《计算机信息系统安全服务规范》编写说明.pdfVIP

团体标准《计算机信息系统安全服务规范》编制说明

一、工作简况

1.1任务来源

《计算机信息系统安全服务规范》由北京网络空间安全协会、广

东省网络空间安全协会归口管理。

1.2主要起草单位和工作组成员

本标准由网安联认证中心牵头，广州电力设计院有限公司、国源

天顺科技产业集团有限公司、广东关键信息基础设施保护中心、广东

新兴国家网络安全和信息化发展研究院、广州华南检验检测中心有限

公司等多家单位共同参与编制。

1.3主要工作过程

（1）2023年10月，标准正式立项；

（2）2023年11-12月，组织参与本标准编写的人员召开项目启

动会，成立规范编制小组，确立各自分工，进行初步设计，并听取各

参与单位的相关意见；

（3）2024年1-3月，编制组召开组内研讨会并结合充分的调研

结果，参考各类国家标准和相关政策文件，形成标准草案第一稿，后

期经内部深入讨论研究，形成第二稿；

（4）2024年4月，编制组继续召开组内研讨会，基于前期成果，

经多次内部讨论研究，进一步对草案进行认真修改完善，形成征求意

见稿。

1/6

二、标准编制原则和标准编制详细说明及解决的主要问题

2.1编制原则

本标准的研究与编制工作遵循以下原则：

（1）符合性原则

本标准使用时能够与法律法规和国家强制性标准的要求保持一

致，符合国家相关主管部门的要求。

（2）实用性原则

本标准规范是对实际工作成果的总结与提升，保持整体结果合理

且维持原意和功能不变的同时，针对需求群体，做到可操作、可用与

实用。

2.2文档结构

《计算机信息系统安全服务规范》标准文档分为前言、引言、范

围、规范性引用文件、术语和定义、安全服务机构等级划分、安全服

务机构评定标准、安全服务机构基本能力要求、安全服务机构分级能

力要求、安全服务机构服务能力过程要求、评定方法等部分。

2.3整体格式

整体格式根据GB/T1.1-2020《标准化工作导则第1部分：标

准化文件的结构和起草规则》的相关要求，对本标准的各要素进行编

写和排版。

在标准内容汇总过程中，对各编写组成员提交部分，根据GB/T

1.1-2020的编写要求进行了必要的增删改，以确保符合一致性、协

调性、易用性等文件的表述原则及相关规定。

2/6

2.4标准名称英文翻译

标准的名称“计算机信息系统安全服务规范”翻译为

Specificationforsecurityservicesofcomputerinformation

system。

2.5术语和定义

术语和定义中所列的术语的英文翻译，如有类似术语的标准，参

考了其翻译，没有类似术语标准翻译的，通过百度翻译和谷歌翻译后

进行对比，并参考网络相关翻译后进行确定。

2.6安全服务机构等级划分

本章阐述了安全服务机构等级的划分，依据安全服务机构的基本

条件、基本资格、管理能力、技术服务能力等分为一级、二级、三级、

四级，其中一级最高，四级最低。

2.7安全服务机构评定标准

本章主要介绍了安全服务机构等级评定要求包含基本能力要求、

分级能力要求和服务能力过程要求。

2.8安全服务机构基本能力要求

本章介绍了安全服务机构应具备的基本条件包括具有中华人民

共和国境内注册的独立法人资格，并具有相关部门颁发的合法经营资

格；拥有长期固定的办公场所，具有能满足业务需求的设备和环境；

遵守国家现行法律、法规，无违法记录等条件。

安全服务机构应具备的基本管理能力包括建立人员管理制度和

能力考核指标，制定相关培训计划，定期开展培训；建立文档管理制

3/6

度，确保项目文档资料妥善保管；建立质量管理制度，跟踪服务质量，

并能对服务质量进行持续改进等。

安全服务机构应具备的基本技术能力包括具备评估系统安全威

胁的能力、评估系统脆弱性的能力、评估安全对系统的影响的能力、

评估系统安全风险的能力、确定系统安全需求的能力、确定系统的安

全输入的能力、安全控制管理的能力、监