ICS 35.030 CCSL80
中华人民共和国国家标准
GB/T43741-2024
网络安全技术网络安全众测服务要求
Cybersecuritytechnology Requirements for crowdsourcing security test services
2024-04-25发布2024-11-01实施
国家市场监督管理总局发布 国家标准化管理委员会
GB/T43741-2024
目次
前言 引言 1范围 2规范性引用文件 3术语和定义 4通则 4.1角色及职责 4.2服务流程 4.3安全风险 5服务要求 5.1准备阶段服务要求 5.2实施阶段服务要求 5.3后处理阶段服务要求 附录A(资料性)网络安全众测服务平台功能8 附录B(规范性)授权测试方行为准则
GB/T43741-2024
前言
起草。
请注意本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:国家计算机网络应急技术处理协调中心、中国电子技术标准化研究院、国家信息 技术安全研究中心、阿里云计算有限公司、奇安信网神信息技术(北京)股份有限公司、中国移动通信集 团有限公司、中国科学院软件研究所、上海斗象信息科技有限公司、北京天融信网络安全技术有限公司、 中通服咨询设计研究院有限公司、上海文信息科技有限公司、蚂蚁科技集团股份有限公司、杭州安恒 信息技术股份有限公司、北京市政务安全保障中心(北京信息安全测评中心)、北京东方通网信科技有限 公司、北京众安天下科技有限公司、北京奇虎科技有限公司、中国工业互联网研究院、启明星辰信息技术 集团股份有限公司、北京数字观星科技有限公司、中国电子科技网络信息安全有限公司。
本文件主要起草人:云晓春、王文磊、耿冬梅、刘贤刚、张大江、舒敏、孙彦、杨晨、高继明、王宏、 严寒冰、何能强、董航、王惠莅、邓萍萍、俞斌、崔婷婷、李媛、胡鸣、王俊杰、郭亮、闫宏石、王、邱勤、 左敏、胡晓娜、查奇文、张奇、杨蔚、李旭楠、严定宇、伍俊毓。
51C
I
GB/T43741-2024
引1言
《中华人民共和国网络安全法》第二十七条规定“任何个人和组织不得从事非法侵人他人网络、干
络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具”。
本文件在遵守国家相 应的法律法规和技术标准要求的基础上,紧密围绕国内网络安全众测服务的发展实践和需求,提出了网 络安全众测服务要求。
S2C
Ⅱ
GB/T43741-2024
网络安全技术网络安全众测服务要求
1范围
本文件描述了网络安全众测服务的角色及其职责,服务流程,以及安全风险,规定了服务要求。
本文件适用于网络安全众测服务活动。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。
其中,注日期的引用文
本文件。
GB/T25069-2022信息安全技术术语 GB/T28458-2020信息安全技术网络安全漏洞标识与描述规范 GB/T30276一2020信息安全技术网络安全漏洞管理规范 GB/T35273信息安全技术个人信息安全规范
3术语和定义
GB/T25069一2022和GB/T28458一2020界定的以及下列术语和定义适用于本文件。
3.1 网络安全众测服务crowdsourcingsecuritytestservice 以众包和自愿的方式组织非特定的自然人或组织,对网络产品和系统等开展漏洞发现等安全测试 的过程。
注1:网络安全众测服务符合国家漏洞有关管理规定。
注2:关键信息基础设施的网络安全众测服务在网络安全主管部门和保护工作部门的指导下进行。
3.2 众测需求方crowdsourcingtestdemand-side 需要网络安全众测服务(3.1)的组织。
注:众测需求方拥有对测试对象的权,与众测组织方(3.3)签订授权测试协议,并授权众测组织方组织授权测试 方(3.4)开展网络安全众测服务(3.1)。
3.3 众测组织方crowdsourcingtestprovider 在众测需求方(3.2)授权下,组织符合众测需求方要求的授权测试方(3.4)开展网络安全众测服务 (3.1)的组织。
3.4 授权测试方authorizedtestentity 获得众测组织方(3.3)授权对测试对象进行安全测试的自然人或组织。
3.5 众测审计方crowdsourcingtestauditingentity 网络安全众测服务(3.1)过程中进行审计及监督的组织。
1...
