网站安全测评服务安全评价技术要求.pdfVIP

ICSXX.XXX

XXX

备案号：XXXX-XXXXRB

中华人民共和国认证认可行业标准

RB/T××××—××××

网站安全测评服务安全评价技术要求

SecurityevaluationrequirementsforWebsecuritytestservices

（公开征求意见稿）

××××-××-××发布××××-××-××实施

中华人民共和国国家质量监督检验检疫总局

发布

国家认证认可监督管理委员会

RB××××—××××

2

RB××××—××××

目次

目次3

前言5

引言6

1范围7

2规范性引用文件7

3术语和定义7

3.1网站Web7

3.2网站安全Websecurity7

3.3网站安全测评Websecuritytest7

3.4网站安全测评工具Websecuritytesttool7

3.5网站安全测评人员personnelofWebsecuritytest7

3.6网站安全测评服务提供方Websecuritytestserviceprovider7

3.7网站安全测评服务需求方Websecuritytestservicedemander8

3.8渗透测试penetrationtesting8

4网站安全测评服务安全原则8

4.1可信性8

4.2保密性8

4.3透明性8

4.4可控性8

5网站安全测评服务安全风险分析8

5.1概述8

5.2组织建设风险8

5.3测评过程风险9

5.4技术和工具风险9

6组织建设要求9

6.1组织机构9

3

RB××××—××××

6.2人力资源与培训10

7服务过程要求10

7.1管理制度10

7.2测评准备11

7.3测评实施11

7.4交付和改进12

8技术和工具要求13

8.1技术能力13

8.2测评交互13

8.3渗透性测试13

8.4新工具和技术引入13

8.5测评过程安全13

8.6数据安全14

8.7工具安全14

附录A（资料性附录）15

参考文献15

4

RB××××—××××

前言

本标准按照GB/T1.1-2009的规则起草。

本标准的附录。

本标准由国家认证认可监督管理委员会提出并归口。

本标准起草单位：中国网络安全审查技术与认证中心、北京邮电大学、中国电子科技集团公司第十

五研究所、北京信息安全测评中心、北京红戎信安技术有限公司、北京安信多乐科技有限公司

本标准主要起草人：樊华、寇春晓、陆月明、锁延峰、李媛、何志明、杜霖、甘杰夫、胡石、郑潇

潇、翟亚红、段静辉、阚明、刘珺珺、华铎

5

RB××××—××××