ICS 03.120.20 CCS L 70 团体标准 T/BJCSA 06 -2025 T/GDCSA 028- 2025 Specification for grading of computer information system security service institutions 2025-09-01发布 2025-09-01实施 北京网络空间安全协会 广东省网络空间安全协会 发布 计算机信息系统安全服务机构等级评定 规范 全国团体标准信息平台 全国团体标准信息平台 T/BJCSA 06 —2025 T/GDCSA 028—2025 I 目 次 前言 .................................................................................. II 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 安全服务机构等级划分 ................................................................ 1 5 基本能力要求 ........................................................................ 2 5.1 基本条件 ......................................................................... 2 5.2 基本管理能力要求 ................................................................. 2 6 分级能力要求 ......................................................................... 2 6.1 基本资格分级要求 ................................................................. 2 6.2 管理能力分级要求 ................................................................. 3 6.3 技术能力特殊要求 ................................................................. 3 7 服务实施能力要求 ..................................................................... 4 8 评定方法 ............................................................................. 4 8.1 评定原则 ......................................................................... 4 8.2 评定模式 ......................................................................... 5 参考文献 ............................................................................... 6 全国团体标准信息平台 T/BJCSA 06 —2025 T/GDCSA 028—2025 II 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1 部分：标准化文件的结构和起草规则 》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由网安联认证中心有限公司提出。 本文件由北京网络空间安全协会和广东省网络空间安全协会归口。 本文件起草单位： 网安联认证中心有限公司、广州电力设计院有限公司、深圳市常行科技有限公 司、广州华南检验检测中心有限公司、国源天顺科技产业集团有限公司、广东关键信息基础设施保护 中心、广东新兴国家网络安全和信息化发展研究院、安徽省计算机信息网络安全协会、广州华南信息 安全测评中心、广东中证声像资料司法鉴定所。 本文件主要起草人： 成珍苑、程正刚、郭义、张德方、庄严、李峰、何丽萍、冷令、王伟彬、陈 庆亮、郝瑞、董满、许学添、吴晓光、晏圣华、李晶、李佳春、何雄韬、何建忠、郭乐、梁展明、王 湛泽、梁力文、覃丽娟、黄珊珊、黎韵婷、贺锋、董晓静、蔡美玲。 全国团体标准信息平台 T/BJCSA 06 —2025 T/GDCSA 028—2025 1 计算机信息系统安全服务机构等级评定规范 1 范围 本文件规定了计算机信息系统安全服务机构的等级划分、基本能力要求、分级能力要求、服务实 施能力要求、评定方法等内容。 本文件适用于第三方评审机构对从事计算机信息系统安全服务的机构进行等级评定，评定结果可 作为政府部门和企事业单位选用安全服务时的参考依据；也可作为从事计算机信息系统安全服务的机 构改进自身服务能力的指导。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB/T 25069 -2022 信息 安全技术 术语 GB/T 30271 -2013 信息安全技术 信息安全服务能力评估准则 3 术语和定义 GB/T 25069 -2022和GB/T 30271-2013 界定的以及下列术语和定义适用于本文件。 3.1 计算机信息系统 computer information system 由计算机及相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进 行采集、加工、存储、传输、检索等处理的人机系统。 3.2 计算机信息系统安全 computer information system security 采取适当措施保护数据和资源，使计算机信息系统免受偶然或恶意的修改、损害、访问、泄露等 操作的危害 。 3.3 信息安全服务 information security service 面向组织或个人的各类信息安全保障需求，由服务提供方按照服务协议所执行的一个信息安全过 程或服务。 3.4 安全服务机构 security service institutions 按照服务协议，通过专业计算机信息系统安全服务人员提供信息安全服务的各类组织机构。 3.5 第三方评审机构 third-party assessment organization 独立于信息安全服务相关方的专业评估机构。 4 安全服务机构等级划分 全国团体标准信息平台 T/BJCSA 06 —2025 T/GDCSA 028—2025 2 依据安全服务机构的基本资格、管理能力、技术服务能力等分为一级、二级、三级和四级，其中 一级最高，四级最低 。 5 基本能力要求 5.1 基本条件 安全服务机构应具备的基本条件包括： a) 具有中华人民共和国境内注册的独立法人资格，并具有相关部门颁发的合法经营资格； b) 拥有长期固定的办公场所，具有能满足业务需求的设备和环境； c)