第1页 / 共19页
第2页 / 共19页
第3页 / 共19页
第4页 / 共19页
第5页 / 共19页
第6页 / 共19页
第7页 / 共19页
第8页 / 共19页
YDT 2669—2013 电信网和互联网第三方安全服务能力评定准则.pdf
000001
000002
000003
000004
000005
000006
000007
000008
000009
000010
000011
000012
000013
000014
000015
000016
000017
000018
000019
ICS 35.240
L 67
YD
中华 人 民共和 国通 信 行 业 标 准
丫D/T 2669-2013
电信网和互联网
第三方安全服务能力评定准则
Evaluation criteria for competence of third party security service
provider in telecon network and internet
2013-10-17发布
2014-01-01实施
中 华 人 民 共 和 国 工 业 和 信 息 化 部
发 布
电话:82054513 http://www.ptsn.net.cn
丫D厅 2669-2013
目
次
舀 ·····················································································································… ... 11
范围
规范性引用文件……
术语、定义和缩略语
凡
j
内
j
1
.
t
,
‘
术语和定义
缩略语……
4 电信网和互联网第三方安全服务概述·...............................................................................2
4.1 类型············································································································……2
4.2 电信网和互联网第三方安全服务能力等级的评判原则·..................................................2
4.3 电信网和互联网安全防护对第三方安全服务能力的要求·...............................................3
5 电信网和互联网第三方安全服务能力评定通用性要求·...........................................................3
6 电信网和互联网第三方安全风险评估服务能力评定要求·........................................................3
6.1 丙级能力评定要求··········································································……‘’‘””””””‘3
6.2 乙级能力评定要求·························,································································……5
6.3 甲级能力评定要求··············································································……’‘””“.”’7
7 电信网和互联网第三方安全设计与集成服务能力评定要求················································……8
7.1 丙级能力评定要求························································································……‘·8
7.2 乙级能力评定要求··························································································……10
7.3 甲级能力评定要求··········································································……”””””””’.11
参考文献··················································································································……14
电话:82054513 http://www.ptsn.net.cn
YD汀 2669-2013
月1]
舀
本标准是 “电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下:
1.《电信网和互联网安全防护管理指南》
2.《电信网和互联网安全等级保护实施指南》
3.《电信网和互联网安全风险评估实施指南》
4.《电信网和互联网灾难备份及恢复实施指南》
5.《固定通信网安全防护要求》
6.《移动通信网安全防护要求》
7.《互联网安全防护要求》
8.《增值业务网一消息网安全防护要求》
9.《增值业务网一智能网安全防护要求》
10.《接入网安全防护要求》
11.《传送网安全防护要求》
12. UP承载网安全防护要求》
13.《信令网安全防护要求》
14.《同步网安全防护要求》
15.《支撑网安全防护要求》
16.《非核心生产单元安全防护要求》
17.《电信网和互联网物理环境安全等级保护要求》
18.《电信网和互联网管理安全等级保护要求》
19.《固定通信网安全防护检测要求》
20.《移动通信网安全防护检测要求》
21.《互联网安全防护检测要求》
22.《增值业务网一消息网安全防护检测要求》
23.《增值业务网一智能网安全防护检测要求》
24.《接入网安全防护检测要求》
电话:82054513 http://www.ptsn.net.cn
YD厅 2669-2013
25.《传送网安全防护检测要求》
26. UP承载网安全防护检测要求》
27.《信令网安全防护检测要求》
28.《同步网安全防护检测要求))
29.《支撑网安全防护检测要求》
30.《非核心生产单元安全防护检测要求》
31.《电信网和互联网物理环境安全等级保护检测要求》
32.《电信网和互联网管理安全等级保护检测要求》
33.《域名系统安全防护要求))
34.《域名系统安全防护检测要求》
35.《网上营业厅安全防护要求))
36.《网上营业厅安全防护检测要求))
37. (WAP网关系统安全防护要求》
38. (WAP网关系统安全防护检测要求))
39.《电信网和互联网信息服务业务系统安全防护要求))
40.《电信网和互联网信息服务业务系统安全防护检测要求》
41.《增值业务网 即时消息业务系统安全防护要求》
42.《增值业务网 即时消息业务系统安全防护检测要求》
43.《域名注册系统安全防护要求))
44.《域名注册系统安全防护检测要求))
45.《移动互联网应用商店安全防护要求》
46.《移动互联网应用商店安全防护检测要求))
47.《互联网内容分发网络安全防护要求》(本标准)
48.《互联网内容分发网络安全防护检测要求))
49.《互联网数据中心安全防护要求》
50.《互联网数据中心安全防护检测要求》
51.《电信网和互联网第三方安全服务能力评估准则》(本标准)
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。
本标准按照 GB/T1.1-2009给出的规则起草。
III
电话:82054513 http://www.ptsn.net.cn
丫DIT 2669-2013
本标准由中国通信标准化协会提出并归口。
本标准起草单位:工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、中国
联合网络通信集团有限公司。
本标准主要起草人:江浩洁 、侯继江、冯运波、陈利军、祝 卓 、李晶晶、黄 晨 。
电话:82054513 http://www.ptsn.net.cn
YD厅 2669-2013
电信网和互联网第三方安全服务能力评定准则
范围
本标准规定了为电信网和互联网提供第三方安全服务的组织应具备的安全服务能力。
本标准适用于第三方评定和认证机构对提供电信网和互联网第三方安全服务的组织进行电信网和互
联网第三方安全服务能力的评定,可作为电信运营企业对提供第三方安全服务的组织进行选择的依据,
可作为国家有关主管部门对为电信网和互联网提供安全服务的第三方安全服务组织进行管理、检查的管
理性规范,也可以作为第三方安全服务提供商改进 自身能力的指导。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本 (包括所有的修改单)适用于本文件。
GB/T 5271.8-2001
信息技术 词汇 第8部分:安全
3 术语、定义和缩略语
3., 术语和定义
GB/T 5271.8-2001中界定的以及下列术语和定义适用于本文件。
3.1.,
电信网 Telecom Network
利用有线和/或无线的电磁、光电系统,进行文字、声音、数据、图像或其他任何媒体的信息传递
的网络,包括固定通信网、移动通信网等。
3.1.2
互联网 Internet
广域网、局域网及终端 (包括计算机、手机等)通过交换机、路由器、网络接入设备等基于一定的
通讯协议连接形成的,功能和逻辑上的大型网络。
3.1.3
电信网和互联网安全防护体系 Security Protection Architecture of Telecom Network and Internet
电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、
相互配合,共同构成了电信网和互联网安全防护体系。
3.1.4
电信网和互联网相关系统 Systems of Telecom Network and Internet
包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中,接入网包括各种有线、无线
和卫星接入网等,传送网包括光缆、波分、SDH、卫星等,而支撑网包括业务支撑和网管系统。
3.1.5
电信网和互联网安全等级 Security Classification of Telecom Network and Internet
电话:82054513 http://www.ptsn.net.cn
YD厅 2669-2013
电信网和互联网及相关系统安全重要程度的表征。重要程度可从电信网和互联网及相关系统受到破
坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.1.6
电信网和互联网安全等级保护 Classified Security Protection of Telecom Network and Internet
对电信网和互联网及相关系统分等级实施安全保护。
3.1.7
电信网和互联网第三方安全服务能力等级 Qualification Level of the Third Party Security Service
for Telecom Network and Internet
一个组织提供电信网和互联网安全服务的综合能力等级,包括法律资格、组织与管理能力、技术能
力、人员构成与素质、规模与资产、项目管理能力等多个方面。
依据电信网和互联网安全等级保护要求提供电信网和互联网安全服务的第三方具备相应的能力等级
(具体见本标准第4章)。
3.1.8
电信网和互联网第三方安全服务 the Third Party Security Service for Telecom Network and Internet
为了适应电信网和互联网安全管理的需要,一个组织按照一定的合同或协议,运用科学的方法和手
段,通过有效的措施来保障电信网和互联网的正常运行,为企业提供全面或部分安全评估、评测或解决
方案的服务,包含从安全体系到具体的技术解决措施。这里的 “第三方”是相对于自评估提出的概念。
3.2 缩略语
下列缩略语适用于本文件。
ISO
Interna-tional Organization for Standardization 国际标准化组织
PMP
Project Management Professional
项目管理专业人士认证
4 电信网和互联网第三方安全服务概述
4., 类型
本标准涉及到的电信网和互联网第三方安全服务分为两类,第一类是风险评估,第二类是安全设计
与集成。
4.1.1 风险评估
运用科学的方法和手段,系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性,
评估安全事件一旦发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和安全措施,防范
和化解电信网和互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障电信网和
互联网及相关系统的安全提供科学依据。
4.1.2 安全设计与集成
对组织的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化,在安全解决方案
的基础上,实施安全产品集成、安全软件定制开发、安全加固与整改或其它的安全技术和咨询服务。
4.2 电信网和互联网第三方安全服务能力等级的评判原则
电信网和互联网第三方安全服务能力评定是对电信网和互联网安全服务提供组织的客观评价,直接
反应了电信网和互联网安全服务提供组织的服务资格、水平和能力。
电话:82054513 http://www.ptsn.net.cn
丫D汀 2669-2013
针对电信网和互联网第三方安全服务能力的评定要求则是对电信网和互联网安全服务提供组织的资
格状况、经济实力、技术能力、服务队伍、服务过程能力等方面的具体衡量和评价。本标准中能力评定
要求分别针对每一类服务提供组织分为通用性要求和不同服务类型区别要求,通用性要求是指所有电信
网和互联网安全服务提供组织都必须要达到的安全能力要求 (具体指标要求见本标准第5章);不同服务
类型区别要求是指对不同类型的电信网和互联网安全服务提供组织提出了不同的能力要求 (具体指标要
求见本标准第6, 7章)。
每类安全服务(风险评估和安全设计与集成)均提出了三级能力要求,由高到低依次是甲级、乙级、
丙级能力。在本标准中,高等级能力的要求涵盖了低等级能力要求的所有方面。
4.3 电信网和互联网安全防护对第三方安全服务能力的要求
4.3.1 第 ,级
不作要求。
4.3.2 第2级
获得电信网和互联网第三方安全服务能力丙级及丙级以上能力评定的组织。
4.3.3 第3.1级
获得电信网和互联网第三方安全服务能力乙级及乙级以上能力评定的组织。
4.3.4 第3.2级
获得电信网和互联网第三方安全服务能力甲级能力评定的组织。
4.3.5 第4级
同3.2级要求。
4.3.6 第 5级
同3.2级要求。
5 电信网和互联网第三方安全服务能力评定通用性要求
通用要求包括以下四项:
1)从事电信网和互联网第三方安全服务的组织必须是在中华人民共和国境内注册成立 (港澳台地
区除外),由中国公民投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事
业单位 (港澳台地区除外);
2)从事涉密的电信网和互联网第三方安全服务的组织必须满足国家保密机关的相关要求;
3)从事电信网和互联网第三方安全服务的组织应具备电信网络安全保障服务工作经验一年以上,
无违法记录;
4)从事电信网和互联网第三方安全服务的组织其法人及主要业务、技术人员需无犯罪记录。
6 电信网和互联网第三方安全风险评估服务能力评定要求
从事电信网和互联网第三方安全风险评估服务的组织应符合本标准第5章通用性要求的所有条款。
6.1 丙级能力评定要求
6.1.1 资格要求
进行涉密集成的组织必须获得国家保密部门的能力证书。
6.1.2 规模与资产
电话:82054513 http://www.ptsn.net.cn
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
