YD/T 1799-2008
基本信息
标准号: YD/T 1799-2008
中文名称:网络与信息安全应急处理服务资质评估方法
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1135585
相关标签: 网络 信息安全 应急 处理 服务 资质 评估 方法
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1799-2008.Evaluation Methods for Qualification of Network and Information Security Emergency Response Service.
1范围
YD/T 1799规定了为信息系统所有者提供网络与信息安全应急处理服务的组织应具备的服务资质要求,以及对提供网络与信息安全应急处理服务的组织进行评估的方法。
YD/T 1799适用于第三方评估机构和认证机构对提供网络与信息安全应急处理服务的组织进行网络与信息安全应急处理服务资质评估和认证,可作为信息系统所有者选择提供网络与信息安全应急处理服务组织的依据,可作为有关主管部门对提供网络与信息安全应急处理服务的组织进行管理的技术性规范,也可为提供网络与信息安全应急处理服务的组织改进自身能力提供指导。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 19000.3- -2001质量管理和质量保证标准第3部分:GB/T 19001在计算机软件开发、供应、安装和维护中的使用指南
GB/T 19001- -2000质量体系要求
GB/T 19004.2- -1994质量管理和质量体系要素第2部分:服务指南
GB/T 19004.4- -1994质量管理和质量体系要素第4部分:质量改进指南
GB/Z 20286- -2007信息安全技术信息安全事件分类分级指南
YD/T 162- -2007网络与信息安全服务资质评估准则
GB/T 19716信息技术安全技术信息安全管理实用规则
3术语和缩略语
3.1 术语和定义
GB/T 5271.8-2001中的术语和定义适用于本标准,另外以下术语和定义也适用于本标准。
1范围
YD/T 1799规定了为信息系统所有者提供网络与信息安全应急处理服务的组织应具备的服务资质要求,以及对提供网络与信息安全应急处理服务的组织进行评估的方法。
YD/T 1799适用于第三方评估机构和认证机构对提供网络与信息安全应急处理服务的组织进行网络与信息安全应急处理服务资质评估和认证,可作为信息系统所有者选择提供网络与信息安全应急处理服务组织的依据,可作为有关主管部门对提供网络与信息安全应急处理服务的组织进行管理的技术性规范,也可为提供网络与信息安全应急处理服务的组织改进自身能力提供指导。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 19000.3- -2001质量管理和质量保证标准第3部分:GB/T 19001在计算机软件开发、供应、安装和维护中的使用指南
GB/T 19001- -2000质量体系要求
GB/T 19004.2- -1994质量管理和质量体系要素第2部分:服务指南
GB/T 19004.4- -1994质量管理和质量体系要素第4部分:质量改进指南
GB/Z 20286- -2007信息安全技术信息安全事件分类分级指南
YD/T 162- -2007网络与信息安全服务资质评估准则
GB/T 19716信息技术安全技术信息安全管理实用规则
3术语和缩略语
3.1 术语和定义
GB/T 5271.8-2001中的术语和定义适用于本标准,另外以下术语和定义也适用于本标准。
标准图片预览
标准内容
ICS33040
中华人民共和国通信行业标准
YD/T 1799-2008
网络与信息安全应急处理服务资质评估方法Evaluation Methods for Qualification of Network and informationSecurity Emergency Response Service2008-05-04 发布
2008-08-01实施
中华人民共和国工业和信息化部发布前
1范围
2规范性引用文件
3术语和缩略语
3.1术语和定义~
3.2缩略语.
4网络与信息安全应急处理服务概述.5网络与信息安全应急处理服务资质等级目
6三级网络与信息安全应急处理服务商资质要求6.1基本要求·
6.2人员构成与素质要求
规模与资产要求·
6.4·设备、设施与环境要求
项目管理要求·
应急响应时间要求
业续要求
质量保证要求·
应急服务能力·
7二级网络与信息安全应急处理服务商资质要求7.1
基本要求
人员构成与素质要求
规模与资产要求…
设备、设施与环境要求.
项目管理要求
应急响应时间要求
业绩要求
质量保证要求·
7.9应意服务能力要求
8一级网络与信息安全应急处理服务商资质要求.8.1
基本要求
人员构成与紊质要求
规模与资产要求
设备、设施与环境要求
YD/T 1790-2008
YD/T 1799-2008
8.5项目管理要求
8.6应急响应时间要求·
8.7业绩要求
8.8质量保证要求
8.9应急服务能力要求
9网络与信息安全应急处理服务过程能力要求9.1
应急处理服务的原则
9.2应急处理服务过程
准备阶段
检测阶段·
抑制阶段-
根除阶段
恢复阶段
总结阶段·
10评估方法
文档审核·.
10.2现场审核
10.3评估报告
附录A(规范性附录)
网络与信息安全应急处理服务过程各个阶段要求-附录B(资料性附录)网络与信息安全应急处理服务分级资质要求简表参考文献·
YD/T1799-2008
本标准根据我国网络与信息安全应急处理服务管理的需求,同时考虑到国内网络与信息安全应愈处理服务提供商的实际精况,参考YD/T1621-2007《网络与信息安全服务资质评估准则》、计算机信息系统集成资质管理办法》、《计算机信息系统集成资质等级评定条件》等文件和相关国际国内标准制定而成。本标准的评估方法面向对象是为信息系统所有者提供网络与信息安全应急处理服务的组织。本标准的附录A为规范性附录,附录B为资料性附录。本标由中国通信标推化协会提出并妇口。本标准起草单位:国家计算机网络应急技术处理协调中心、中国信息安全认证中心、北京启明星辰信息技术有限公司、北京天融信科技有限公司、北京神州绿盟科技有限公司,沈阳东软软件股份有限公司、北京瑞星科技股份有限公司、浪潮集团有限公司、北京安氏领信科技发展有限公司、上海中科网威信息技术有限公司、华为技术有限公司、武汉邮电科学研究院本标准主要起草人:黄元飞、舒敏、纪玉春、孙蔚敏、杨臻、王明华、布宁、翟亚红、翘爽、王红阳、彭新春、徐懿巍、李宗洋、刘院猜、万振华、桑梓勤1范围
网络与信息安全应急处理服务资质评估方法YD/T 1799-2008
本标准规定了为信息系统所有者提供网络与信息安全应急处理服务的组织应具备的服务资质要求,以及对提供网络与信息安全应急处理服务的组织进行评估的方法。本标准适用于第三方评估机构和认证机构对提供网络与信息安全应意处理服务的组织进行网络与信息安全应急处理服务资质评估和认证,可作为信息系统所有者选择提供网络与信息安全应急处理服务组织的依据,可作为有关主管部门对提供网络与信息安全应急处理服务的组织进行管理的技术性规范,也可为提供网络与信息安全应急处理服务的组织改进自身能力提供指导。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注期的引用文件,其最新版本适用于本标准。质量管理和质量保证标准第3部分:GB/T19001在计算机软件开发、供应、安装和GB/T 19000.3-2001
维护中的使用指南
GB/T 19001-2000
GB/T 19004.2-1994
GB/T 19004.4-1994
GB/Z 20286-2007
YD/T 162-2007
GB/T 19716
3术语和缩略语
3.1术语和定义
质量体系要求
质量管理和质量体系要素第2部分:服务指南质量管理和质量体系要素第4部分:质量改进指南信息安全技术信息安全事件分类分级指南网络与信息安全服务资质评估准则信息技术安全技术信息安全管理实用规则GB/T5271.8-2001中的术语和定义适用于本标准,另外以下术语和定义也适用于本标准。3.1.1
网络与信息安全件networkandinformationsecurityincident网络与信息安全事件(以下简称安全事件)是指由于自然或者人为的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。3.1.2
网络与信息安全应急处理服务networkandinformationsecurltyemergencyresponseservice网络与信息安全应急处理服务(以下简称应急处理服务)是指在处置网络与信息安全事件时提供紧急现场或远程援助的一系列技术的和非技术的措施和行动,以降低安全事件给用户造成的损失或影响。1
YD/T1799-2008
网络与信息安全应急处理服务提供者network and information security emergency responseservice provider
网络与信息安全应急处理服务提供者(以下简称应急服务提供者)是指按照一定的合同或协议,为信息系统所有者提供网络与信息安全应急处理服务的组织,也常称为网络与信息安全应急处理服务商。3.t.4
系统快照 system snapshot
关于指定数据集合的一个完全可用拷贝,该拷贝包括相应数据在某个时间点(拷贝开始的时间点)的映像。快照可以是其所表示的数据的一个副本,也可以是数据的一个复制品。3.2缩略语
下列缩略语适用于本标准。
Certified Informatian Security AuditorCertified Information Systems Security ProfessionalIntrusion Detection Systems
Intermet Protocol
Intemational Project Management ProfessionalInformation Security Management SystemInformation Technology
Project Management Profe ssionalNational Certification of Information Security Engineer4网络与信患安全应急处理服务概述注册信息安全审核员
注册信息系统安全专家
入侵检测系统
网际互莲协议
国际项目管理专业资质认证
信息安全管理体系
信息技术
项目管理专业人员资格认证
国家信息安全技术水平考试
网络与信息安全应急处理服务指通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应,并在安全事件一且发生后进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。这里的安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全享件、设备设施故障,灾害性事件和其他信息安全事件等七大类,见GB/Z20286。网络与信息安全应急处理服务是保障业务连续性的重要手段之一,涵盖了在安全事件发生后为了维持和恢复关键的应用所进行的系列活动。与应急处理服务容易发生混淆的是灾难恢复服务。灾难恢复服务指的是将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行的状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动和流程。与应急处理服务相比,灾难恢复服务的应用范围较窄,通常应用于重大的,特别是灾难性的、造成长时间光法正常访问系统和设施的事件。5网络与值息安全应急处理服务资质等级网络与信息安全应急处理服务资质等级是衡量服务提供者应急处理服务资格和能力的尺度。网络与信息安全应急处理服务资质等级分为二级,一级最高,三级最低。在本标准中,高等级资质的要求涵盖了低等级资质要求的所有方面。在本标准中,网络与信息安全应急处理服务资质评估要求包含分级资质要求和过程能力要求两部分。分级资质要求包含基本要求、人员构成与素质要求、规模与资产要求、设备设施与环境要求、项目管理2
YD/T 1799-2008
要求、应急响应时间要求、业绩要求、质量保证要求、应急服务能力等,具体要求见第6、7、8章:过程能力要求包含推备、检测、抑制、根除、恢复、总结等6个阶段,17个主要安全控制点,具体要求见第9章。
6三级网络与信患安全应意处理服务商资质要求6.1基本要求
从事应意处理服务的组织:
a)应是一个独立的实体,具有独立法人资格,具有相关部门颁发的合法经营资格:b)应遵守国家现行法律、法规的规定;C)从事涉及国家秘密的应急服务提供者必须获得国家保密机关的资质认证;d)应制定符合国家保密部门要求的工作保密制度和建立相应的组织监管体系,在获取、保存、传播和销毁与网络安全事件处理服务有关信息等方面做出明确规定:e)应与应急服务人员签订保密协议,并有义务对应急服务人员进行保密教育:f)应急服务提供者应具备安全保密的工作环境,主要体现在:指派专人负责将事件处理服务的资料进行单独保管,采用安全的措施存放有关纸介文档和其他媒体介质资料,推备独立且不联网的计算机以存放有保密要求的电子文档。6.2人员构成与素质要求
从事应急处理服务的组织:
a)至少应有2名安全注册工程师,包括NCSE、CISSP、CISA等;b)直接从事安全服务的人员不低于10人,大学本科以上学历不少于80%:c)至少有项耳经理3名,其中2人具有安全应急处理服务项目的成功案例,且项目金额不低于10万元人民币;
d)应有一批相对稳定的技术队伍,至少有5人具有2年以上的安全应急处理服务项目经验,6.3规模与资产要求
从事应急处理服务的组织:
a)公司人员应不少于50人:
b)注册资金应不低于200万元人民币。6.4设备、设施与环境要求
从事应急处理服务的组织:
a)应有固定的办公场所:
b)应有处理网络安全事件的工具或软件,c)应有进行服务所必需的实验环境。6.5项目管理要求
从事应急处理服务的组织:
)应有成文的项目管理制度,并符合相关项目理标准;b)应建立健全监督检查机制。
YD/T 1799-2008
6.6应意响应时间要求
从事应急处理服务的组织:
a)应提供7×24小时应急处理热线、支持岗位及相应人员;b)应保证在设有办事机构的城市同城现场响应在4个小时之内,其他城市现场响应在48个小时之内:心)电子邮件支持应在6小时内向复。6.7业绩要求
从事应急处理服务的组织:
a)从业时间:应有1年以上相应从业时间;b)项目规模:至少有2个项目中涉及应急处理服务的金额超过10万元人民币;c)项目数量:至少完成5个以上应急处理服务项目:d)完成结果评价:至少有80%的项目成功率。6.8质量保证要求
从事应急处理服务的组织:
a)应建立并落实质量管理体系;b)能够白行评估服务质量的状况,并能对服务质重进行持续改进。6.9应急服务能力
从事应急处理服务的纽织:
)应有专门的技术人员关注国内外权威机构发布的安全公告及漏洞公告:b)了解信息安全技术、标准的动向,应有能力掌握信息安全的最新技术和标准:c)应有一定的研究能力,具有对信息系统面临的安全威胁,存在的安全隐患进行信息收集、识别、分析和供防范措施的能力:
d)能够定期对负责网络安全事件处理服务的专职技术人员进行培训:e)具有对突发性安全事件进行分析和解决的能力;f)应具备快速的事件消除、事件恢复和事件追踪能力g)应具有完善的应急处理工作流程和操作规范h)应具有切实可行的应急服务方案。7二级网络与信息安全应急处理服务商资质要求7.1基本要求
应达到6.1所有要求。
72人员构或与素质要求
从事应急处理服务的组织:
a)至少应有4名安全注册工程师,包括NCSE、CISSP、CISA等;b)至少有1名高级网络认证工程师;c)直接从事安全服务的人员不低于30人,大学本科以上学历不少于80%;d)至少有项目经理4人,高级项目经理2人(具有IPMP、PMP认证),至少4人具有大型安全应急处理服务项目的成功案例,项目金额不低于100万元人民币:4
YD/T 1799-2008
e)应有一批相对稳定的技术队伍,至少10人具有3年以上的安全应愈处理服务项目经验。7.3规模与资产要求
从事应急处理服务的组织:
a)公司人员不少于100人;
b)注册资金不低于500万元人民币;c)至少在5个省(直辖市、自治区)内设有固定的办事机构。7.4 设备、设施与环境要求
从事应急处理服务的组织:
)具有实施应意处理服务所必需的研究和实验环境:b)应有处理网络安全事件的工具或软件。7.5项目管理英求
从事应急处理服务的组织:
a)应具有成文的项目管理制度,并符合相关项目管理标准;b)应提供证据,证明项目管理制度能成功管理50万元以上人民币规模的安全工程项目:C)建立健全监督检查机制。
7.6应急响应时问要求
从事应急处理服务的组织:
a)应提供7×24小时应急处理热线、支持岗位及相应人员;b)应保证在设有办事机构的城市同城现场响应在4个小时之内,其他城市现场响应在48个小时之内:
c)邮件支持应在3小时内回复。7.7业绩要求
从事应急处理服务的组织;
a)从业时间:应有3年以上相应从业时间;b)项目规模:至少有4个项目中涉及安全服务的金额超过20万元人民币,至少2个项目中涉及的安全服务金额超过50万元人民币:c)项目数量:至少完成15个以上应急处理服务项目:d2完成结果评价:至少有0%的项目成功率。7.8质量候证要求此内容来自标准下载网
从事应急处理服务的组织应通过GB/T19001认证。7.9应急服务能力要求
从事应急处理服务的组织:
a)有专门的技术人员关注国内外权威机构发布的安全公告及漏洞公告:b)了解俏息安全技术、标谁的动向,有能力掌握信息安全的慢新技术和标准:c)有专门的人员持续对最新的网络安全技术进行研究:能够定期对负网络安全事件处理服务的专职技术人员进行培训;d)
能够独立完成信息安全渗透测试:5
YD/T1799-2008
f)具有对突发性安全事件进行分析和解决的能力g)应其备快速的事件消除、事件恢复和事件追踪能力:h)应其有完善的应急事件处理的工作流程和操作规范;i)应具有实可行的应急服务方案。8一级网络与信息安全应急处理服务商资质要求8.1基本要求
应达到6.1所有要求,
8.2人员构成与素质要求
从事应急处理服务的组织:
a)至少应有6名安全注册T程师,包括NCSE、CISSP、CISA等;b)至少有3名高级网络认证工程师;c)直接从事安全服务的人员不低于50人,大学本科以上学历不少于80%:d)至少有项目经理6人、高级项日经理3人(具有IPMP,PMP认证),至少6人具有大型安全应急处理服务项目成功案例,项目金额不低丁100万元人民币:e)应有一批相对稳定的技术队伍,有至少20人具有3年以上的安全应急处理服务项目经验。8.3规模与资产要求
从事应急处理服务的组织:
a)注册资金在1000万元人民币以上;b)公司人员在300人以上;
)至少在15个省(直辖市、自治区)内设有固定的办事机构。8.4设备、设施与环境要求
从事应急处理服务的组织,
a)具有实施应急处理服务必需的研究和实验环境:b)应有处理网络安全事件的工具或软件。8.5项目管理要求
从事应急处理服务的组织:
a)应具有成文的项目管理制度,并符合相关项目管理标准;b)应提供证据,证明项日管理制度能成功管理100万元人民币以.上规模的安全工程项且:c)有项目风险预防或规避制度与措施:d)建立健全监督检查机制。
8.6应急响应时间要求
从事应急处理服务的组织:
a)应提供7×24小时应急处理热线、支持岗位及相应人员:b)应保证在设有办事机构的城市同城现场响应在4个小时之内:其他城市现场响应在48个小时之内:
)件支持应在1小时内回复。
8.7业绩要求
从事应急处理服务的组织:
a)从业时间:应有5年以上相应从业时间:YD/T 1799-2008
b)项目规模:完成的安全服务项日规模至少有5个项日涉及安全服务的金题超过100万元人民币c)项目数量:至少完成30个以上应急处理服务项目;d)完成结果评价:至少有90%的项目成功率。8.8质量保证要求
从斯应急处理服务的组织
a)应通过GB/T19001认证;
b)应参考GB/T19716建立信息安全管理体系。8.9应急务能力要求
从事应急处理服务的组织:
a)有专门的技术人员关注国内外权威组织机构发布的安全公告及漏洞公告:b)有专门的人员持续对最新的网络安全技术进行研究c)能够定期对负责网络安全事件处理服务的专职技术人员进行培训;d)有
能够定期组织或参与各种形式的网络与信息安全领域的学术交流活动;e
能够独文完戒信息安全蓬迎试:能够独立挖掘和发现系统安全漏洞:f)
g)具有对发生的突发性安全事件进行分析和解决的能力:h)
应具备快速的事件消除、事件恢复、事件追踪和事件预防能力:i
应具有完善的应急事件处理的工作流程和操作规范j)应具有切实可行的应急服务方案。9网络与信慰安全应急处理服务过程能力要求9.1应处理服务的原则
1)保密性原则
应急服务提供者应对应急处理服务过程中知的任何服务对象的系统信息承担保密责任和义务,不得泄露给第三方单位或个人,不得利用这些信息进行任何侵害服务对象的行为。2)规范性原则
应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务,所有服务人员必须对各自的操作过程和结果进行详细记录,最终按照规范的报告格式提供完整的服务报告。3)最小影响原则
应急处理服务工作应尽可能减少对原系统和网络正常运行的影响,尽量避免对原网络运行和业务正常运转产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则必须向服务对象予以说明。
9.2应急处理服务过程
网络与信息安全应急处理服务过程包括6个阶段,17个主要安全控制点。7
YD/T 1799-2008
准备阶段
检测阶段
抑制阶段
根除阶段
恢复阶段
总结阶殿
表 1网络与信惠安全应翘处理服务过程控制点列表控制点数量
服务需求界定
服务合同或协议签订
服务方案制定
人员和工具准备
控制点
检测对象及范围确定检测方案确定检测实施
抑制方法确定
抑制方法认可
抑制实施
根除方法确定
根除方法认可
根除实施
恢复方法确定
恢复系统
控制点定义满足控制目标的要点以及支持控制点的最佳实践,其中某些内容可能不适用于所有情况有可能其他实现控制点的方法可能更为合适。9.3准备阶段
9.3.1目标,在安全事件真正发生之前为处理率件做好准备工作9.3.2控制点:服务需求界定
1)应急服务提供者应明确服务对象的应急需求;2)应急服务提供者宜了解服务对象的各项业务功能及各项业务功能之间的相关性,确定支持各种业务功能的相应信息系统资源及其它资源,明确相关信息的保密性、完整性和可用性要求:3)应急服务提供者宜帮助服务对象建立系统快照:4)应意服务提供者宜对服务对象的信息系统进行评估,确定系统所执行关键功能,并确定执行这些功能所需的特定系统资源:
5)应急服务提供者宜采用定量或定性的方法,对业务中断、系统岩机、网络摊痪等突发安全事件造成的影响进行评估:
6)应急服务提供者宜协助服务对象建立适当的应急响应策略,应急策略应提供在业务中断、系统岩机、网络痪等突发安全事件发生后,快速有效地恢复信息系统运行的方法;7)应急服务提供者宜为服务对象提供相关的培训服务,以提高服务对象的安全意识,便于相关人员明确自己的角色和责任,了解常见的安全事件和入侵行为,熟悉应急响应策略。9.3.3控制点:服务合同或协议签订1)应急服务提供者应与服务对象签订应急服务合同或协议:2)应急服务合同或协议应明确双方的职责和责任:3)应急服务合同或协议宜明确哪些类型安全事件的应急响应行为需要系统管理者批准,哪些需要事先批推;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1799-2008
网络与信息安全应急处理服务资质评估方法Evaluation Methods for Qualification of Network and informationSecurity Emergency Response Service2008-05-04 发布
2008-08-01实施
中华人民共和国工业和信息化部发布前
1范围
2规范性引用文件
3术语和缩略语
3.1术语和定义~
3.2缩略语.
4网络与信息安全应急处理服务概述.5网络与信息安全应急处理服务资质等级目
6三级网络与信息安全应急处理服务商资质要求6.1基本要求·
6.2人员构成与素质要求
规模与资产要求·
6.4·设备、设施与环境要求
项目管理要求·
应急响应时间要求
业续要求
质量保证要求·
应急服务能力·
7二级网络与信息安全应急处理服务商资质要求7.1
基本要求
人员构成与素质要求
规模与资产要求…
设备、设施与环境要求.
项目管理要求
应急响应时间要求
业绩要求
质量保证要求·
7.9应意服务能力要求
8一级网络与信息安全应急处理服务商资质要求.8.1
基本要求
人员构成与紊质要求
规模与资产要求
设备、设施与环境要求
YD/T 1790-2008
YD/T 1799-2008
8.5项目管理要求
8.6应急响应时间要求·
8.7业绩要求
8.8质量保证要求
8.9应急服务能力要求
9网络与信息安全应急处理服务过程能力要求9.1
应急处理服务的原则
9.2应急处理服务过程
准备阶段
检测阶段·
抑制阶段-
根除阶段
恢复阶段
总结阶段·
10评估方法
文档审核·.
10.2现场审核
10.3评估报告
附录A(规范性附录)
网络与信息安全应急处理服务过程各个阶段要求-附录B(资料性附录)网络与信息安全应急处理服务分级资质要求简表参考文献·
YD/T1799-2008
本标准根据我国网络与信息安全应急处理服务管理的需求,同时考虑到国内网络与信息安全应愈处理服务提供商的实际精况,参考YD/T1621-2007《网络与信息安全服务资质评估准则》、计算机信息系统集成资质管理办法》、《计算机信息系统集成资质等级评定条件》等文件和相关国际国内标准制定而成。本标准的评估方法面向对象是为信息系统所有者提供网络与信息安全应急处理服务的组织。本标准的附录A为规范性附录,附录B为资料性附录。本标由中国通信标推化协会提出并妇口。本标准起草单位:国家计算机网络应急技术处理协调中心、中国信息安全认证中心、北京启明星辰信息技术有限公司、北京天融信科技有限公司、北京神州绿盟科技有限公司,沈阳东软软件股份有限公司、北京瑞星科技股份有限公司、浪潮集团有限公司、北京安氏领信科技发展有限公司、上海中科网威信息技术有限公司、华为技术有限公司、武汉邮电科学研究院本标准主要起草人:黄元飞、舒敏、纪玉春、孙蔚敏、杨臻、王明华、布宁、翟亚红、翘爽、王红阳、彭新春、徐懿巍、李宗洋、刘院猜、万振华、桑梓勤1范围
网络与信息安全应急处理服务资质评估方法YD/T 1799-2008
本标准规定了为信息系统所有者提供网络与信息安全应急处理服务的组织应具备的服务资质要求,以及对提供网络与信息安全应急处理服务的组织进行评估的方法。本标准适用于第三方评估机构和认证机构对提供网络与信息安全应意处理服务的组织进行网络与信息安全应急处理服务资质评估和认证,可作为信息系统所有者选择提供网络与信息安全应急处理服务组织的依据,可作为有关主管部门对提供网络与信息安全应急处理服务的组织进行管理的技术性规范,也可为提供网络与信息安全应急处理服务的组织改进自身能力提供指导。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注期的引用文件,其最新版本适用于本标准。质量管理和质量保证标准第3部分:GB/T19001在计算机软件开发、供应、安装和GB/T 19000.3-2001
维护中的使用指南
GB/T 19001-2000
GB/T 19004.2-1994
GB/T 19004.4-1994
GB/Z 20286-2007
YD/T 162-2007
GB/T 19716
3术语和缩略语
3.1术语和定义
质量体系要求
质量管理和质量体系要素第2部分:服务指南质量管理和质量体系要素第4部分:质量改进指南信息安全技术信息安全事件分类分级指南网络与信息安全服务资质评估准则信息技术安全技术信息安全管理实用规则GB/T5271.8-2001中的术语和定义适用于本标准,另外以下术语和定义也适用于本标准。3.1.1
网络与信息安全件networkandinformationsecurityincident网络与信息安全事件(以下简称安全事件)是指由于自然或者人为的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。3.1.2
网络与信息安全应急处理服务networkandinformationsecurltyemergencyresponseservice网络与信息安全应急处理服务(以下简称应急处理服务)是指在处置网络与信息安全事件时提供紧急现场或远程援助的一系列技术的和非技术的措施和行动,以降低安全事件给用户造成的损失或影响。1
YD/T1799-2008
网络与信息安全应急处理服务提供者network and information security emergency responseservice provider
网络与信息安全应急处理服务提供者(以下简称应急服务提供者)是指按照一定的合同或协议,为信息系统所有者提供网络与信息安全应急处理服务的组织,也常称为网络与信息安全应急处理服务商。3.t.4
系统快照 system snapshot
关于指定数据集合的一个完全可用拷贝,该拷贝包括相应数据在某个时间点(拷贝开始的时间点)的映像。快照可以是其所表示的数据的一个副本,也可以是数据的一个复制品。3.2缩略语
下列缩略语适用于本标准。
Certified Informatian Security AuditorCertified Information Systems Security ProfessionalIntrusion Detection Systems
Intermet Protocol
Intemational Project Management ProfessionalInformation Security Management SystemInformation Technology
Project Management Profe ssionalNational Certification of Information Security Engineer4网络与信患安全应急处理服务概述注册信息安全审核员
注册信息系统安全专家
入侵检测系统
网际互莲协议
国际项目管理专业资质认证
信息安全管理体系
信息技术
项目管理专业人员资格认证
国家信息安全技术水平考试
网络与信息安全应急处理服务指通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应,并在安全事件一且发生后进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。这里的安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全享件、设备设施故障,灾害性事件和其他信息安全事件等七大类,见GB/Z20286。网络与信息安全应急处理服务是保障业务连续性的重要手段之一,涵盖了在安全事件发生后为了维持和恢复关键的应用所进行的系列活动。与应急处理服务容易发生混淆的是灾难恢复服务。灾难恢复服务指的是将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行的状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动和流程。与应急处理服务相比,灾难恢复服务的应用范围较窄,通常应用于重大的,特别是灾难性的、造成长时间光法正常访问系统和设施的事件。5网络与值息安全应急处理服务资质等级网络与信息安全应急处理服务资质等级是衡量服务提供者应急处理服务资格和能力的尺度。网络与信息安全应急处理服务资质等级分为二级,一级最高,三级最低。在本标准中,高等级资质的要求涵盖了低等级资质要求的所有方面。在本标准中,网络与信息安全应急处理服务资质评估要求包含分级资质要求和过程能力要求两部分。分级资质要求包含基本要求、人员构成与素质要求、规模与资产要求、设备设施与环境要求、项目管理2
YD/T 1799-2008
要求、应急响应时间要求、业绩要求、质量保证要求、应急服务能力等,具体要求见第6、7、8章:过程能力要求包含推备、检测、抑制、根除、恢复、总结等6个阶段,17个主要安全控制点,具体要求见第9章。
6三级网络与信患安全应意处理服务商资质要求6.1基本要求
从事应意处理服务的组织:
a)应是一个独立的实体,具有独立法人资格,具有相关部门颁发的合法经营资格:b)应遵守国家现行法律、法规的规定;C)从事涉及国家秘密的应急服务提供者必须获得国家保密机关的资质认证;d)应制定符合国家保密部门要求的工作保密制度和建立相应的组织监管体系,在获取、保存、传播和销毁与网络安全事件处理服务有关信息等方面做出明确规定:e)应与应急服务人员签订保密协议,并有义务对应急服务人员进行保密教育:f)应急服务提供者应具备安全保密的工作环境,主要体现在:指派专人负责将事件处理服务的资料进行单独保管,采用安全的措施存放有关纸介文档和其他媒体介质资料,推备独立且不联网的计算机以存放有保密要求的电子文档。6.2人员构成与素质要求
从事应急处理服务的组织:
a)至少应有2名安全注册工程师,包括NCSE、CISSP、CISA等;b)直接从事安全服务的人员不低于10人,大学本科以上学历不少于80%:c)至少有项耳经理3名,其中2人具有安全应急处理服务项目的成功案例,且项目金额不低于10万元人民币;
d)应有一批相对稳定的技术队伍,至少有5人具有2年以上的安全应急处理服务项目经验,6.3规模与资产要求
从事应急处理服务的组织:
a)公司人员应不少于50人:
b)注册资金应不低于200万元人民币。6.4设备、设施与环境要求
从事应急处理服务的组织:
a)应有固定的办公场所:
b)应有处理网络安全事件的工具或软件,c)应有进行服务所必需的实验环境。6.5项目管理要求
从事应急处理服务的组织:
)应有成文的项目管理制度,并符合相关项目理标准;b)应建立健全监督检查机制。
YD/T 1799-2008
6.6应意响应时间要求
从事应急处理服务的组织:
a)应提供7×24小时应急处理热线、支持岗位及相应人员;b)应保证在设有办事机构的城市同城现场响应在4个小时之内,其他城市现场响应在48个小时之内:心)电子邮件支持应在6小时内向复。6.7业绩要求
从事应急处理服务的组织:
a)从业时间:应有1年以上相应从业时间;b)项目规模:至少有2个项目中涉及应急处理服务的金额超过10万元人民币;c)项目数量:至少完成5个以上应急处理服务项目:d)完成结果评价:至少有80%的项目成功率。6.8质量保证要求
从事应急处理服务的组织:
a)应建立并落实质量管理体系;b)能够白行评估服务质量的状况,并能对服务质重进行持续改进。6.9应急服务能力
从事应急处理服务的纽织:
)应有专门的技术人员关注国内外权威机构发布的安全公告及漏洞公告:b)了解信息安全技术、标准的动向,应有能力掌握信息安全的最新技术和标准:c)应有一定的研究能力,具有对信息系统面临的安全威胁,存在的安全隐患进行信息收集、识别、分析和供防范措施的能力:
d)能够定期对负责网络安全事件处理服务的专职技术人员进行培训:e)具有对突发性安全事件进行分析和解决的能力;f)应具备快速的事件消除、事件恢复和事件追踪能力g)应具有完善的应急处理工作流程和操作规范h)应具有切实可行的应急服务方案。7二级网络与信息安全应急处理服务商资质要求7.1基本要求
应达到6.1所有要求。
72人员构或与素质要求
从事应急处理服务的组织:
a)至少应有4名安全注册工程师,包括NCSE、CISSP、CISA等;b)至少有1名高级网络认证工程师;c)直接从事安全服务的人员不低于30人,大学本科以上学历不少于80%;d)至少有项目经理4人,高级项目经理2人(具有IPMP、PMP认证),至少4人具有大型安全应急处理服务项目的成功案例,项目金额不低于100万元人民币:4
YD/T 1799-2008
e)应有一批相对稳定的技术队伍,至少10人具有3年以上的安全应愈处理服务项目经验。7.3规模与资产要求
从事应急处理服务的组织:
a)公司人员不少于100人;
b)注册资金不低于500万元人民币;c)至少在5个省(直辖市、自治区)内设有固定的办事机构。7.4 设备、设施与环境要求
从事应急处理服务的组织:
)具有实施应意处理服务所必需的研究和实验环境:b)应有处理网络安全事件的工具或软件。7.5项目管理英求
从事应急处理服务的组织:
a)应具有成文的项目管理制度,并符合相关项目管理标准;b)应提供证据,证明项目管理制度能成功管理50万元以上人民币规模的安全工程项目:C)建立健全监督检查机制。
7.6应急响应时问要求
从事应急处理服务的组织:
a)应提供7×24小时应急处理热线、支持岗位及相应人员;b)应保证在设有办事机构的城市同城现场响应在4个小时之内,其他城市现场响应在48个小时之内:
c)邮件支持应在3小时内回复。7.7业绩要求
从事应急处理服务的组织;
a)从业时间:应有3年以上相应从业时间;b)项目规模:至少有4个项目中涉及安全服务的金额超过20万元人民币,至少2个项目中涉及的安全服务金额超过50万元人民币:c)项目数量:至少完成15个以上应急处理服务项目:d2完成结果评价:至少有0%的项目成功率。7.8质量候证要求此内容来自标准下载网
从事应急处理服务的组织应通过GB/T19001认证。7.9应急服务能力要求
从事应急处理服务的组织:
a)有专门的技术人员关注国内外权威机构发布的安全公告及漏洞公告:b)了解俏息安全技术、标谁的动向,有能力掌握信息安全的慢新技术和标准:c)有专门的人员持续对最新的网络安全技术进行研究:能够定期对负网络安全事件处理服务的专职技术人员进行培训;d)
能够独立完成信息安全渗透测试:5
YD/T1799-2008
f)具有对突发性安全事件进行分析和解决的能力g)应其备快速的事件消除、事件恢复和事件追踪能力:h)应其有完善的应急事件处理的工作流程和操作规范;i)应具有实可行的应急服务方案。8一级网络与信息安全应急处理服务商资质要求8.1基本要求
应达到6.1所有要求,
8.2人员构成与素质要求
从事应急处理服务的组织:
a)至少应有6名安全注册T程师,包括NCSE、CISSP、CISA等;b)至少有3名高级网络认证工程师;c)直接从事安全服务的人员不低于50人,大学本科以上学历不少于80%:d)至少有项目经理6人、高级项日经理3人(具有IPMP,PMP认证),至少6人具有大型安全应急处理服务项目成功案例,项目金额不低丁100万元人民币:e)应有一批相对稳定的技术队伍,有至少20人具有3年以上的安全应急处理服务项目经验。8.3规模与资产要求
从事应急处理服务的组织:
a)注册资金在1000万元人民币以上;b)公司人员在300人以上;
)至少在15个省(直辖市、自治区)内设有固定的办事机构。8.4设备、设施与环境要求
从事应急处理服务的组织,
a)具有实施应急处理服务必需的研究和实验环境:b)应有处理网络安全事件的工具或软件。8.5项目管理要求
从事应急处理服务的组织:
a)应具有成文的项目管理制度,并符合相关项目管理标准;b)应提供证据,证明项日管理制度能成功管理100万元人民币以.上规模的安全工程项且:c)有项目风险预防或规避制度与措施:d)建立健全监督检查机制。
8.6应急响应时间要求
从事应急处理服务的组织:
a)应提供7×24小时应急处理热线、支持岗位及相应人员:b)应保证在设有办事机构的城市同城现场响应在4个小时之内:其他城市现场响应在48个小时之内:
)件支持应在1小时内回复。
8.7业绩要求
从事应急处理服务的组织:
a)从业时间:应有5年以上相应从业时间:YD/T 1799-2008
b)项目规模:完成的安全服务项日规模至少有5个项日涉及安全服务的金题超过100万元人民币c)项目数量:至少完成30个以上应急处理服务项目;d)完成结果评价:至少有90%的项目成功率。8.8质量保证要求
从斯应急处理服务的组织
a)应通过GB/T19001认证;
b)应参考GB/T19716建立信息安全管理体系。8.9应急务能力要求
从事应急处理服务的组织:
a)有专门的技术人员关注国内外权威组织机构发布的安全公告及漏洞公告:b)有专门的人员持续对最新的网络安全技术进行研究c)能够定期对负责网络安全事件处理服务的专职技术人员进行培训;d)有
能够定期组织或参与各种形式的网络与信息安全领域的学术交流活动;e
能够独文完戒信息安全蓬迎试:能够独立挖掘和发现系统安全漏洞:f)
g)具有对发生的突发性安全事件进行分析和解决的能力:h)
应具备快速的事件消除、事件恢复、事件追踪和事件预防能力:i
应具有完善的应急事件处理的工作流程和操作规范j)应具有切实可行的应急服务方案。9网络与信慰安全应急处理服务过程能力要求9.1应处理服务的原则
1)保密性原则
应急服务提供者应对应急处理服务过程中知的任何服务对象的系统信息承担保密责任和义务,不得泄露给第三方单位或个人,不得利用这些信息进行任何侵害服务对象的行为。2)规范性原则
应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务,所有服务人员必须对各自的操作过程和结果进行详细记录,最终按照规范的报告格式提供完整的服务报告。3)最小影响原则
应急处理服务工作应尽可能减少对原系统和网络正常运行的影响,尽量避免对原网络运行和业务正常运转产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则必须向服务对象予以说明。
9.2应急处理服务过程
网络与信息安全应急处理服务过程包括6个阶段,17个主要安全控制点。7
YD/T 1799-2008
准备阶段
检测阶段
抑制阶段
根除阶段
恢复阶段
总结阶殿
表 1网络与信惠安全应翘处理服务过程控制点列表控制点数量
服务需求界定
服务合同或协议签订
服务方案制定
人员和工具准备
控制点
检测对象及范围确定检测方案确定检测实施
抑制方法确定
抑制方法认可
抑制实施
根除方法确定
根除方法认可
根除实施
恢复方法确定
恢复系统
控制点定义满足控制目标的要点以及支持控制点的最佳实践,其中某些内容可能不适用于所有情况有可能其他实现控制点的方法可能更为合适。9.3准备阶段
9.3.1目标,在安全事件真正发生之前为处理率件做好准备工作9.3.2控制点:服务需求界定
1)应急服务提供者应明确服务对象的应急需求;2)应急服务提供者宜了解服务对象的各项业务功能及各项业务功能之间的相关性,确定支持各种业务功能的相应信息系统资源及其它资源,明确相关信息的保密性、完整性和可用性要求:3)应急服务提供者宜帮助服务对象建立系统快照:4)应意服务提供者宜对服务对象的信息系统进行评估,确定系统所执行关键功能,并确定执行这些功能所需的特定系统资源:
5)应急服务提供者宜采用定量或定性的方法,对业务中断、系统岩机、网络摊痪等突发安全事件造成的影响进行评估:
6)应急服务提供者宜协助服务对象建立适当的应急响应策略,应急策略应提供在业务中断、系统岩机、网络痪等突发安全事件发生后,快速有效地恢复信息系统运行的方法;7)应急服务提供者宜为服务对象提供相关的培训服务,以提高服务对象的安全意识,便于相关人员明确自己的角色和责任,了解常见的安全事件和入侵行为,熟悉应急响应策略。9.3.3控制点:服务合同或协议签订1)应急服务提供者应与服务对象签订应急服务合同或协议:2)应急服务合同或协议应明确双方的职责和责任:3)应急服务合同或协议宜明确哪些类型安全事件的应急响应行为需要系统管理者批准,哪些需要事先批推;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。