山东网络安全保护服务管理规范-山东信息网络安全协会.PDF

山东省网络安全保护服务管理规范 山东省信息网络安全协会 2016 年 12 月 目 录 第一章 总则 1 第二章 网络安全服务的等级划分 2 第三章 不同等级的安全服务能力要求 4 第四章 网络安全服务等级评定程序 9 第五章 证书管理 12 山东省网络安全保护服务等级评定现场能力审核检查表 I 第一章 总则 第一条 为规范全省网络安全等级服务管理，保障网络 安全，维护网络空间主权和国家安全、社会公共利益，保护 公民、法人和其他组织的合法权益，促进全省经济社会信息 化健康发展，依据《中华人民共和国网络安全法》和国家网 络安全相关技术标准和规范，特制定本规范。 第二条 网络安全等级服务包括与网络安全等级保护工 作中定级、备案、安全建设整改、等级测评、安全检查五个 基本环节相关的方案咨询、软件开发、系统集成、信息安全 产品采购、安全监测、运行维护、风险评估、等级测评、应 急事件（事故）处置、数据备份与恢复等安全服务工作。 第三条 本规范规定了网络安全服务提供者（以下简称 服务提供者）应具备的安全服务基本能力要求以及认证机构 开展服务资质认证的程序。适用于第三方机构对服务提供者 进行资信和能力评价及服务提供者开展自我评价的依据，可 为政府及有关社会组织购买社会服务和省信息安全主管部 门、行业主管部门安全监督检查工作依据和参照。 第四条 山东省信息网络安全协会依据等级保护管理办 法及技术标准等，制定全省网络安全等级服务规范，组织网 络安全服务机构开展工作，并进行监督、管理。 第五条 全省网络安全等级保护责任单位可参照本规范 及等级保护相关技术标准，购买第三方网络安全服务，并对 1 服务提供者提供的安全服务活动进行现场见证和质量评价。 第六条 服务提供者开展经营和服务活动，必须遵守法 律、行政法规，遵守社会公德、商业道德，诚实信用，履行 网络安全保护义务，接受政府和社会公众的监督，承担社会 责任。 第七条 服务提供者承接建设、运营网络或者通过网络 提供服务，应当依照法律、行政法规的规定和国家标准的强 制性要求，采取技术措施和其他必要措施，保障网络安全、 稳定运行，有效应对网络安全事件，防范网络违法犯罪活动， 维护网络数据的完整性、保密性和可用性。 第八条 山东省信息网络安全协会标准化管理委员会组 建山东省信息安全服务等级评定专家委员会，按照本规范对 在山东省辖区内提供服务的服务提供者的级别评定工作，委 托山东省信息网络安全协会进行能力验证和证书管理。 第二章 网络安全服务的等级划分 第十一条 网络安全等级服务级别的划分。 不同安全保护等级的信息系统需要具有相应等级的网 络安全等级资质的服务提供者提供安全服务保障。服务提供 者的资质等级划分，根据其是否能够满足网络安全等级保护 中对不同级别信息系统的不同安全防护能力来划分。 按照网络等级保护等级划分规则，暂将全省网络安全等 级服务划分为四个等级，由低到高为：一级、二级、三级、 2 四级，其中第一级为最低级，第四级为最高级，分别与网络 安全等级保护中第一级、第二级、第三级、第四级相对应。 第一级服务提供者，可承担信息安全等级保护第一级重 要信息系统及重点互联网网站安全体系建设的规划、设计、 开发、建设、整改、检测、监测、运维、应急处置、灾难恢 复、能力培训等安全服务，并通过服务使重要信息系统和重 点互联网网站达到相应安全等级防护能力要求。 第二级服务提供者，可承担信息安全等级保护第二级及 以下等级重要信息系统及重点互联网网站安全体系建设的 规划、设计、开发、建设、整改、检测、监测、运维、应急 处置、灾难恢复等安全服务，并通过服务使重要信息系统和 重点互联网网站达到相应安全等级防护能力要求； 第三级服务提供者，可承担信息安全等级保护第三级及 以下等级重要信息系统及重点互联网网站安全体系建设的 规划、设计、开发、建设、整改、检测、监测、运维、应急 处置、灾难恢复、能力培训等安全服务，并通