I ICS 35.020 团 体 标 准 T/TSIA 00 5-2023 代替 T/TSIA 00 5-2019 网络安全第三方服务机构管理规范 Network Security Third Party Service Organization Management Specification 2023 - 10 - 12发布 2023 - 10 - 12实施 天津市软件行业协会 发布 全国团体标准信息平台 全国团体标准信息平台 T/TSIA 00 5-2023 II 目 录 目 录 ................................ ................................ ............... II 前 言 ................................ ................................ .............. III 引 言 ................................ ................................ ............... IV 1 范围 ................................ ................................ .............. 5 2 规范性引用文件 ................................ ................................ .... 5 3 术语和定义 ................................ ................................ ........ 5 4 要求 ................................ ................................ .............. 6 4.1 概述 ................................ ................................ .... 6 4.2 资格要求 ................................ ................................ 6 4.3 规模与业绩要求 ................................ .......................... 6 4.4 人员能力要求 ................................ ............................ 7 4.5 管理要求 ................................ ................................ 7 4.6 技术服务能力要求 ................................ ........................ 8 4.7 设备及环境要求 ................................ .......................... 8 5 监督审查 ................................ ................................ .......... 9 6 参考文献 ................................ ................................ .......... 9 全国团体标准信息平台 全国团体标准信息平台 T/TSIA 00 5-2023 III 前 言 本规范按照 GB/T 1.1 -2009《标准化工作导则 第1部分：标准的结构和编写》给出的 规则起草。 本规范起草单位：天津市网络文化行业协会、天津市软件行业协会、天津市互联网协 会、天津市青少年网络协会、天津市网络社会组织联合会、天津市市场信息中心、江西省 计算技术研究所、中科锐眼（天津）科技有限公司、中国检验认证 集团天津有限公司、天 津烽火信息管 理技术有限公司、恒银金融科技股份有限公司、天津 卓易云科技有限公司、 博雅创智（天津）科技有限公司、北京可信华泰信息技术有限公司、北京天腾信科技有限 公司、天津恒生科技园投资发展有限公司、恒安嘉新（北京）科技股份公司、四川远鉴科 技有限公司、万业（天津）科技有限公司、天津同力兴科网络科技有限公司、江西畅然科 技发展有限公司、天津市兴先道科技有限公司、北京云盾科技有限公司、天津润成信息安 全技术有限公司、内蒙古网智科技服务有限责任公司、江苏百傲网络科技有限公司、天津 中泰力达科技有限公司。 本规范主要起草人：王小龙、王森、 孙凯桐、周效铭、赵洪宇、刘玺、解 万永、吕顺 刚、刘永杰、谷思源、李兴、苑久川、李宇、刘贵臣、杨雪飞、陆浩、郭昕、付康、宋午 阳、张荣林、吴伯喜、张云峰、崔小玉、宋瑞霞、刘鑫、孙瑜、王梅、李明山、张峰晓、 闫崑、王秋明、王炳文、袁青霞、 曾建锋、 刘立民、万俊、赵亮、张秀成、黄河、张力。 全国团体标准信息平台 全国团体标准信息平台 T/TSIA 00 5-2023 IV 引 言 为加强和规范网络安全威胁评估、检测监测、安全工程服务等网络安全第三方服务机 构的管理， 规范网络安全第三方服务机构的行为， 提高网络安全综合保障能力和服务水平， 根据《中华人民共和国网络安全法》和相 关标准及行业规范的要求，制定本管 理规范。 全国团体标准信息平台 全国团体标准信息平台 T/TSIA 00 5-2023 5 网络安全第三方服务机构管理规范 1 范围 本规范适用于从事网络安全行业的服务机构，包括网络安全威胁评估机构、网络安全 检测监测机构以及提供网络安全工程的相关机构。 软件和信息技术服务业、互联网行业、企业、事业单位、社会团体等组织机构在进行 网络安全活动时也可遵循本管理规范。 相关工作的开展在网络安全监管单位和行业组织的领导下进行。 2 规范性引用文件 下列文件对于本文件的适用是必不可少的。凡是注日期的引用文件，仅注日期的版本 适用于本文件。凡是不注日期的引用文件，其最新版 本（包括所有的《修正案》）适用于 本文件。 GB/T 5271.8 -2001 信息技术 词汇 第8部分:安全 GB/T 25068.3 -2022 信息技术 安全技术 网络安全 第3部分：面向网络接入场景的威 胁、设计技术和控制 GB/T 25069 -2022 信息安全技术 术语 GB/T 31495.2 -2015 信息安全技术 信息安全保障指标体系及评价方法 第2部分：指标 体系 ISO/IEC 27005 :2018 信息技术 安全技术 信息安全风险管理 3 术语和定义 ISO/IEC 27005 :2018、GB/T 5271.8-2001、GB/T 25069-2022和GB/T 2506 8.3-2022、 GB/T 31495.2 -2015界定的术语和定义适用于本文件。为了便于使用，以下更加明 确了相 关术语和定义。 3.1 网络安全评价认定机构 网络安全评价认定机构，是指对网络安全第三方服务机构的服务能力和工程实施结果 进行评价认定，对上线运行的业务和应用系统进行安全评价认定的机构。评价认定机构可 全国团体标准信息平台 全国团体标准信息平台 T/TSIA 00 5-2023 6 以选择国家或地方认可的相关行业管理认定机构，如中国检验认证集团、中国信息安全测 评中心以及中国网络安全审查技术与认证中心等。 3.2 网络安全第三方服务机构 网络安全第三方服务机构，是指负责对上线运行的 业务和应用系统进行网络安全威胁 评估，以及从事相关的网络安全服务工作的企事业法人机构，例如：网络安全检测监测、 网络安全应急响应、网络安全运维以及网络安全工程实施等工作。 4 要求 4.1 概述 网络安全第三方服务机构管理规范，是对从事网络安全服务机构的管理体系、技术实 力和网络安全工程实施过程质量保证能力等方面的综合评价认定。 网络安全第三方服务机构能力和方向的认定，是依据“规范性引用文件”中的国家法 律法规和国家标准具体要求进行能力认定，即在对申请组织的基本资格、技术实力、网络 安全服务能力以及安全项目的组织管理水平等方面的 评估结果进行综合评定后，由评价认 定机构给予对应的能力资质认证， 网络安全服务机构具体分为三个方向： 网络安全咨询类、 网络安全威胁评估类以及网络安全工程类。 4.2 资格要求 网络安全第三方服务机构须在中华人民共和国境内注册成立（港澳台地区除外），由 中国公民、法人或地方和国家投资的企事业单位。 4.3 规模与业绩要求 网络安全第三方服 务机构应具备完善的管理体系及管理、技术和项目实施团队，有充 足的流动资金，有足够的人员从事网络安全服务及相关活动，近一个自然年内在网络安全 活动中无违规记录。 全国团体标准信息平台 全国团体标准信息平台 T/TSIA 00 5