《計算機信息系統(tǒng)安全服務(wù)規(guī)范》編制說明

團體標準《計算機信息系統(tǒng)安全服務(wù)規(guī)范》編制說明

一、工作簡況

1.1任務(wù)來源

《計算機信息系統(tǒng)安全服務(wù)規(guī)范》由北京網(wǎng)絡(luò)空間安全協(xié)會、廣

東省網(wǎng)絡(luò)空間安全協(xié)會歸口管理。

1.2主要起草單位和工作組成員

本標準由網(wǎng)安聯(lián)認證中心牽頭，廣州電力設(shè)計院有限公司、國源

天順科技產(chǎn)業(yè)集團有限公司、廣東關(guān)鍵信息基礎(chǔ)設(shè)施保護中心、廣東

新興國家網(wǎng)絡(luò)安全和信息化發(fā)展研究院、廣州華南檢驗檢測中心有限

公司等多家單位共同參與編制。

1.3主要工作過程

（1）2023年10月，標準正式立項；

（2）2023年11-12月，組織參與本標準編寫的人員召開項目啟

動會，成立規(guī)范編制小組，確立各自分工，進行初步設(shè)計，并聽取各

參與單位的相關(guān)意見；

（3）2024年1-3月，編制組召開組內(nèi)研討會并結(jié)合充分的調(diào)研

結(jié)果，參考各類國家標準和相關(guān)政策文件，形成標準草案第一稿，后

期經(jīng)內(nèi)部深入討論研究，形成第二稿；

（4）2024年4月，編制組繼續(xù)召開組內(nèi)研討會，基于前期成果，

經(jīng)多次內(nèi)部討論研究，進一步對草案進行認真修改完善，形成征求意

見稿。

1/6

二、標準編制原則和標準編制詳細說明及解決的主要問題

2.1編制原則

本標準的研究與編制工作遵循以下原則：

（1）符合性原則

本標準使用時能夠與法律法規(guī)和國家強制性標準的要求保持一

致，符合國家相關(guān)主管部門的要求。

（2）實用性原則

本標準規(guī)范是對實際工作成果的總結(jié)與提升，保持整體結(jié)果合理

且維持原意和功能不變的同時，針對需求群體，做到可操作、可用與

實用。

2.2文檔結(jié)構(gòu)

《計算機信息系統(tǒng)安全服務(wù)規(guī)范》標準文檔分為前言、引言、范

圍、規(guī)范性引用文件、術(shù)語和定義、安全服務(wù)機構(gòu)等級劃分、安全服

務(wù)機構(gòu)評定標準、安全服務(wù)機構(gòu)基本能力要求、安全服務(wù)機構(gòu)分級能

力要求、安全服務(wù)機構(gòu)服務(wù)能力過程要求、評定方法等部分。

2.3整體格式

整體格式根據(jù)GB/T1.1-2020《標準化工作導則第1部分：標

準化文件的結(jié)構(gòu)和起草規(guī)則》的相關(guān)要求，對本標準的各要素進行編

寫和排版。

在標準內(nèi)容匯總過程中，對各編寫組成員提交部分，根據(jù)GB/T

1.1-2020的編寫要求進行了必要的增刪改，以確保符合一致性、協(xié)

調(diào)性、易用性等文件的表述原則及相關(guān)規(guī)定。

2/6

2.4標準名稱英文翻譯

標準的名稱“計算機信息系統(tǒng)安全服務(wù)規(guī)范”翻譯為

Specificationforsecurityservicesofcomputerinformation

system。

2.5術(shù)語和定義

術(shù)語和定義中所列的術(shù)語的英文翻譯，如有類似術(shù)語的標準，參

考了其翻譯，沒有類似術(shù)語標準翻譯的，通過百度翻譯和谷歌翻譯后

進行對比，并參考網(wǎng)絡(luò)相關(guān)翻譯后進行確定。

2.6安全服務(wù)機構(gòu)等級劃分

本章闡述了安全服務(wù)機構(gòu)等級的劃分，依據(jù)安全服務(wù)機構(gòu)的基本

條件、基本資格、管理能力、技術(shù)服務(wù)能力等分為一級、二級、三級、

四級，其中一級最高，四級最低。

2.7安全服務(wù)機構(gòu)評定標準

本章主要介紹了安全服務(wù)機構(gòu)等級評定要求包含基本能力要求、

分級能力要求和服務(wù)能力過程要求。

2.8安全服務(wù)機構(gòu)基本能力要求

本章介紹了安全服務(wù)機構(gòu)應具備的基本條件包括具有中華人民

共和國境內(nèi)注冊的獨立法人資格，并具有相關(guān)部門頒發(fā)的合法經(jīng)營資

格；擁有長期固定的辦公場所，具有能滿足業(yè)務(wù)需求的設(shè)備和環(huán)境；

遵守國家現(xiàn)行法律、法規(guī)，無違法記錄等條件。

安全服務(wù)機構(gòu)應具備的基本管理能力包括建立人員管理制度和

能力考核指標，制定相關(guān)培訓計劃，定期開展培訓；建立文檔管理制

3/6

度，確保項目文檔資料妥善保管；建立質(zhì)量管理制度，跟蹤服務(wù)質(zhì)量，

并能對服務(wù)質(zhì)量進行持續(xù)改進等。

安全服務(wù)機構(gòu)應具備的基本技術(shù)能力包括具備評估系統(tǒng)安全威

脅的能力、評估系統(tǒng)脆弱性的能力、評估安全對系統(tǒng)的影響的能力、

評估系統(tǒng)安全風險的能力、確定系統(tǒng)安全需求的能力、確定系統(tǒng)的安

全輸入的能力、安全控制管理的能力、監(jiān)測系統(tǒng)安全狀況的能力、檢

測或證實系統(tǒng)安全性的能力、建立系統(tǒng)安全的保證數(shù)據(jù)的能力以及對

整個系統(tǒng)進行管理配置的能力。

2.9安全服務(wù)機構(gòu)分級能力要求

本章主要闡述了分級能力要求為安全服務(wù)機構(gòu)各級別的能力要

求，包含基本資格、管理能力要求、技術(shù)能力要求。

2.10安全服務(wù)機構(gòu)服務(wù)能力過程要求

本章介紹了安全服務(wù)機構(gòu)應具備的服務(wù)能力過程要求，包括制定

安全服務(wù)流程；制定安全服務(wù)規(guī)范，按照規(guī)范實施；服務(wù)過程至少包

含準備階段、設(shè)計階段、實施階段、服務(wù)保障階段。

2.11評定方法

本章介紹了第三方評審機構(gòu)按公開、公正、公平原則，定性與定

量相結(jié)合原則，實行統(tǒng)一標準、統(tǒng)一程序、統(tǒng)一管理原則開展評定工

作。對安全服務(wù)機構(gòu)等級評定采取文檔審核、現(xiàn)場審核、綜合評定的

模式進行。

三、知識產(chǎn)權(quán)情況說明

本標準不涉及專利。

4/6

四、采用國際標準和國外先進標準情況

無采用國際標準和國外先進標準情況。

五、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標準的協(xié)調(diào)性

建議本標準推薦性實施。本標準不觸犯國家現(xiàn)行法律法規(guī)，不與

其他強制性國標相沖突。

六、重大分歧意見的處理經(jīng)過和依據(jù)

《計算機信息系統(tǒng)安全服務(wù)規(guī)范》編制過程中未出現(xiàn)重大分歧。

七、標準性質(zhì)的建議

建議《計算機信息系統(tǒng)安全服務(wù)規(guī)范》作為推薦性團體標準發(fā)布

實施。

八、貫徹標準的要求和措施建議

鑒于本標準是規(guī)范計算機信息系統(tǒng)安全服務(wù)標準，適用于第三方

評審機構(gòu)對在從事計算機信息系統(tǒng)安全服務(wù)的機構(gòu)進行等級評定，評

定結(jié)果可作為政府部門和企事業(yè)單位選用安全服務(wù)時的參考依據(jù)；也

可作為從事計算機信息系統(tǒng)安全服務(wù)的機構(gòu)改進自身服務(wù)能力的指

導。按照標準要求實施計算機信息系統(tǒng)安全服務(wù)機構(gòu)等級評定，客觀

公正地評價服務(wù)機構(gòu)的服務(wù)能力，既可作為服務(wù)機構(gòu)開展自我評價的

規(guī)范和標準，也可為行業(yè)監(jiān)管、用戶在維護計算機信息系統(tǒng)安全工作

中選擇服務(wù)機構(gòu)提供依據(jù)，有利于規(guī)范市場秩序、杜絕不良企業(yè)涉足

計算機信息系統(tǒng)安全行業(yè)，促進計算機信息系統(tǒng)安全服務(wù)行業(yè)的健康

發(fā)展，切實保護我國的信息安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全。

九、替代或廢止現(xiàn)行相關(guān)標準的建議

5/6