I ICS 35.020 团 体 标 准 T/TSIA 00 5-2019 网络安全第三方服务机构管理规范 Network Security Third Party Service Organization Management Specification 2019 - 4 - 8发布 2019 - 4 - 8实施 天津市软件行业协会 发布 全国团体标准信息平台 T/TSIA 00 5-2019 II 目 录 目 录 ................................ ................................ ............... II 前 言 ................................ ................................ .............. III 引 言 ................................ ................................ ............... IV 1 范围 ................................ ................................ .............. 5 2 规范性引用文件 ................................ ................................ .... 5 3 术语和定义 ................................ ................................ ........ 5 4 要求 ................................ ................................ .............. 6 4.1 概述 ................................ ................................ .... 6 4.2 资格要求 ................................ ................................ 6 4.3 规模与业绩要求 ................................ .......................... 6 4.4 人员能力要求 ................................ ............................ 6 4.5 管理要求 ................................ ................................ 7 4.6 技术服务能力要求 ................................ ........................ 8 4.7 设备及环境要求 ................................ .......................... 8 5 监督审查 ................................ ................................ .......... 8 6 参考文献 ................................ ................................ .......... 9 全国团体标准信息平台 T/TSIA 00 5-2019 III 前 言 本规范按照GB/T 1.1 -2009《标准化工作导则 第1部分：标准的结构和编写》给出的 规则起草。 本规范起草单位： 天津市网络文化行业协会 、天津市软件行业协会 、天津市互联网协 会、天津市青少年网络协会 、天津市网络社会组织 联合会、 天津市市场信息中心 、江西省 计算技术研究所、中科锐眼（天津）科技有限公司 、中国检验认证集团天津有限公司 、天 津烽火信息管理技术有限 公司、恒银金融科技股份有限公司 、天津卓易云科 技有限公司 、 博雅创智（天津）科技有限公司 、北京可信华泰信息技术有限公司 、北京天腾信科技有限 公司、天津恒生科技园 投资发展有限公司 、恒安嘉新（北京）科技股份公司 、四川远鉴科 技有限公司 、万业（天津）科技有限公司 、天津同力兴科网络科技有限公司 、江西畅然科 技发展有限公司 、天津市兴先道科技有限公司 、北京云盾科技有限公司 、天津润成信息安 全技术有限公司 、内蒙古网智科技服务有限责任公司 、江苏百傲网络科技有限公司 、天津 中泰力达科技有限公司 。 本规范主要起草人：王小龙、王森、孙凯桐、 周效铭、赵洪宇、 刘玺、解万永、吕顺 刚、刘永杰、 谷思源、 李兴、苑久川、李宇、刘贵臣、杨雪 飞、陆浩、 郭昕、付康、宋午 阳、张荣林、 吴伯喜、张云峰、崔小玉、宋瑞霞、刘鑫、孙瑜、王梅、李明山、 张峰晓、 闫崑、王秋明、 王炳文、袁青霞、 曾建锋、刘立民、万俊、赵亮、张秀成、黄河、张力。 全国团体标准信息平台 T/TSIA 00 5-2019 IV 引 言 为加强和规范网络安全 威胁评估、 检测监测、安全工程 服务等网络安全第三方服务机 构的管理， 规范 网络安全第三方服务机构 的行为， 提高网络安全综合 保障能力和服务水平， 根据《中华人民 共和国网络安全 法》和相 关标准及 行业规范的要求，制定本管理规范。 全国团体标准信息平台 T/TSIA 00 5-2019 5 网络安全 第三方服务机构管理规范 1 范围 本规范适用于从事网络 安全行业 的服务机构，包括网络安全威胁评估机构、网络安全 检测监测机构 以及提供网络安全 工程的相关机构 。 软件和信息技术服务业、互联网行业、 企业、事业单位、社会团体等组织机构 在进行 网络安全活动时 也可遵循本管理规范 。 相关工作的开展在网络安全监管单位和行业组织的领导下进行。 2 规范性引用文件 下列文件对于本文件的 适用是必不可少的。 凡是注日期的引用文件 ，仅注日期的版本 适用于本文件。凡是不注日 期的引用文 件，其最新版本（包 括所有的《修正案》）适用于 本文件。 GB/T 5271.8 信息技术 词汇 第8部分:安全 GB/T 25068.3 信息技术 安全技术 IT网络安全 GB/T 25069 信息安全技术 术语 GB/T 31495.2 信息安全技术 信息安全保障指标体系及评价方法 ISO/IEC 27005 信息技术 安全技术 信息安全风险管理 3 术语和定义 ISO/IEC 27005、GB/T 5271.8 、GB/T 25069 和GB/T 25068.3 、GB/T 31495.2界定的 术语和定义适用于本 文件。为了便于使用， 以下更加明确了相关术语和定义。 3.1 网络安全 评价认定机构 网络安全评价认定机 构，是指对 网络安全第三方服务机构 的服务能力和 工程实施结果 进行评价认 定，对上线运行的 业务和应用系统 进行安全评价认定 的机构。评价认定机构可 以选择国家或地方认可的相关行业管理认 定机构，如中国检验认证集团、中国信息安全测 评中心以及中国网络安全审查技术与认证中心等。 全国团体标准信息平台 T/TSIA 00 5-2019 6 3.2 网络安全第三方服务机构 网络安全第三方服务机构 ，是指负责对上线运行的业务和应用系统 进行网络安全 威胁 评估，以及从事相关的网络 安全服务工作 的企事业法人机构，例如：网络安全检测监测 、 网络安全应急响应、网络安全运维 以及网络安全工程实施 等工作。 4 要求 4.1 概述 网络安全第三方服务机构管理规范 ，是对从事网络安全 服务机构的管理体 系、技术实 力和网络安 全工程实施过程质 量保证能力等方面的综 合评价认定。 网络安全第三方 服务机构能力和方向 的认定，是依据“规范 性引用文件”中的国家法 律法规和国家标准具体要求进行能力认定，即在对申请组织的基本资格、技术实力、网络 安全服务能力以及安全项目的组织管理水平等方面的评估结果进行综合评定后，由评价认 定机构给予对应的能力资质认证， 网络安全服务机构具体分为三个方向： 网络安全咨询类、 网络安全威胁评估类以及网络安全工程类。 4.2 资格要求 网络安全第三方服务机构须 在中华人民共 和国境内注册成立（港澳 台地区除外） ，由 中国公民、法人或 地方和国家投资的 企事业单位。 4.3 规模与业绩要求 网络安全第三方服务 机构应具备完善的 管理体系 及管理、技术和项目实施团队 ，有充 足的流动资金，有足够的人员从事网络安全服务及相关活动，近 一个自然 年内在网络安全 活动中无违 规记录。 4.4 人员能力要求 网络安全第三方服务机构应具备相对稳定的技术支撑队伍，团队所有成员应具备两年 以上信息安全从业经历或具备 信息安全从业资格证书，项目负责人或技术骨干应具备信息 安全专业人员资质证书，并熟练掌握 信息安