ICS 33.240 CCS M 21 YD 中华人民共和国通信行业标准 YD/T 2669—×××× 代替YD/T 2669-2013 电信网和互联网 第三方安全服务能力评定准则 Evaluation criteria for competence of third party security service provider in telecom network and internet （报批稿） ××××-××-××发布 X × × X-× X-X X实施 中华人民共和国工业和信息化部发布 YD/T2669×××× 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替YD/T2669-2013《电信网和互联网第三方安全服务能力评定准则》，与YD/T2669-2013 相比，除结构调整和编辑性改动外，主要技术变化如下： a）删除了“电信网和互联网安全等级”、“电信网和互联网安全等级保护”的术语和定义（见2013 年版3.1.6、3.1.7）； b）调整了“电信网和互联网第三方安全服务”与“电信网和互联网第三方安全服务能力等级”术 语和定义的顺序（见3.1和3.2，2013年版的3.1.7和3.1.8）； 增加了“关键信息基础设施安全服务能力”的术语和定义（见3.3）； c) 删除了“缩略语”（见2013版3.2）； (p e) 增加了“应急响应”、“安全培训”、“数据治理”三个类型（见4.3、4.4和4.5）； 删除了“电信网和互联网安全防护对第三方安全服务能力的要求”（见2013年版4.3）； 增加了“电信网和互联网第三方安全服务能力等级的评定原则”（见5）； g) 将通用性要求细分为三级（见6.1、6.2和6.3，2013年版5）； h) i） 服务能力评定要求将等级“丙级”、“乙级”、“甲级”对应更改为“一级”、“二级”、“三 级（见6.1、6.2、6.3、.7.1、7.2、7.3、8.1、8.2和8.3，2013年版6.1、6.2、6.3、7.1、7.2 和7.3）； j) 增加了“电信网和互联网第三方应急响应服务能力评定要求”（见9)； 增加了“电信网和互联网第三方安全培训服务能力评定要求”（见10)； 1) ） 增加了“附录A关键信息基础设施服务能力评价要求”（见附录A）； 增加了对于“供应链安全服务能力的要求”（见6.2.8、6.3.7供应链安全能力服务要求）； 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中 国联合网络通信有限公司、中国通信企业协会通信网络安全专业委员会。 本文件主要起草人：孟楠、戴方芳、黄媛媛、樊江华、曹硕、刘起良、赵泰、张侃、刘亚天、王娜、 张滨、魏来、曹一生、李刚、郑涛、王娜 本文件及其所代替文件的历次版本发布情况为： ---2013年首次发布为YD/T2669-2013； ----本次为第一次修订 II YD/T2669×××× 电信网和互联网第三方安全服务能力评定准则 1范围 本文件规定了为电信网和互联网提供第三方安全服务的组织应具备的各类安全服务能力。 本文件适用于指导第三方评定和认证机构开展第三方安全服务能力的评定，可作为国家有关主管部 身能力的指导。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T19001-2016质量管理体系要求 GB/T22080-2016信息技术安全技术信息安全管理体系要求 GB/T25069信息安全技术术语 YD/T1730-2008电信网和互联网安全风险评估实施指南术语与要求 3术语和定义 GB/T25069和YD/T1730-2008界定的以及下列术语和定义适用于本文件。 3. 1 电信网和互联网第三方安全服务the third party security service fortelecom network and internet 为了适应电信网和互联网安全管理的需要，一个组织按照一定的合同或协议,运用科学的方法和手 段，通过有效的措施来保障电信网和互联网的正常运行，为企业提供全面或部分安全评估、评测或解决 方案的服务，包含从安全体系到具体的技术解决措施。这里的“第三方”是相对于自评估提出的概念。 3. 2 电信网和互联网第三方安全服务能力等级 qualification level of the third party security service for telecom network and internet 一个组织提供电信网和互联网安全服务的综合能力等级，包括法律资格、组织与管理能力、技术能 力、人员构成与素质、规模与资产、项目管理能力等多个方面。 3. 3 1