项目中存在的各种风险,制定风险规避措施和风险计划,并培训项目实施人员,使项目成员能了解并熟悉项目风险,并严格落实项目风险规避的措施
5.4.3项目合同管理
服务提供方应完成以下事项:
1)应签订服务合同或协议;
2)应明确双方的职责和责任;
3)应明确评估的具体行为,明确哪些具体的评估行为是可接受或者禁止的,哪些行为需要系统管理者的事先批准,无其是对于关键系统的拒绝服务尝试,对敏感信息的破解尝试。5.4.4项目协调管理
项目中,将采用正规的项目沟通程序,保证参与项目的各方能够保持对项目的了解和支持。这些管理和沟通措施将对项目过程的质量和结果的质量具有重要的作用。应具有成文的项目协调制度,并符合相关项目管理标准。
5.4.5项目监控管理
项目的技术活动监控指通过对项目资源的协调使得项目过程达到最优的状态,同时通过对各种变化的监控,及时做出对项目执行有利的响应。项目的监控应包括项目计划制定、项目计划执行和项目过程控制。5.4.6项目进度控制
服务方应按照项目计划开展工作,对项目进度要进行严格的管理,并具备项目进度管理制度。应能提供项目进度管理制度可以有效运行的证据。涉及项目计划变更的情况,应双方协商一致解决并更新项目计划书。
5.4.7项目变更管理
不受控制的项目变更,包括目标变更、范围变更、人员变更、环境变更、文档修改等等是对项目质量的重大威胁。具体为:
1)在项目中,应围绕对项目计划的维护为核心,对项目计划及其衍生文档进行正规的变更控制管理:
2)应对项目变更要进行严格的管理,并具备项目变更管理制度:3)应能提供项目变更管理制度可以有效运行的证据。5.5保密管理
服务提供方应与服务对象签订服务合同或协议,明确双方的职责和责任,承诺对所进行的安全服务工作保密,确保不泄露安全服务工作的重要和敏感信息。具体为:6
1)应制定符合国家保密部门要求的工作保密制度和建立相应的组织监管体系:2)安全服务人员应与安全服务提供者签订保密协议,并遵守有关法律法规:YD/T3315—2018
3)建立人员管理程序,明确保密岗位与职责,定期对安全服务人员进行安全保密教育与培训,并签订保密责任书,规定应当履行的安全保密义务和承担的法律责任。安全风险评估服务要求
6.1需求分析
在风险评估实施前,应进行风险评估需求分析,具体包括确定风险评估的自目标,确定风险评估的范围,以及进行系统调研。
6.1.1确定目标
风险评估的准备阶段应根据电信网和互联网业务持续发展在安全方面的需求,明确风险评估的目标,为风险评估的过程提供导向。6.1.2确定范围
基于风险评估目标确定是完成风险评估的前提,应明确风险评估的范围。电信网和互联网及相关系统的安全风险评估内容,可以是整个电信网和互联网及相关系统中全部资产、管理机构,也可以是电信网和互联网及相关系统中的某个部分的独立资产、相关的部门等。6.1.3网络或系统调研
风险评估团队应对电信网和互联网及相关系统中的评估对象进行充分的调研。评估对象调研可以采取问卷调查、现场面谈相结合的方式进行。网络或系统调研内容至少应包括:1)业务战略及管理制度;
2)主要的业务功能和要求;
3)网络结构与网络环境,包括内部连接和外部连接:4)网络或系统边界;
5)主要的硬件、软件;
6)数据和信息:;
7)网络或系统数据的敏感性;
8)支持和使用系统的人员;
9)网络或系统之前风险评估的情况:10)其他。
6.1.4需求确认
上述所有内容确定完成后,应形成较为完整的需求分析报告,得到组织管理者的确认、批准;并将7
YD/T3315—2018
本次风险评估确定的目标和范围向管理层和技术人员进行传达根据风险评估的具体情况,需求分析报告可以单独成文,也可以包含在风险评估实施方案中。6.2方案编制与确认
评估方应确定评估依据和方法,在此基础上编制风险评估方案并获得管理者对风险评估工作的确认。
6.2.1确定依据
应根据系统调研结果,确定评估依据和评估方法。评估依据应包括(但不仅限于):1)现行国际标准、国家标准、行业标准:2)行业主管部门业务系统的要求和制度;3)网络或系统安全保护等级要求:4)网络或系统互联单位的安全要求;5)网络或系统本身的实时性或性能要求等。根据评估依据,应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法,并依据业务实施对系统安全运行的需求,确定相关的判断依据,使之能够与组织环境和安全要求相适应。
6.2.2制定方案
评估方应制定风险评估方案,用于指导实施方开展后续工作。风险评估方案的内容应包括(但不仅限于):
1)团队组织:包括评估团队成员、组织结构、角色、责任等内容:2)工作计划:风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容:3)时间进度安排:项目实施的时间进度安排。6.2.3方案确认
上述所有内容确定后,应形成较为完整的风险评估实施方案,得到组织管理者的确认,批准;在组织范围内就风险评估相关内容进行培训,明确有关人员在风险评估中的任务,6.3资产识别
6.3.1资产分类
在电信网和互联网及相关系统的风险评估中,应将电信网和互联网及相关系统资产进行恰当的分类,以此为基础进行下一步的风险评估。资产分类方法可参见具体网络的安全防护要求,6.3.2资产赋值
应综合考虑资产的社会影响力、业务价值和可用性三个安全属性对资产进行赋值,并在此基础上得出一个综合的结果。为确保资产赋值时的一致性和准确性,组织应建立资产价值评价尺度,以指导资产赋值。资产价值评估者可根据资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步的8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。