ICS 33.030 YD M21 中华人民共和国通信行业标准 YD/T 33152018 电信网和互联网安全服务实施要求 Telecommunication network and internet security service implementation requirements 2018-02-09 发布 2018-04-01实施 中华人民共和国工业和信息化部 发布 YD/T 3315—2018 目 次 前言， 1 范围 2规范性引用文件 3术语、定义和缩略语. 3.1术语和定义. 3.2缩略语 4电信网和互联网安全服务概述 安全服务提供方基本要求 5 5.1组织要求 5.2设备、设施与环境要求 5.3 质量保障要求 5.4项目管理要求 5.5保密管理 安全风险评估服务要求 6 6.1 需求分析 6.2方案编制与确认， 6.3 资产识别. 6.4 威胁评估.. 6.5 脆弱性评估 6.6安全证据确认与保存 6.7 风险评估报告及处置建议， 10 安全集成服务要求. 7 1 7.1 安全集成概述 7.2 集成准备. 11 7.3 方案设计. 12 7.4 建设实施. 7.5安全保证.. 14 7.6运行维护.. 16 7.7培训.. 8应急响应服务要求 8.1网络安全应急响应服务概述 8.2 准备阶段 17 8.3 检测阶段， 20 I YD/T 3315—2018 8.4 抑制阶段 21 8.5 根除阶段.. .22 8.6恢复阶段. ..23 8.7 总结和报告阶段， ..23 9 安全培训服务要求 .24 9.1 概述... 24 9.2 培训需求分析 .24 9.3 培训计划.. .25 9.4 培训准备工作 9.5 培训实施... 9.6 培训效果评价. .28 102 符合性评测服务要求. .29 10.1 概述 10.2 测评准备工作 .. 29 10.3 测评方案制定 .29 10.4 测评实施 29 10.5 安全证据确认与保存 10.6 测评报告要求. II YD/T 3315—2018 前言 本标准按照GB/T1.1-2009给出的规则起草。 随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国通信企业协会通信网络安全专业委员会、中国信息通信研究院、国家计算机 网络应急技术处理协调中心、中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限 公司、数据通信科学技术研究所、河南省信息咨询设计研究有限公司。 本标准主要起草人：李晶晶、江浩洁、谢玮、王卫东、王华、曹一生、郑涛、李燕伟、马铮、姜楠、 何友斌、陈禹、王鹏翩、汪志、闻蕾、杨振杰。 III YD/T 3315—2018 电信网和互联网安全服务实施要求 1范围 本标准规定了第三方安全服务组织为电信网和互联网实施安全服务过程中所需满足的实施要求。 本标准适用于第三方安全服务组织。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 YD/T2669一2013电信网和互联网第三方安全服务能力评定准则 YD/T1799—2008网络与信息安全应急处理服务资质评估方法 3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件。 3.1.1 电信网和互联网安全服务telecommunication network and internet security service 面向组织或个人的各类网络安全保障需求，由服务提供方按照服务协议所执行的一个网络安全过程 或任务。 通常是基于网络安全技术、产品或管理体系的，通过外包的形式，由专业网络安全人员所提供的支 持和帮助。 3.1.2 电信网和互联网安全服务提供方telecom networkand internetsecurity serviceprovider 按照服务协议，通过专业的网络安全人员提供网络安全服务的各类组织机构。网络安全服务提 供方在每项具体的服务中，其服务角色和服务职责应该是明确的。如果服务内容仅涉及供需双方的， 则服务提供方为乙方角色；在上述服务的基础上，就所涉及的问题，独立于有关各方提供评估、证 明等服务并承担相关社会责任的，则服务提供方为第三方角色。服务角色与服务提供方的组织机构 类型无关。 YD/T 3315—2018 3.1.3 电信网和互联网安全服务需求方telecom network and internetsecurity servicedemander 使用外部所提供的网络安全服务，以满足电信网和互联网安全保障需求，实现自身业务目标的组织 （或个人用户）。 3.1.4 安全风险评估securityriskassessment 运用科学的方法与手段，系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性，评估安 全事件可能造成的危害程度，并提出有针对性的防护对策和安全措施，防范和化解通信网络及相关系统 安全风险，将风险控制在可接受的水平，为最大限度地保障通信网络及相关系统的安全提供科学依据。 3.1.5 安全集成securityintegration 对所服务的通信网络的安全框架进行设计，形成安全建设规划，并对计划实施的安全策略细化 在安全解决方案的基础上，实施安全产品集成、安全软件定制开发、安全加固或其他的安全技术和咨 询服务。 3.1.6 应急响应emergency response 在处置网络与信息安全事件时提供紧急现场或远程援助的一系列技术和非技术的措施和行动，以降 低安全事情给用户造成的损失或影响。 3.1.7 安全培训 security training 针对电信网和互联网的安全管理、建设、运行维护等与网络安全相关的岗位人员所开展的，以提高 安全意识、安全素质和安全技能为目的教育培训活动。服务提供方按照培训需求提供网络与信息安全法 律、政策、标准、技术、管理、体系和工程等方面的培训内容。 3.1.8 符合性测评conformance test and assessment 针对定级的电信网和互联网网络单元进行检测，评价其是否符合相关安全防护标准的规定要求。 3.2缩略语 下列缩略语适用于本文件。 BIA 业务影响分析 Business Impact Analysis CRM 客户关系管理 Customer Relationship Management IDS 入侵检测系统 Intrusion Detection Systems RPO 恢复点目标 Recovery Point Objective 2 YD/T 3315—2018 RTO 恢复目标时间 Recovery Time Object 电信网和互联网安全服务概述 电信网和互联网安全服务实施要求按照要素分为对服务提供方的基本要求和安全服务过程实施要 求两大类。 对安全服务提供方的基本要求是指电信网和互联网安全服务提供方所应满足的基本要素，包括管理 与组织、服务企业资质要求两个方面。 按照安全服务实施内容的不同，电信网和互联网安全服务分为安全风险评估、符合性测评、安全集成、 应急响应、安全培训等5个类型，针对不同安全服务类型的内容和特点，需要满足相应的过程实施要求。 网络安全服务要素如图1所示。 符合性测评 安全风险评估 测评准备 测评实施 方案编制与 测评方案 需求分析 资产识别 制定 确认 已有安全措 威胁评估 脆弱性评估 施确认 证据确认 测评报告 安全证据确认 与保存 风险评估报告 及处置建议 及保存 安全服务过程要素 安全集成 应急响应 安全需求 方案设计 建设实施 检测 抑制 准备 界定 运行维护 培训 根除 总结与报告 安全保证 恢复 安全培训 培训需求 培训计划 培训准备 分析 培训实施 培训效果评价 企业资质要求 服务商基本要素要求 项目管理要求 法律地位 组织架构 资质证书 组织架构 风险管理 合同管理 人员组成及 设施环境 质重保障 项目协调 项目监考 进度控制 素质 保密管理 变更管理 图1 网络安全服务要素 YD/T3315—2018 55 安全服务提供方基本要求 5.1组织要求 5.1.1法律要求 提供电信网和互联网安全服务的组织应是一个独立的实体，由中国公民投资、中国法人投资或者国 家投资的，具有独立法人资格及相关部门颁发的合法经营资格的企事业单位； 从事电信网和互联网安全服务的组织应拥有健全的组织与管理体系，应制定并落实保密制度，执行 保密技术标准。如从事涉及国家秘密的电信网和互联网安全服务的组织应制定符合国家保密部门规定的 相关要求，具体应符合YD/T2669一2013中规定的通信网络安全服务能力等级基本要求。 5.1.2资质证书要求 5.1.2.1 从事电信网和互联网安全服务的组织应具备相关行业组织颁发的网络安全服务能力评定资格证书。 5.1.2.2 从事涉及国家秘密的电信网和互联网安全服务的组织应获得国家保密机关的资质认证； 5.1.3人员构成和素质要求 从事电信网和互联网安全服务的组织应具有充足的人力资源和合理的人员结构，具备与资质范围相 适应的技术负责人。具体要求为： 1）组织内获得权威机构安全认证工程师至少应有2名。直接从事安全服务的人员不少于5人，大 学本科以上学历不少于80%。至少有项目经理1人、高级项目经理1人。应有一批相对稳定的技术队 伍，有至少3人具有2年以上的安全服务项目经验。 2）所有与电信网和互联网安全服务有关的人员等应具有基本的信