路径: 主页 > GB/T > 第206页 > GB/T 43741-2024 | 标准编号 | GB/T 43741-2024 (GB/T43741-2024) | | 中文名称 | 网络安全技术 网络安全众测服务要求 | | 英文名称 | Cybersecurity technology - Requirements for crowdsourcing security test services | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 14,191 | | 发布日期 | 2024-04-25 | | 实施日期 | 2024-11-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 43741-2024: 网络安全技术 网络安全众测服务要求
ICS 35.030
CCSL80
中华人民共和国国家标准
网络安全技术 网络安全众测服务要求
2024-04-25发布
2024-11-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
引言 Ⅱ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 通则 2
4.1 角色及职责 2
4.2 服务流程 3
4.3 安全风险 4
5 服务要求 4
5.1 准备阶段服务要求 4
5.2 实施阶段服务要求 5
5.3 后处理阶段服务要求 7
附录A(资料性) 网络安全众测服务平台功能 8
附录B(规范性) 授权测试方行为准则 11
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:国家计算机网络应急技术处理协调中心、中国电子技术标准化研究院、国家信息
技术安全研究中心、阿里云计算有限公司、奇安信网神信息技术(北京)股份有限公司、中国移动通信集
团有限公司、中国科学院软件研究所、上海斗象信息科技有限公司、北京天融信网络安全技术有限公司、
中通服咨询设计研究院有限公司、上海文鳐信息科技有限公司、蚂蚁科技集团股份有限公司、杭州安恒
信息技术股份有限公司、北京市政务安全保障中心(北京信息安全测评中心)、北京东方通网信科技有限
公司、北京众安天下科技有限公司、北京奇虎科技有限公司、中国工业互联网研究院、启明星辰信息技术
集团股份有限公司、北京数字观星科技有限公司、中国电子科技网络信息安全有限公司。
本文件主要起草人:云晓春、王文磊、耿冬梅、刘贤刚、张大江、舒敏、孙彦、杨晨、高继明、王宏、
严寒冰、何能强、董航、王惠莅、邓萍萍、俞斌、崔婷婷、李媛、胡鸣、王俊杰、郭亮、闫宏石、王龑、邱勤、
左敏、胡晓娜、查奇文、张奇、杨蔚、李旭楠、严定宇、伍俊毓。
引 言
《中华人民共和国网络安全法》第二十七条规定“任何个人和组织不得从事非法侵入他人网络、干
扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网
络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具”。本文件在遵守国家相
应的法律法规和技术标准要求的基础上,紧密围绕国内网络安全众测服务的发展实践和需求,提出了网
络安全众测服务要求。
网络安全技术 网络安全众测服务要求
1 范围
本文件描述了网络安全众测服务的角色及其职责,服务流程,以及安全风险,规定了服务要求。
本文件适用于网络安全众测服务活动。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 25069-2022 信息安全技术 术语
GB/T 28458-2020 信息安全技术 网络安全漏洞标识与描述规范
GB/T 30276-2020 信息安全技术 网络安全漏洞管理规范
GB/T 35273 信息安全技术 个人信息安全规范
3 术语和定义
GB/T 25069-2022和GB/T 28458-2020界定的以及下列术语和定义适用于本文件。
3.1
以众包和自愿的方式组织非特定的自然人或组织,对网络产品和系统等开展漏洞发现等安全测试
的过程。
注1:网络安全众测服务符合国家漏洞有关管理规定。
注2:关键信息基础设施的网络安全众测服务在网络安全主管部门和保护工作部门的指导下进行。
3.2
需要网络安全众测服务(3.1)的组织。
注:众测需求方拥有对测试对象的所有权,与众测组织方(3.3)签订授权测试协议,并授权众测组织方组织授权测试
方(3.4)开展网络安全众测服务(3.1)。
3.3
在众测需求方(3.2)授权下,组织符合众测需求方要求的授权测试方(3.4)开展网络安全众测服务
(3.1)的组织。
3.4
授权测试......
|