T/BJCSA 02-2022 网络空间安全服务规范

ICS03.120.20T/BJCSA02-2022

A00

团体标准

T/BJCSA02-2022

网络空间安全服务规范

Specificationforcyberspacesecurityservices

2022-2-28发布2022-3-20实施

北京网络空间安全协会

发布

广东省网络空间安全协会

T/BJCSA02—2022

目录

前言......................................................................................................................................................................III

引言....................................................................................................................................................................IV

1范围......................................................................................................................................................................1

2规范性引用文件..................................................................................................................................................1

3术语和定义..........................................................................................................................................................1

4网络空间安全服务类型......................................................................................................................................2

5服务机构等级划分..............................................................................................................................................3

6通用评价要求......................................................................................................................................................3

6.1一级要求..................................................................................................................................................3

6.1.1机构资信.....................................................................................................................................3

6.1.2财务资信.....................................................................................................................................4

6.1.3办公场所.....................................................................................................................................4

6.1.4人员能力要求.............................................................................................................................4

6.1.5从业时间.....................................................................................................................................4

6.1.6经营业绩.....................................................................................................................................4

6.1.7管理要求.....................................................................................................................................4

6.1.8保密管理.....................................................................................................................................4

6.1.9合同管理.....................................................................................................................................4

6.2二级要求..................................................................................................................................................5

6.2.1机构资信.....................................................................................................................................5

6.2.2财务资信.....................................................................................................................................5

6.2.3办公场所.....................................................................................................................................5

6.2.4人员能力.....................................................................................................................................5

6.2.5从业时间.....................................................................................................................................5

6.2.6经营业绩.....................................................................................................................................5

6.2.7管理要求.....................................................................................................................................5

6.2.8保密管理.....................................................................................................................................6

6.2.9合同管理.....................................................................................................................................6

6.3三级要求..................................................................................................................................................6

6.3.1机构资信.....................................................................................................................................6

6.3.2财务资信.....................................................................................................................................6

6.3.3办公场所.....................................................................................................................................6

T/BJCSA02—2022

6.3.4人员能力.....................................................................................................................................6

6.3.5从业时间.....................................................................................................................................6

6.3.6经营业绩.....................................................................................................................................6

6.3.7管理要求.....................................................................................................................................7

6.3.8保密管理.....................................................................................................................................7

6.3.9合同管理.....................................................................................................................................7

6.3.10专业工具...................................................................................................................................7

6.4四级要求..................................................................................................................................................8

6.4.1机构资信.....................................................................................................................................8

6.4.2财务资信.....................................................................................................................................8

6.4.3办公场所.....................................................................................................................................8

6.4.4人员能力.....................................................................................................................................8

6.4.5从业时间.....................................................................................................................................8

6.4.6经营业绩.....................................................................................................................................8

6.4.7管理要求.....................................................................................................................................8

6.4.8保密管理.....................................................................................................................................9

6.4.9合同管理.....................................................................................................................................9

6.4.10专业工具...................................................................................................................................9

附录A(规范性附录)安全咨询服务专业能力评价要求.................................................................................10

附录B(规范性附录)安全集成服务专业能力评价要求.................................................................................17

附录C(规范性附录)安全运维服务专业评价要求.........................................................................................24

附录D(规范性附录)软件安全开发服务专业评价要求.................................................................................31

附录E(规范性附录)监测预警服务专业评价要求.........................................................................................40

附录F(规范性附录)应急响应服务专业评价要求.........................................................................................46

附录G(规范性附录）渗透测试服务专业评价要求.........................................................................................54

附录H(规范性附录）风险评估服务专业评价要求.........................................................................................64

附录I(规范性附录）安全审计服务专业评价要求.........................................................................................75

附录J(规范性附录）数据安全服务专业评价要求.........................................................................................83

附录K(规范性目录)工业控制系统安全服务专业评价要求........................................................................94

附录L(规范性附录）云计算安全服务专业评价要求.....................................................................................97

参考文献........................................................................................................................................................119

T/BJCSA02—2022

前言

本规范按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本规范由网安联认证中心有限公司提出，北京网络空间安全协会、广东省网络空间安全协会归口。

本规范起草单位：网安联认证中心有限公司、广东关键信息基础设施保护中心、湖南省网络空间

安全协会、陕西省信息网络安全协会、武汉市网络安全协会、广州华南信息安全测评中心、国源天顺

科技产业集团有限公司、南方电网数字电网研究院有限公司、广东省科技基础条件平台中心、联通

（广东）产业互联网有限公司、北京天融信网络安全技术有限公司四川分公司、广州百蕴启辰科技有

限公司、广东广信通信服务有限公司、成都深思天地计算机技术有限公司、广州市盛通建设工程质量

检测有限公司、福建省网络与信息安全测评中心。

本规范起草人：黄丽玲、成珍苑、张华兵、熊璐、伍阳军、姚灏、刘悦恒、刘纯纯、高松涛、利

传杰、李美芹、林小博、贺锋、王辉、周世刚、曹强、钟承峰、朱灿阳、陈宁、王巧巧、王卫亚、唐

锦奎、吴隶妍、吴星火、林勇忠、钟英南、张东、常磊、刘智强、王福，郑明亮。

北京网络空间安全协会、广东省网络空间安全协会不负责对任何该类专利的鉴别。

本规范首次修订。

III

T/BJCSA02—2022

引言

伴随信息革命的飞速发展，互联网、通信网、计算机系统、自动化控制系统、数字设备及其承载

的应用、服务和数据等组成的网络空间，正在全面改变人们的生产生活方式，深刻影响人类社会历史

发展进程，网络空间已经成为与陆地、海洋、天空、太空同等重要的人类活动新领域，国家主权拓展

延伸到网络空间，网络空间主权成为国家主权的重要组成部分。网络在给我们带来发展和生活便利的

同时，网络安全问题也日益凸显，网络违法犯罪、网络治安乱象、网络安全隐患等严重威胁网络空间

安全，国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战。

网络空间安全已经上升到国家战略高度。

如何确保信息网络的设施安全、运行安全和数据安全，备受社会各方关注。《中华人民共和国网

络安全法》、《数据安全法》、《个人信息保护法》正式实施，对如何强化网络安全管理、提高网络

产品和服务的安全可控水平等提出了明确的要求。在此环境下，众多为网络安全建设、安全运维、数

据安全可用提供技术性服务的机构应运而生、发展迅猛，已经形成规模庞大的信息网络安全服务产业。

这些服务机构的技术能力、工作规范及管理水平，直接影响着我国信息网络的安全。

制定《网络空间安全服务规范》（SpecificationforCyberspaceSecurityServices英文缩写

SCSS），按照标准要求实施网络安全服务机构等级认证，客观公正地评价服务机构的服务能力，有利

于规范市场秩序、杜绝不良企业涉足网络安全行业，促进信息网络安全服务行业的健康发展，切实保

护我国的信息网络安全。

IV

T/BJCSA02—2022

网络空间安全服务规范

1范围

本规范规定了网络空间安全服务机构（以下简称“服务机构”）应具备的基本资格、基本能力和

专业能力要求。

本规范适用于服务机构开展服务能力评价，可作为第三方认证机构对服务机构进行基本资格、基

本能力和专业能力评价的依据，为用户在维护信息网络安全工作中选择服务机构提供参考。

2规范性引用文件

下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规

范。凡是不注日期引用文件，其最新版本（包括所有的修改单）适用于本规范。

GB/T27000—2006合格评定词汇和通用原则

GB/T20984-2007信息安全技术信息安全风险评估规范

3术语和定义

下列术语和定义适用于本规范。

3.1

网络空间安全服务Cyberspacesecurityservice

在网络空间开展的安全咨询、安全集成、软件安全开发、安全运维、监测预警、应急响应、渗透

测试、安全审计、风险评估、数据安全、工控安全、云计算安全等安全服务。

3.2

网络空间安全服务机构Cyberspacesecurityserviceinstitution

按照合同或协议的约定提供网络空间安全服务的组织，通常称为网络安全服务提供商。

3.3

网络空间安全服务机构等级Cyberspacesecurityserviceinstitutiongrade

按照从业时间、机构资信、财务资信、制度及流程、人员状况、技术能力、专业能力等要求对网

1

T/BJCSA02—2022

络空间安全服务机构进行水平评价和服务等级划分。

4网络空间安全服务类型

4.1安全咨询

服务机构通过知识传递、工作辅导和系统规划等提供的咨询服务，主要包括安全规划、安全设计、

信息安全管理体系、业务连续性管理、数据安全管理、个人信息保护管理等咨询服务。

4.2安全集成

服务机构在网络空间信息系统集成过程中，提供的安全需求界定、设计、实施、保障等网络安全

服务。

4.3软件安全开发

服务机构在网络空间信息系统软件开发过程中，提供的安全需求分析、安全设计、安全编码、安

全测试等提高软件安全质量的服务。

4.4安全运维

服务机构在网络空间信息系统运维过程中，提供的安全巡检、安全加固、病毒查杀、备份和恢复、

安全优化等安全服务，协助服务对象提高信息系统保障防护能力。

4.5监测预警

服务机构在网络空间信息系统保障工作中，提供的恶意代码和攻击监测、安全态势感知和安全通

报等安全服务，协助服务对象及时发现网络安全风险并进行持续跟踪、分析、预警和上报。

4.6应急响应

服务机构在网络空间信息系统保障工作中，提供的应急响应预案编制、演练测试、应急处置、系

统恢复等安全服务，最大程度减少事件造成的影响和损失，协助服务对象提高服务对象应对各类突发

事件的能力。

4.7风险评估

服务机构在网络空间信息系统保障工作中，对信息系统的资产价值、潜在威胁、薄弱环节、已采

取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的服务，

协助服务对象增强网络安全风险管控。

4.8渗透测试

2

T/BJCSA02-2022

服务机构在网络空间信息系统保障工作中，通过模拟网络安全攻击，进行非破坏性测试，发现安

全漏洞、隐患及攻击路径，将入侵过程和漏洞细节报告服务对象，提出详细、合理的修复建议，指导

其进行整改、清除安全隐患、降低安全风险，为服务对象信息系统的平稳运行提供安全保障。

4.9安全审计

服务机构在网络空间信息系统保障工作中，通过收集和分析审计证据，检查和促进服务对象信息

系统及其内部控制的真实性、正确性、完整性、安全性和可靠性等要素，协助服务对象符合国家法律

法规要求，确保系统稳定、可靠、安全运行。

4.10数据安全

服务机构在网络空间信息系统保障工作中，通过采取必要措施，提供数据收集、存储、使用、加

工、传输、提供、公开等数据处理全过程安全服务，协助服务对象确保数据处于有效保护和合法利用

的状态，以及具备保障持续安全状态的能力。

4.11工业控制系统安全

服务机构在网络空间工业控制系统保障工作中，提供系统调研、安全评估、安全设计、安全加固、

体系建设等服务，协助服务对象保障工业控制系统连续正常运行。

4.12云计算安全

服务机构在网络空间云计算保障工作中，提供基础设施安全保障、虚拟化和容器安全、应用安全、

数据保护等服务，协助服务对象符合法律法规规定，确保云计算系统可靠稳定运行。

5服务机构等级划分

网络空间安全服务规范包含通用评价要求和专业能力评价要求。通用评价要求包含基本资格、基

本能力，如机构资信、财务资信、人员状况、办公场所、从业时间、经营业绩、管理制度、合同管理、

保密管理、专业工具等，具体要求见第6章。不同方向的专业能力要求各不相同，各方向具体要求见规

范性附录A-L。依据服务机构的基本资格、基本能力和专业能力分为一级、二级、三级、四级，其中四

级最高，一级最低。

6通用评价要求

6.1一级要求

6.1.1机构资信

具有中华人民共和国境内注册的独立法人资格，产权关系明确，具有相应的经营范围。

3

T/BJCSA02—2022

6.1.2财务资信

有健全的财务管理制度，财务数据真实可信。

6.1.3办公场所

具有固定的办公场所和相应的办公条件，能够满足机构设置及其业务需要。

6.1.4人员能力要求

服务机构的服务人员要求：

a)机构负责人应拥有1年以上信息技术领域管理经历。

b)技术负责人应从事网络空间安全技术工作1年以上。

c)有网络空间安全技术服务人员5名以上，其中应有与申报类别一致的网络空间安全专业人员认

证证书2名以上。

6.1.5从业时间

首次申请不做要求。

6.1.6经营业绩

首次申请不做要求，维持资格最少完成一个1个与申报类别一致的网络空间安全服务项目。

6.1.7管理要求

a)建立人力资源管理制度，明确安全服务人员的岗位职责、技术能力要求，并通过评价证明其

能够胜任其承担的职责。

b)建立服务人员培训管理制度，包括网络空间安全相关的技术、管理、意识等内容，并有效落

实，确保服务人员持续胜任其承担的职责。

c)建立文档管理制度，明确文档管理职责，并能有效控制文档产生、发布、保存、传输、使用、

废弃等。

d)建立项目管理制度，明确服务项目的组织、计划、实施、交付等环节的操作规程。

e)建立供应商管理制度，确保其供应商满足服务安全要求（仅适用于安全集成、安全运维）。

6.1.8保密管理

建立保密管理制度，明确岗位保密责任，签订保密协议，并能够适时对相关人员进行保密教育。

6.1.9合同管理

a)建立合同管理制度；

4

T/BJCSA02-2022

b)合同内容应具有明确的服务范围，服务内容和方法，符合网络安全法律法规要求，应具有保

护客户的敏感信息和知识产权条款。

6.2二级要求

6.2.1机构资信

具有中华人民共和国境内注册的独立法人资格，产权关系明确，具有相应的经营范围。

6.2.2财务资信

有健全的财务管理制度，财务数据真实可信，近1年经营状况良好。

6.2.3办公场所

具有固定的办公场所和相应的办公条件，能够满足机构设置及其业务需要。

6.2.4人员能力

安全服务机构的服务人员要求：

a)机构负责人应拥有2年以上信息技术领域管理经历。

b)技术负责人应从事网络空间安全技术工作2年以上。

c)有网络空间安全技术服务人员8名以上，其中应有与申报类别一致的网络空间安全专业人员

认证证书3名以上。

6.2.5从业时间

从事与申报类别一致的网络空间安全服务1年以上。

6.2.6经营业绩

近三年内应签订并完成至少2个与申报类别一致的网络空间安全服务项目。

6.2.7管理要求

服务机构的管理要求：

a)建立人力资源管理制度，明确安全服务人员的岗位职责、技术能力要求，并通过评价证明其

能够胜任其承担的职责。

b)建立服务人员培训管理制度，包括网络空间安全相关的技术、管理、意识等内容，并有效落

实，确保服务人员持续胜任其承担的职责。

c)建立文档管理制度，明确文档管理职责，并能有效控制文档产生、发布、保存、传输、使用、

废弃等。

5

T/BJCSA02—2022

d)建立项目管理制度，明确服务项目的组织、计划、实施、交付等环节的操作规程。

e)建立供应商管理制度，确保其供应商满足服务安全要求（仅适用于安全集成、安全运维）。

6.2.8保密管理

制定保密管理制度，明确岗位保密责任，对服务对象敏感信息和知识产权予以保护，与相关人员

签订保密协议，并进行保密教育。

6.2.9合同管理

服务机构的合同管理要求：

a)建立合同管理制度。

b)具有健全的合同评审程序。

c)合同内容应具有明确的服务范围，服务内容和方法，符合网络安全法律法规要求，应具有保

护客户的敏感信息和知识产权条款。

6.3三级要求

6.3.1机构资信

具有中华人民共和国境内注册的独立法人资格，产权关系明确，具有相应的经营范围。

6.3.2财务资信

有健全的财务管理制度，财务数据真实可信，近3年经营状况良好。

6.3.3办公场所

具有固定的办公场所和相应的办公条件，能够满足机构设置及其业务需要。

6.3.4人员能力

服务机构的服务人员要求：

a)机构负责人应拥有3年以上信息技术领域管理经历。

b)技术负责人应从事网络空间安全技术工作3年以上。

c)具有网络空间安全技术服务人员20名以上，其中应有与申报类别一致的网络空间安全专业人

员认证证书8名以上。

6.3.5从业时间

从事与申报类别一致的网络空间安全服务3年以上，或取得网络空间安全服务资质2级满1年以上。

6.3.6经营业绩

6

T/BJCSA02-2022

近三年内应签订并完成至少6个与申报类别一致的网络空间安全服务项目。

6.3.7管理要求

服务机构的管理要求：

a)建立人力资源管理制度，明确安全服务人员的岗位职责、技术能力要求，并通过评价证明其

能够胜任其承担的职责。

b)建立服务人员培训管理制度，包括网络空间安全相关的技术、管理、意识等内容，并有效落

实，确保服务人员持续胜任其承担的职责。

c)建立文档管理制度，明确文档管理职责，并能有效控制文档产生、发布、保存、传输、使用、

废弃等，应配备专门的档案室及高安全性的文件服务器。

d)建立项目管理制度，明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程，

能有效跟踪和控制项目风险。

e)建立供应商管理制度，明确供应商或外包过程中的风险，对供应商或承包方的服务基本资格、

服务过程控制、服务质量、服务交付等进行识别，确保其供应商或承包方满足服务安全要求

（仅适用于安全集成、安全运维）。

6.3.8保密管理

制定保密管理制度，明确岗位保密责任，对服务对象敏感信息和知识产权予以保护，与相关人员

签订保密协议，并进行保密教育。

6.3.9合同管理

服务机构的合同要求：

a)建立合同管理制度。

b)具有健全的合同评审程序。

c)合同内容应具有明确的服务范围，服务内容和方法，符合网络安全法律法规要求，应具有保

护客户的敏感信息和知识产权条款。

6.3.10专业工具

服务机构的专业工具要求：

a)具备独立的测试环境及必要的软、硬件设备，用于技术培训和模拟测试。

b)具备承担与申报类别一致的网络安全服务项目所需的安全工具，并对工具进行管理和版本控

制。

7

T/BJCSA02—2022

6.4四级要求

6.4.1机构资信

具有中华人民共和国境内注册的独立法人资格，产权关系明确，具有相应的经营范围。

6.4.2财务资信

有健全的财务管理制度，财务数据真实可信，近3年经营状况良好。

6.4.3办公场所

具有固定的办公场所和相应的办公条件，能够满足机构设置及其业务需要。

6.4.4人员能力

服务机构的服务人员要求：

a)机构负责人应拥有5年以上信息网络技术领域管理经历。

b)技术负责人应从事网络空间安全技术工作5年以上。

c)具有网络空间安全技术服务人员30名以上，其中拥有与申报类别一致的网络空间安全专业人

员认证证书12名以上。

6.4.5从业时间

从事与申报类别一致的网络空间安全服务5年以上，或取得网络空间安全服务资质3级满1年以上。

6.4.6经营业绩

近三年内应签订并完成至少10个与申报类别一致的网络空间安全服务项目。

6.4.7管理要求

服务机构的管理要求：

a)建立人力资源管理制度，明确安全服务人员的岗位职责、技术能力要求，并通过评价证明其

能够胜任其承担的职责。

b)应建立服务人员培训管理制度，包括网络空间安全相关的技术、管理、意识等内容，并有效

落实，确保服务人员持续胜任其承担的职责。

c)建立文档管理制度，明确文档管理职责，并能有效控制文档产生、发布、保存、传输、使用、

废弃等，应配备专门的档案室及高安全性的文件服务器。

d)建立项目管理制度，明确服务项目的组织、计划、实施、风险控制、交付等环节的操作规程，

能有效跟踪和控制项目风险。

8

T/BJCSA02-2022

e)建立供应商管理制度，明确供应商或外包过程中的风险，对供应商或承包方的服务基本资格、

服务过程控制、服务质量、服务交付等进行识别，确保其供应商或承包方满足服务安全要求

（仅适用于安全集成、安全运维）。

f)参照国际或国内标准，建立覆盖信息网络安全服务的质量管理体系并有效运行一年以上。

g)参照国际或国内标准，建立信息安全管理体系并有效运行一年以上。

6.4.8保密管理

建立保密管理制度，明确岗位保密责任，对服务对象敏感信息和知识产权予以保护，与相关人员

签订保密协议，并进行保密教育。

6.4.9合同管理

a)建立合同管理制度。

b)具有健全的合同评审程序。

c)合同内容应具有明确的服务范围，服务内容和方法，符合网络安全法律法规要求，应具有保

护客户的敏感信息和知识产权条款。

6.4.10专业工具

服务机构的专业工具要求：

a)具备独立的测试环境及必要的软、硬件设备，用于技术培训和模拟测试；

b)具备承担与申报类别一致的网络安全服务项目所需的安全工具，并对工具进行管理和版本控

制。

9

T/BJCSA02—2022

附录A

(规范性附录)

安全咨询服务专业能力评价要求

A1一级要求

A1.1基本资格

首次申请不做要求，维持资格最少完成1个安全咨询服务项目。

A1.2准备阶段

A1.2需求调研和分析

a)开展项目前期调研，了解服务对象安全现状，确定客户需求。

b)根据客户需求、项目目标和前期调研结果，分析与有关标准要求的差距，形成需求分析报

告。

c)与服务对象相关方充分沟通，就需求情况达成共识并形成记录。

A1.3人员和工具准备

a)组建项目团队，包括技术咨询人员和管理咨询人员，指定项目负责人。

b)根据项目需求准备必要的工具。

c)对项目团队实施安全咨询服务前的培训。

A1.3方案设计阶段

a)编制安全咨询服务方案和安全咨询服务模板，并在项目实施过程中按照模板实施。

b)编制安全咨询服务方案，方案应包含安全咨询服务准则。

A1.4实施阶段

A1.5安全咨询记录

a)面向组织操作层，了解组织业务流程、技术应用和数据开发利用情况。

b)形成安全咨询服务的解决方案。

c)按照服务能力要求实施管理活动并记录，确保服务能力管理和服务过程实施可追溯，服

务结果可度量或可评估。

A1.6安全咨询结果

10

T/BJCSA02-2022

a)提交满足安全咨询服务方案的结果。

b)根据调查及分析结果，为解决问题制定改善方案，并对其可行性和实效性进行评价，必要

时对安全服务方案进行修改。

A1.7改进阶段

a)建立客户满意度调查机制，对服务能力实施的结果进行评价，支持服务改进。

b)识别改进项目，制定持续改进计划。

A2二级要求

A2.1基本资格

近三年内签订并完成至少2个安全咨询服务项