T/SISA XXXX-XXX ICS XXXXXX W XX 团 体 标 准 T/SISA XXXX-XXXX 网络安全保险安全服务能力评价指南 Cybersecurity Insurance Security Service Capability Evaluation Guide （征求意见稿） XXXX-XX-XX 发布 XXXX-XX-XX 实施 上海市信息安全行业协会 发布 I T/SISA XXXX-XXX 目 次 目 次 .................................................................II 前 言 .................................................................IV 1 范围 ....................................................................1 2 规范性引用文件 ...........................................................1 3 术语和定义...............................................................1 3.1 风险 risk............................................................1 3.2 网络安全保险 cyber-insurance ........................................1 3.3 网络安全保险安全服务 3.4 风险评估 cyber-insurance security service ...............1 risk assessment ............................................1 3.5 信息安全服务提供方 Information security service provider ............2 3.6 被保险人 insured .....................................................2 3.7 服务协议 service contract ............................................2 4 网络安全保险服务特点 .....................................................2 5 网络安全保险信息安全服务提供方基本要求 ...................................2 5.1 信息安全服务提供方要求 ...............................................2 5.2 信息安全服务提供方人员要求 ...........................................2 5.3 信息安全服务提供方 服务安全要求 ......................................3 6 评价程序.................................................................3 6.1 评价申请.............................................................3 6.2 文档审核.............................................................3 6.3 现场复核.............................................................3 6.4 评价决定.............................................................4 附录 A .....................................................................5 网络安全保险安全服务能力评价指标 ...........................................5 A.1 网络安全风险评估服务能力评价指标 .....................................5 A.2 漏洞扫描服务能力评价指标 .............................................6 A.3 渗透测试服务能力评价指标 .............................................6 II A.4 网络安全加固服务能力评价指标 .........................................7 A.5 代码安全审计服务能力评价指标 .........................................8 A.6 威胁情报服务能力评价指标 .............................................9 A.7 信息安全监测服务能力评价指标 ........................................10 A.8 网络安全意识培训服务能力评价指标 ....................................11 A.9 网络安全测绘服务能力评价指标 ........................................11 A.10 安全众测服务能力评价指标 ...........................................12 A.11 网络安全应急响应服务能力评价指标 ...................................13 A.12 安全事件取证服务能力评价指标 .......................................16 A.13 数据恢复服务能力评价指标 ...........................................20 参考文献 ...................................................................................................................................23 III 前 言 本文件按照 GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》 的规则起草。 本文件由上海市信息安全行业协会提出并归口。 本文件起草单位： 本文件主要起草人： 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 IV T/SISA XXXX-XXX 网络安全保险安全服务能力评价指南 1 范围 本文件规定了为网络安全保险提供相关安全技术与服务供应商的基本类型、基本能力要 求、专业能力要求、评价规范及评价要求。 本文件适用于从事网络安全保险业务的保险公司和行业相关单位识别评价各类网络安全 保险服务供应商安全能力所用，同时规范和指导网络安全保险安全服务供应商自身保险服务 能力建设。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期 的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括 所有的修改单）适用于本文件。 GB/T 25069-2010 信息安全技术 术语 GB/T 30271-2013 信息安全技术 信息安全服务能力评估准则 GB/T 30283-2013 信息安全技术 信息安全服务 分类 GB/T 32914-2016 信息安全技术 信息安全服务提信息安全服务提供方管理要求 GB/T 36687-2018 保险术语 3 术语和定义 下列术语和定义适用于本文件。 3.1 风险 risk 一个给定的威胁，利用一项资产或多项资产的脆弱性，对组织造成损害的潜能。 3.2 网络安全保险 cyber-insurance 以赔偿因网络安全事件给被保险人造成的经济损失为保险责任的保险。 3.3 网络安全保险安全服务 cyber-insurance security service 面向网络安全投保组织的各类信息安全和风险管理需求，由服务提信息安全服务提供方 按照服务协议所执行的一个信息安全过程或任务。 3.4 风险评估 risk assessment 1 风险识别、风险分析和风险评价的整个过程。 3.5 信息安全服务提供方 Information security service provider 按照网络安全保险服务协议，通过专业的信息安全人员提供信息安全服务的组织。 3.6 被保险人 insured 向保险公司分散或考虑向保险公司分散网络安全风险的实体。 3.7 服务协议 service contract 服务需求方和信息安全服务提供方在服务开始前共同签署的约定，并在网络安全保险安 全服务过程中共同遵守。 注：通常应包含服务原则、服务内容、服务形式、服务级别协议、服务价格、服务交付 物、服务安全要求等，在形 式上可以是服务合同及其附属的工作说明书。 [来源：GB/T 32914—2016，3.4] 4 网络安全保险服务特点 本文件所涉及的网络安全保险相关安全服务除了信息技术服务所具有的共同特点之外， 还具有如下特点： 1) 不依附于某一单独的、具体的、批量生产的信息安全产品； 2) 需保证能客观、全面量化服务对象组织的真实风险状态； 3) 安全服务的形式多样，可以分为现场服务、远程联机服务、远程非联机服务等； 4) 信息安全服务提供方的服务人员、过程和工具需保证可信和可控； 5) 信息安全服务提供方应符合国家和行业相关信息安全标准的要求。 5 网络安全保险信息安全服务提供方基本要求 5.1 信息安全服务提供方要求 信息安全服务提供方三年内至少具备某一专项的服务经验； 根据业务规模和数量设置服务场所、配置服务人员和服务设施设备； 服务前须与被投保人或保险公司签订服务级别协议； 建立服务培训体系，对服务人员和服务管理者进行持续有效的系统培训，提高综合服务 能力。 任职前和任职期间，服务人员接受规定时长的培训。 明确各类服务人员职责权限，建立考核制度，实施服