ICS 35. 240. 99 C07 国 体 标 准 T/GDNS010-2023 网络安全服务责任及损失评估 Cybersecurity service liability and loss assessment 2023-04-19发布 2023-04-24实施 广东省计算机信息网络安全协会发布
T/GDNS 目录 月 前 1范围. 2规范性引用文件.
3术语和定义.
4网络安全服务责任及损失评估 2 4.1专家评审..... 2 4.1.1抽取评审专家. 4.1.2评审专家组成员要求, 4.1.3评审专家回避情形 3 4.2网络安全服务责任评估, 3 4.2.1检测评估服务履责评估, 3 4.2.1.1服务准备, 4.2.1.2服务实施, 4.2.1.3服务结算, 4.2.2安全运维服务履责评估, 4.2.2.1服务准备, 5 4.2.2.2服务实施. 5 4.2.2.3服务检查, 4.2.2.4服务改进, 6 4.2.3安全咨询服务履责评估. 6 4.2.3.1服务准备 4.2.3.2服务实施, 4.2.3.4服务评估, 4.2.4灾难恢复服务履责评估 4.2.4.1服务准备, 8 4.2.4.2服务实施, 8 4.2.4.3运行维护, 4.3网络安全事件损失评估 4.3.1损失评估原则. 9 4.3.1.1基本原则, 4.3.1.2损失评估的具体原则.
4.3.2损失评估方法, 10 4.3.2.1网络安全事件违约损失评估方法 01 4.3.2.2网络安全事件损失评估方法 11 4.4网络安全事件评审意见, 12 4.4.1客观事实描述, 12 4.4.2责任定性意见 12 4.4.3损失定量意见, 13 4.4.4责任划分比例, 13
T/GDNS0102023 前言 本标准按照GB/T1.1《标准化工作导则第1部分:标准化文件的结构和起草规则》要求编写.
本规范由广东省计算机信息网络安全协会提出并归口.
本规范起草单位:广东省计算机信息网络安全协会、广东省人民医院、南方医科大学南方医院、 中山大学附属第一医院、中国人民解放军南部战区总医院、中山大学附属口腔医院、中山大学附属肿瘤 医院、中山大学附属第三医院、南方医科大学附属第三医院、肇庆市第一人民医院、中山大学附属第三 医院肇庆医院、中山大学附属第五医院、广东省妇幼保健院、广州医科大学附属第一医院、广州医科大 学附属第二医院、广州医科大学附属第五医院、广州医科大学附属市八医院、广州市妇女儿童医疗中心、 广东药科大学附属第一医院、暨南大学附属第一医院、广州市番禺区中心医院、香港大学深圳医院、东 莞市第六人民医院、顺德区第三人民医院、江门市中心医院、清远市人民医院、茂名市人民医院、阳江 市人民医院、粤北人民医院、广州市番禺区卫生健康局、广州大学、广东轻工职业技术学院、江泰保险 经纪股份有限公司广东营业部、广东创医元信息技术有限公司、广东和谐医患纠纷人民调解委员会、广 东北源律师事务所、广东天商律师事务所、北京鼎世律师事务所、广东安证计算机司法鉴定所、工业和 信息化部电子第五研究所(中国赛宝实验室)、深圳市网安计算机安全检测技术有限公司、深信服科技 股份有限公司、广东珠江智联信总科技股份有限公司、深圳市博通智能技术有限公司、广州粤安网络技 术有限公司、绿盟科技集团股份有限公司广州分公司、广州竞远安全技术股份有限公司、北京市关元律 师事务所、奇安信安全技术(广东)有限公司、深圳市智安网络有限公司、深圳观安信息技术有限公司、 广东物壹信息科技股份有限公司、广东南方信息安全研究院、北京永信至诚科技股份有限公司、锐捷网 络股份有限公司、广东致盛技术有限公司、赛安科技(广东)有限公司.
本规范主要起草人:杨洋、黄振毅、严静东、余俊蓉、赵霞、高峰、任忠、银琳、张家庆、陈翔、 范年丰、周欣、赖志存、陈智、杨广黔、李斌、黄波、曹晓均、陈义良、钟军锐、黄幸青、庞勤、熊劲 光、郑华国、温明锋、邓联丙、李卫昌、曾幸辉、廖茂成、严晓明、邓晓辉、陈永辉、吴龙、刘翰腾、 曾艺、李进、刘泽华、卢正山、汪林、陈思宇、王健英、植吕梅、许瑞凤、陈玉婷、庞理鹏、朱宣烨、 魏智煌、魏光辉、鄞帅、龙军、吴瑞、彭世强、成嘉轩、黄志敏、谭鑫、周灵军、罗晓明、叶国伦、王 君、陈明阳、周绪、彭丽超、才华、林伟照、田洪烈、庄泽帆、胡禹.
Ⅱ
T/GDNS 1范围 本标准给出了网络安全服务的责任及损失评估实施人员、过程、原则和方法、以及评审意见编写要 求.
本标准适用于网络安全服务评价活动,为划分网络安全服务责任及评估损失提供参考.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款,其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T20984信息安全技术信息安全风险评估方法 GB/T22080信息技术安全技术信息安全管理体系要求 GB/T25069信息安全技术术语 GB/T32914信息安全技术网络安全服务能力要求 GB/T37961信息技术服务服务基本要求 GB/Z20986信息安全技术信息安全事件分类分级指南 GB/T36626信息安全技术信息系统安全运维管理指南 GB/T28827.2信息技术服务运行维护第2部分:交付规范 GB/T28827.3信息技术服务运行维护第3部分:应急响应规范 GB/T36463.1信息技术服务咨询设计第1部分:通用要求 GB/T36463.2信息技术服务咨询设计第2部分:规划设计指南 T/SHMHZQ088信息技术对外服务咨询服务规范 GB/T36957信息安全技术灾难恢复服务要求 3术语和定义 GB/T25069-2022界定的以及下列术语和定义适用于本文件.
3.1网络安全服务cybersecurity service
