ICS 33.240 YD CCS M21 中华人民共和国通信行业标准 YD/T 2669—2024 代替YD/T 2669—2013 电信网和互联网 第三方安全服务能力评定准则 Evaluation criteria for competence of third party security service provider in telecom network and internet 2024-12-10 发布 2025-04-01实施 中华人民共和国工业和信息化部 发布 YD/T 2669—2024 次 目 前言 III 范围. 2规范性引用文件 3术语和定义. 电信网和互联网第三方安全服务类型概述. 4 风险评估.. 4.1 4.2安全设计与集成.. 2 4.3 应急响应 4.4安全培训.. 4.5 数据治理... 电信网和互联网第三方安全服务能力等级的评判原则 5 2 电信网和互联网第三方安全服务能力评定通用性要求 6 一级通用要求.…. 6.1 6.2 二级通用要求.. 6.3 三级通用要求， 6 7电信网和互联网第三方安全风险评估服务能力评定要求 一级能力评定要求， 7.1 7.2 二级能力评定要求 8 三级能力评定要求 7.3 9 电信网和互联网第三方安全设计与集成服务能力评定要求 一级能力评定要求, 8.1 .9 8.2 二级能力评定要求 10 8.3 三级能力评定要求 11 9电信网和互联网第三方应急响应服务能力评定要求 12 一级能力评定要求， 9.1 .12 9.2 二级能力评定要求， .13 9.3 三级能力评定要求 14 10电信网和互联网第三方安全培训服务能力评定要求 15 10.1一级能力评定要求. .15 10.2二级能力评定要求， 15 10.3三级能力评定要求 16 11电信网和互联网第三方数据治理服务能力评定要求 17 11.1一级能力评定要求 17 1 YD/T 2669—2024 二级能力评定要求 11.2 .18 11.3 三级能力评定要求 .19 附录A（规范性）关键信息基础设施服务能力评价要求 参考文献.. .23 II YD/T 2669—2024 前言 起草。 本文件代替YD/T2669一2013《电信网和互联网第三方安全服务能力评定准则》，与YD/T2669 2013相比，除结构调整和编辑性改动外，主要技术变化如下： a）删除了“电信网和互联网安全等级”“电信网和互联网安全等级保护”的术语和定义（见2013 年版3.1.6、3.1.7）； b）i 调整了“电信网和互联网第三方安全服务”与“电信网和互联网第三方安全服务能力等级”术 语和定义的顺序（见3.1和3.2，2013年版的3.1.7和3.1.8）； c） 增加了“关键信息基础设施安全服务能力”的术语和定义（见3.3）； f(p 删除了“缩略语”（见2013版3.2）； 增加了“应急响应”“安全培训”“数据治理”3个类型（见4.3、4.4和4.5）； e） ）互 ：（）“三互， g） 将通用性要求细分为三级（见6.1、6.2和6.3，2013年版5）； i） 服务能力评定要求将等级“丙级”“乙级”“甲级”对应更改为“一级”“二级”“三级”（见 6.1、6.2、6.3、7.1、7.2、7.3、8.1、8.2 和 8.3，2013 年版 6.1、6.2、6.3、7.1、7.2 和 7.3）; 增加了“电信网和互联网第三方应急响应服务能力评定要求”（见9）； j） 增加了“电信网和互联网第三方安全培训服务能力评定要求”（见10）； k） 1）增加了“电信网和互联网第三方数据治理服务能力评定要求”（见11）； m）增加了“附录A关键信息基础设施服务能力评价要求”（见附录A）； n）增加了对于“供应链安全服务能力的要求”（见6.2.8、6.3.7供应链安全能力服务要求）； 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中 国联合网络通信集团有限公司、中国通信企业协会通信网络安全专业委员会。 本文件主要起草人：孟楠、戴方芳、黄媛媛、樊江华、曹硕、刘起良、赵泰、张侃、刘亚天、王娜、 张滨、魏来、曹一生、李刚、郑涛、王娜。 本文件及其所代替文件的历次版本发布情况为： ——2013年首次发布为YD/T2669—2013 一一本次为第一次修订。 III YD/T 2669—2024 电信网和互联网第三方安全服务能力评定准则 1范围 本文件规定了为电信网和互联网提供第三方安全服务的组织应具备的各类安全服务能力。 本文件适用于指导第三方评定和认证机构开展第三方安全服务能力的评定，可作为国家有关主管部 门开展监督管理、电信运营企业选择第三方服务组织的依据，也可以作为第三方安全服务提供商改进自 身能力的指导。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T19001一2016质量管理体系要求 GB/T22080一2016信息技术安全技术信息安全管理体系要求 GB/T25069信息安全技术术语 3术语和定义 GB/T25069和YD/T1730一2008界定的以及下列术语和定义适用于本文件。 3.1 电信网和互联网第三方安全服务the third party security service for telecom network and internet 为了适应电信网和互联网安全管理的需要，一个组织按照一定的合同或协议，运用科学的方法和手 段，通过有效的措施来保障电信网和互联网的正常运行，为企业提供全面或部分安全评估、评测或解决 方案的服务，包含从安全体系到具体的技术解决措施。这里的“第三方”是相对于自评估提出的概念。 3.2 电信网和互联网第三方安全服务能力等级qualification level of the third party security service for telecom network and internet 一个组织提供电信网和互联网安全服务的综合能力等级，包括法律资格、组织与管理能力、技术能 力、人员构成与素质、规模与资产、项目管理能力等多个方面。 1 YD/T 2669—2024 3.3 关键信息基础设施安全服务能力critical information infrastructure security service capability 为电信网和互联网行业关键信息基础设施运营者开展第三方安全服务时应具备的安全能力，包括符 合性评测、风险评估、关键信息基础设施安全测评等检测评估服务，以及安全设计与集成、应急响应、 安全培训、数据治理等服务。 4电信网和互联网第三方安全服务类型概述 4.1风险评估 估安全事件一旦发生可能造成的影响，并提出针对性的防护对策和安全措施，防范和缓解电信网和互联 网及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障电信网和互联网及相关系统的 安全提供依据。 4.2安全设计与集成 对组织的安全框架进行设计，形成安全建设规划，并对计划实施的安全策略细化，在安全解决方案 的基础上，实施安全产品集成、安全软件定制开发、安全加固与整改或其他的安全技术和咨询服务。 4.3应急响应 通过制定应急响应计划，在电信运营企业发生安全事件时提供紧急现场或远程援助，处理影响网络 安全事件的服务，在网络安全事件发生后对其进行标识、记录、分析和处理，直到受到影响的业务恢复 正常运行。 4.4安全培训 针对电信网和互联网的安全管理、建设、运行维护等与网络和信息安全相关的岗位人员所开展的， 以增强安全意识、安全素质和安全技能为目的教育培训活动。 4.5数据治理 面向服务需求方所提供的数据资源及其应用过程中相关管控活动、绩效和风险管理等服务的集合。 5电信网和互联网第三方安全服务能力等级的评判原则 电信网和互联网第三方安全服务能力评定是对电信网和互联网安全服务提供组织的客观评价，直接 体现了电信网和互联网安全服务提供组织的服务资格、水平和能力 电信网和互联网第三方安全服务能力的评定要求是在第三方组织默认已经符合国家对于第三方网 络安全服务组织的要求的基础上，对电信网和互联网安全服务提供组织的资格状况、经济实力、技术能 力、服务队伍、服务过程能力等方面的针对行业特性要求的具体衡量和评价。本文件中能力评定要求分 2 YD/T 2669—2024 为通用性要求和不同服务类型区别要求，通用性要求是指所有电信网和互联网安全服务提供组织必须达 到对应等级的安全能力要求（具体指标要求见本文件第7章）；不同服务类型区别要求是指对不同类型 的电信网和互联网安全服务提供组织提出了不同的能力要求（具体指标要求见本文件第8～12章）。 每类安全服务（风险评估、安全设计与集成、应急响应、安全培训和数据治理）分别提出了三级能 力要求，由低到高依次是一级、二级、三级能力，其中一级为安全服务提供组织进行电信网和互联网第 三方服务应具备的基本能力。 在本文件中，从事电信网和互联网第三方安全服务的组织应符合本文件第7章通用性要求对应等级 的所有条款，高等级的安全服务提供组织除满足对应级别的能力要求外，还需要同时满足低于该级别的 所有要求，如有冲突，以高等级要求为准。 从事电信网和互联网第三方安全服务的组织如涉及对电信行业关键信息基础设