网络与信息安全应急处理服务资质评估方法.docx

ICS 33040M 21YⅡ中华人民共和国通信行业标准YD厂r 1 799-2008网络与信息安全应急处理服务资质评估方法 Evaluation Methods for Qualification of Network and Information Security Emergency Response Service2008-05-04发布 2008-08-01实施中华人民共和国工业和信息化部发布YD／下1 799-2008目 次前 言 ⅡI1 范围 12 规范性引用文件 13 术语和缩略语 13．1术语和定义 13．2缩略语 24 网络与信息安全应急处理服务概述 25 网络与信息安全应急处理服务资质等级 26 三级网络与信息安全应急处理服务商资质要求 36．1基本要求 36．2人员构成与素质要求 36．3规模与资产要求 36．4设备、设施与环境要求 36．5项目管理要求 36．6应急响应时间要求 46．7业绩要求 46．8质量保证要求 46．9应急服务能力 47 二级网络与信息安全应急处理服务商资质要求 47．1基本要求 47．2人员构成与素质要求 47．3规模与资产要求 57．4设备、设施与环境要求 57．5项目管理要求 57．6应急响应时间要求 57．7业绩要求 57．8质量保证要求 57．9应急服务能力要求 58 一级网络与信息安全应急处理服务商资质要求 68．1基本要求 68 2人员构成与素质要求 68．3规模与资产要求 68．4设备、设施与环境要求 ．． ．6YD厂r 1 799-20088．5项目管理要求 68．6应急响应时间要求 68．7业绩要求 78．8质量保证要求 78．9应急服务能力要求 79网络与信息安全应急处理服务过程能力要求 79．1应急处理服务的原则 79．2应急处理服务过程 79．3准备阶段 89．4检测阶段 99．5抑制阶段 lO9．6根除阶段 119．7恢复阶段 1l9．8总结阶段 12 lO评估方法 13 lO．1文档审核 1310．2现场审核 1310．3评估报告 14 附录A(规范性附录)网络与信息安全应急处理服务过程各个阶段要求 15 附录B(资料性附录) 网络与信息安全应急处理服务分级资质要求简表 20 参考文献 21IlYD厂r 1 799-2008刖 吾 本标准根据我国网络与信息安全应急处理服务管理的需求，同时考虑到国内网络与信息安全应急处理服务提供商的实际情况，参考YD／'I"1621—2007《网络与信息安全服务资质评估准则》、《计算机信息 系统集成资质管理办法》、《计算机信息系统集成资质等级评定条件》等文件和相关国际国内标准制定 而成。

本标准的评估方法面向对象是为信息系统所有者提供网络与信息安全应急处理服务的组织本标准的附录A为规范性附录，附录B为资料性附录 本标准由中国通信标准化协会提出并归口 本标准起草单位；国家计算机网络应急技术处理协调中心、中国信息安全认证中心、北京启明星辰信息技术有限公司、北京天融信科技有限公司、北京神卅I绿盟科技有限公司、沈阳东软软件股份有限公 司、北京瑞星科技股份有限公司、浪潮集团有限公司、北京安氏领信科技发展有限公司、上海中科网威 信息技术有限公司、华为技术有限公司、武汉邮电科学研究院本标准主要起草人：黄元飞、舒敏、纪玉春、孙蔚敏、杨臻、王明华、布宁、翟亚红、翟爽、 王红阳、彭新春、徐懿巍、李宗洋、刘院清、万振华、桑梓勤llIYD，丁1 799-2008网络与信息安全应急处理服务资质评估方法1范围本标准规定了为信息系统所有者提供网络与信息安全应急处理服务的组织应具备的服务资质要求， 以及对提供网络与信息安全应急处理服务的组织进行评估的方法本标准适用于第三方评估机构和认证机构对提供网络与信息安全应急处理服务的组织进行网络与信 息安全应急处理服务资质评估和认证，可作为信息系统所有者选择提供网络与信息安全应急处理服务组 织的依据，可作为有关主管部门对提供网络与信息安全应急处理服务的组织进行管理的技术性规范，也 可为提供网络与信息安全应急处理服务的组织改进自身能力提供指导。

2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件，其随后所有的 修改单(不包括勘误的内容)或修订版均不适用于本标准然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本凡是不注日期的引用文件，其最新版本适用于本标准GB／T 19000．3—2001 质量管理和质量保证标准第3部分：GB／'I’19001在计算机软件开发、供应、安装和 维护中的使用指南GB／T 19001—2000 质量体系要求GB／T 19004．2—1994 质量管理和质量体系要素第2部分：服务指南 GB／T 19004．4—1994 质量管理和质量体系要素第4部分：质量改进指南 GB／Z 20286—2007 信息安全技术信息安全事件分类分级指南YD／T 162—2007 网络与信息安全服务资质评估准则GB／T 19716 信息技术安全技术信息安全管理实用规则3术语和缩略语3．1术语和定义GB．r!r 5271．8-2001中的术语和定义适用于本标准，另外以下术语和定义也适用于本标准3．1．1网络与信息安全事件network and information security incident网络与信息安全事件(以下简称安全事件)是指由于自然或者人为的原因，对信息系统造成危害， 或在信息系统内发生对社会造成负面影响的事件。

3．1．2网络与信息安全应急处理服务network and information security emergency response service网络与信息安全应急处理服务(以下简称应急处理服务)是指在处置网络与信息安全事件时提供紧 急现场或远程援助的一系列技术的和非技术的措施和行动，以降低安全事件给用户造成的损失或影响YD厂r 1 799—20083．1．3网络与信息安全应急处理服务提供者 network and information security emergency response service provider网络与信息安全应急处理服务提供者(以下简称应急服务提供者)是指按照一定的合同或协议，为信息系统所有者提供网络与信息安全应急处理服务的组织，也常称为网络与信息安全应急处理服务商3．1．4系统快照system snapshot关于指定数据集合的一个完全可用拷贝，该拷贝包括相应数据在某个时间点(拷贝开始的时间点) 的映像快照可以是其所表示的数据的一个副本，也可以是数据的一个复制品3．2缩略语下列缩略语适用于本标准CISA Certified Information Security Auditor 注册信息安全审核员 CISSP Certified Information Systems Security Professional 注册信息系统安全专家 IDS Intrusion Detection Systems 入侵检测系统IP Internet Protocol 网际互连协议IPMP International Project Management Professional 国际项目管理专业资质认证 ISMS Information Security Management System 信息安全管理体系IT Information Technology 信息技术PMP Project Management Professional 项目管理专业人员资格认证NCSE National Certification ofInformmion Security Engineer 国家信息安全技术水平考试4网络与信息安全应急处理服务概述 网络与信息安全应急处理服务指通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应，并在安全事件一旦发生后进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程。

这里的安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备 设施故障、灾害性事件和其他信息安全事件等七大类，见GB／Z 20286网络与信息安全应急处理服务是保障业务连续性的重要手段之～，涵盖了在安全事件发生后为了维 持和恢复关键的应用所进行的系列活动与应急处理服务容易发生混淆的是灾难恢复服务灾难恢复服务指的是将信息系统从灾难造成的故 障或瘫痪状态恢复到可正常运行的状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受 状态的活动和流程与应急处理服务相比，灾难恢复服务的应用范闹较窄，通常应用于重大的，特别是 灾难性的、造成长时间无法正常访问系统和设施的事件5网络与信息安全应急处理服务资质等级网络与信息安全应急处理服务资质等级是衡量服务提供者应急处理服务资格和能力的尺度 网络与信息安全应急处理服务资质等级分为三级，一级最高，三级最低在本标准中，高等级资质的要求涵盖了低等级资质要求的所有方面在本标准中，网络与信息安全应急处理服务资质评估要求包含分级资质要求和过程能力要求两部分 分级资质要求包含基本要求、人员构成与素质要求、规模与资产要求、设备设施与环境要求、项目管理2YD厂r 1799-2008要求、应急响应时间要求、业绩要求、质量保证要求、应急服务能力等，具体要求见第6、7、8牵：过程 能力要求包含准备、检测、抑制、根除、恢复、总结等6个阶段，17个主要安全控制点，具体要求见第9 章。

6三级网络与信息安全应急处理服务商资质要求6．1基本要求 从事应急处理服务的组织： a)应是一个独立的实体，具有独立法人资格，具有相关部门颁发的合法经营资格； b)应遵守国家现行法律、法规的规定； c)从事涉及国家秘密的应急服务提供者必须获得国家保密机关的资质认证； d)应制定符合国家保密部门要求的工作保密制度和建立相应的组织监管体系，在获取、保存、传播和销毁与网络安全事件处理服务有关信息等方面做出明确规定；e)应与应急服务人员签订保密协议，并有义务对应急服务人员进行保密教育；f) 应急服务提供者应具。