T/GDNS 010-2023 网络安全服务责任及损失评估
- 文件大小:385.88 KB
- 标准类型:综合团体标准
- 标准语言:中文版
- 文件类型:PDF文档
- 更新时间:2025-03-07
- 下载次数:
- 标签:
资料介绍
ICS 35.240.99
C 07
团体标准
T/GDNS 010—2023
网络安全服务责任及损失评估
Cybersecurity service liability and loss assessment
2023 - 04 - 19 发布2023 - 04 - 24 实施
广东省计算机信息网络安全协会发布
目录
目录................................................................................ I
前言............................................................................... II
1 范围................................................................................ 1
2 规范性引用文件...................................................................... 1
3 术语和定义.......................................................................... 1
4 网络安全服务责任及损失评估.......................................................... 2
4.1 专家评审........................................................................ 2
4.1.1 抽取评审专家................................................................ 3
4.1.2 评审专家组成员要求.......................................................... 3
4.1.3 评审专家回避情形............................................................ 3
4.2 网络安全服务责任评估............................................................ 3
4.2.1 检测评估服务履责评估........................................................ 3
4.2.1.1 服务准备................................................................ 4
4.2.1.2 服务实施................................................................ 4
4.2.1.3 服务结算................................................................ 4
4.2.2 安全运维服务履责评估........................................................ 4
4.2.2.1 服务准备................................................................ 5
4.2.2.2 服务实施................................................................ 5
4.2.2.3 服务检查................................................................ 6
4.2.2.4 服务改进................................................................ 6
4.2.3 安全咨询服务履责评估........................................................ 6
4.2.3.1 服务准备................................................................ 6
4.2.3.2 服务实施................................................................ 7
4.2.3.4 服务评估................................................................ 7
4.2.4 灾难恢复服务履责评估........................................................ 8
4.2.4.1 服务准备................................................................ 8
4.2.4.2 服务实施................................................................ 8
4.2.4.3 运行维护................................................................ 9
4.3 网络安全事件损失评估............................................................ 9
4.3.1 损失评估原则................................................................ 9
4.3.1.1 基本原则................................................................ 9
4.3.1.2 损失评估的具体原则...................................................... 9
4.3.2 损失评估方法............................................................... 10
4.3.2.1 网络安全事件违约损失评估方法........................................... 10
4.3.2.2 网络安全事件侵权损失评估方法........................................... 11
4.4 网络安全事件评审意见........................................................... 12
4.4.1 客观事实描述............................................................... 12
4.4.2 责任定性意见............................................................... 12
4.4.3 损失定量意见............................................................... 13
4.4.4 责任划分比例............................................................... 13
T/GDNS 010-2023
II
前言
本标准按照GB/T 1.1《标准化工作导则第1 部分:标准化文件的结构和起草规则》要求编写。
本规范由广东省计算机信息网络安全协会提出并归口。
本规范起草单位: 广东省计算机信息网络安全协会、广东省人民医院、南方医科大学南方医院、
中山大学附属第一医院、中国人民解放军南部战区总医院、中山大学附属口腔医院、中山大学附属肿瘤
医院、中山大学附属第三医院、南方医科大学附属第三医院、肇庆市第一人民医院、中山大学附属第三
医院肇庆医院、中山大学附属第五医院、广东省妇幼保健院、广州医科大学附属第一医院、广州医科大
学附属第二医院、广州医科大学附属第五医院、广州医科大学附属市八医院、广州市妇女儿童医疗中心、
广东药科大学附属第一医院、暨南大学附属第一医院、广州市番禺区中心医院、香港大学深圳医院、东
莞市第六人民医院、顺德区第三人民医院、江门市中心医院、清远市人民医院、茂名市人民医院、阳江
市人民医院、粤北人民医院、广州市番禺区卫生健康局、广州大学、广东轻工职业技术学院、江泰保险
经纪股份有限公司广东营业部、广东创医元信息技术有限公司、广东和谐医患纠纷人民调解委员会、广
东北源律师事务所、广东天商律师事务所、北京鼎世律师事务所、广东安证计算机司法鉴定所、工业和
信息化部电子第五研究所(中国赛宝实验室)、深圳市网安计算机安全检测技术有限公司、深信服科技
股份有限公司、广东珠江智联信息科技股份有限公司、深圳市博通智能技术有限公司、广州粤安网络技
术有限公司、绿盟科技集团股份有限公司广州分公司、广州竞远安全技术股份有限公司、北京市天元律
师事务所、奇安信安全技术(广东)有限公司、深圳市智安网络有限公司、深圳观安信息技术有限公司、
广东物壹信息科技股份有限公司、广东南方信息安全研究院、北京永信至诚科技股份有限公司、锐捷网
络股份有限公司、广东致盛技术有限公司、赛安科技(广东)有限公司。
本规范主要起草人:杨洋、黄振毅、严静东、余俊蓉、赵霞、高峰、任忠敏、银琳、张家庆、陈翔、
范年丰、周欣、赖志存、陈智、杨广黔、李斌、黄波、曹晓均、陈义良、钟军锐、黄幸青、庞勤、熊劲
光、郑华国、温明锋、邓联丙、李卫昌、曾幸辉、廖茂成、严晓明、邓晓辉、陈永辉、吴龙、刘翰腾、
曾艺、李进、刘泽华、卢正山、汪林、陈思宇、王健英、植吕梅、许瑞凤、陈玉婷、庞理鹏、朱宣烨、
魏智煌、魏光辉、鄢帅、龙军、吴瑞、彭世强、成嘉轩、黄志敏、谭鑫、周灵军、罗晓明、叶国伦、王
君、陈明阳、周绪、彭丽超、才华、林伟照、田洪烈、庄泽帆、胡禹。
T/GDNS 010-2023
1
1 范围
本标准给出了网络安全服务的责任及损失评估实施人员、过程、原则和方法、以及评审意见编写要
求。
本标准适用于网络安全服务评价活动,为划分网络安全服务责任及评估损失提供参考。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T 20984 信息安全技术信息安全风险评估方法
GB/T 22080 信息技术安全技术信息安全管理体系要求
GB/T 25069 信息安全技术术语
GB/T 32914 信息安全技术网络安全服务能力要求
GB/T 37961 信息技术服务服务基本要求
GB/Z 20986 信息安全技术信息安全事件分类分级指南
GB/T 36626 信息安全技术信息系统安全运维管理指南
GB/T 28827.2 信息技术服务运行维护第2部分:交付规范
GB/T 28827.3 信息技术服务运行维护第3部分:应急响应规范
GB/T 36463.1 信息技术服务咨询设计第1 部分:通用要求
GB/T 36463.2 信息技术服务咨询设计第2部分:规划设计指南
T/SHMHZQ 088 信息技术对外服务咨询服务规范
GB/T 36957 信息安全技术灾难恢复服务要求
3 术语和定义
GB/T 25069—2022界定的以及下列术语和定义适用于本文件。
3.1 网络安全服务cybersecurity service
T/GDNS 010-2023
2
根据服务协议,基于服务人员、工具、管理体系等技术资源,向网络安全服务需求方(3.3)提供
服务的过程。
注1:常见的网络安全服务包括检测评估、安全运维、安全咨询、灾难恢复等。
注2:网络安全服务通常以供需双方的服务项目形式进行。
3.2 网络安全服务机构cybersecurity service provider
网络安全服务机构是指提供各种网络安全服务的机构,包括但不限于网络安全评估机构、安全咨询
机构、安全运维机构、灾难恢复机构等。
注:包括企事业单位、非法人组织等,简称服务机构。
3.3 网络安全服务需求方cybersecurity service acquirer
获取外部所提供的网络安全服务(3.1),以满足网络安全需求,实现自身业务目标的组织或个人。
注:简称服务需求方。
3.4 服务协议service contract
服务开始前供需双方共同签署的约定,并在服务过程中共同遵守。
注:服务协议形式上可以是服务合同及其附属的工作说明书。
3.5 服务级别service level
在服务协议中对服务交付成果明确约定、可测量和文档化的一系列服务指标。
3.6 网络安全事件network security incident
网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的
数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信
息内容安全事件、设备设施故障、灾害性事件和其他事件。
3.7 网络安全事件责任方party responsible for network security incidents
指网络安全事件中承担责任的一方,可能为网络安全服务机构或网络安全服务需求方或其他相关
方。
4 网络安全服务责任及损失评估
4.1 专家评审
针对网络安全事件,由评审专家根据回溯服务机构的服务过程,评估服务机构的服务责任、网络安
全事件损失,以及服务机构应承担的损失。
T/GDNS 010-2023
3
4.1.1 抽取评审专家
a. 评审组织单位应当根据网络安全事件的分类分级和评审需要,明确评审专家的技术领域和经验
要求,建立专家库或向专业机构或团体咨询,以确保专家库的广泛性、权威性和公正性;
b. 评审组织单位应当按照程序和标准,从专家库中抽取专家确保专家的地域/常住地、技术领域、
行业领域等因素的多样性和均衡性。评审专家组的组建应当在保证专业性和公正性的前提下,
根据事件的重要程度和复杂程度,合理确定评审专家组人数,确保评审组专家人数至少为五名
或以上且为奇数;
c. 评审专家组应当由评审专家组组长统一领导和管理,评审专家组组长应当具备相关经验和资
格,并经过评审组织单位认证。
4.1.2 评审专家组成员要求
a. 评审专家组的专家成员应当符合评审专家的技术领域和经验要求,并至少来自两个不同单位或
以上;
b. 评审专家组成员应当具有专业性、公正性和保密性,不得存在利益冲突或其他可能影响评审公
正性的情况。评审组织单位应当要求评审专家签署保密协议,并监督评审过程的公正性和规范
性。
4.1.3 评审专家回避情形
存在以下情形之一的,评审专家应当主动申请回避。未提出回避的,评审组织单位发现后应立即终
止其评审活动;已完成评审的,该评审专家作出的评审意见无效:
a. 被评审单位的人员;
b. 负责被评审单位的网络安全服务机构人员;
c. 其他与网络安全事件有直接利害关系、可能影响公正性的人员;
d. 其他可能影响评审公正性的情形,如近期与被评审单位有业务往来、与被评审单位有亲属关系
等。
4.2 网络安全服务责任评估
评审专家应根据具体网络安全服务类型、阶段等实际情况,针对性地采取问卷调查、文件查阅、现
场检查等评估方法对服务机构开展网络安全服务责任评估。
4.2.1 检测评估服务履责评估
T/GDNS 010-2023
4
评审专家从服务准备、服务实施、服务结算阶段对服务机构检测评估服务的履责情况进行评估。
4.2.1.1 服务准备
评审专家对服务机构在服务准备阶段的服务行为、过程及输出文档进行评估:
a. 服务机构对被评估对象进行调研,编制调研表;
b. 服务机构确定被评估对象所处的生命周期阶段,明确评估目标、范围、时间等,形成评估方案;
c. 服务机构组建评估团队,明确服务机构与服务需求方在评估各个阶段的角色与责任,并有服务
需求方审批确认记录;
d. 服务机构就漏洞扫描、渗透测试等可能产生的风险及其应对措施向服务需求方书面告知并取得
有效授权同意;
e. 服务机构根据评估目标与评估范围等,从管理和技术角度进行系统调研,形成调研报告。
服务机构应提供:调研表、评估方案、告知记录、调研报告、审批确认记录。
4.2.1.2 服务实施
评审专家对服务机构在服务实施阶段的服务行为、过程及输出文档进行评估:
a. 服务机构根据评估方案实施评估并记录过程,包含实施内容、时间、实际情况与方案的差异等;
b. 服务机构记录被评估对象的各阶段状态、服务所需操作的轨迹等工作证据,保持证据链的完整;
c. 服务机构把控服务质量,定期向服务需求方汇报工作进度及成果;
d. 服务机构做好风险管理,定期向服务需求方提供风险报告,发现重大、紧急的风险时,需及时
汇报,并提供处理建议。
服务机构应提供:实施过程记录、证据记录、工作进度报告、风险报告。
4.2.1.3 服务结算
评审专家对服务机构在服务结算阶段的服务行为、过程及输出文档进行评估:
a. 服务机构向服务需求方出具相关评估报告,报告包含整改建议;
b. 服务机构留存评估报告的审批信息以及服务需求方各阶段的确认记录,留存时长至少为6 年。
服务机构应提供:各阶段审批确认记录、评估报告。
4.2.2 安全运维服务履责评估
评审专家从服务准备、服务实施、服务检查、服务改进阶段对服务机构安全运维服务的履责情况进
行评估。
T/GDNS 010-2023
5
4.2.2.1 服务准备
评审专家对服务机构在服务准备阶段的服务行为、过程及输出文档进行评估:
a. 服务机构与服务需求方签字确认服务级别协议,服务级别协议中需明确服务范围、服务内容、
双方的责任和义务以及违约责任等,并有服务需求方审批确认记录;
b. 服务机构组建安全运维项目组,配备符合能力要求的管理人员和专业人员;
c. 服务机构准备必要的资源,包括运行维护工具、服务台、备件库和知识库;
d. 服务机构明确安全运维服务过程中的安全要求,并签署相关合同或协议,如签署保密协议等;
e. 服务机构明确安全运维服务过程中可能存在的各种风险,制定相应的风险规避计划;
f. 服务机构编制安全运维方案,包括时间计划、人员配备、职责分工、服务流程和关键技术要求
等,必要时提供服务手册和技术手册;
g. 服务机构明确服务双方产生异议的处理原则、在安全运维服务过程中产生遗留问题的处理原则
以及投诉受理渠道和流程,根据安全运维的具体情况,可以单独成文,也可以包含在服务级别
协议中;
h. 服务机构建立应急响应管理体系并制定总体预案,指导安全事件的处置,详见GB/T28827.3—
2012。
服务机构应提供:服务级别协议、服务安全相关合同或协议、风险规避计划、安全运维方案、应急
总体预案。
4.2.2.2 服务实施
评审专家对服务机构在服务实施阶段的服务行为、过程及输出文档进行评估:
a. 服务机构与服务需求方签字确认服务内容、操作流程和可能的风险后,按照安全运维方案、GB/T
36626-2018 中第八章的规程以及GB/T 28827.2-2012 中第六章的交付内容开展安全运维工作;
b. 服务机构填写运维工作记录,记录关键服务信息(如内容、过程、状态、人员和时间等)和衡
量服务级别协议所需信息(如响应时间、现场支持时间等),并保证关键信息及时传递到服务
双方相关人员,确保服务过程实施可追溯,服务结果可计量、评估;
c. 服务机构对运维工作记录进行汇总,定期向服务需求方提供安全运维工作简报;
d. 服务机构按照管理要求和服务承诺提交运维服务报告;
e. 服务机构根据风险规避计划及时处理实施过程中发现的风险,遇到无法解决的问题或服务需求
方提出额外要求时,需及时通知上级,获得相应授权后再进行处理;
T/GDNS 010-2023
6
f. 服务机构聘用终止或变更后应及时终止或变更相关人员的相应职责、权限和内容。终止或变更
相关人员的相应职责、权限和内容包括但不限于:员工合同、信息系统访问权限和安全运维支
撑系统访问权限。
服务机构应提供:审批确认记录、运维工作记录、运维工作简报、运维服务报告。
4.2.2.3 服务检查
评审专家对服务机构在服务检查阶段的服务行为、过程及输出文档进行评估:
a. 服务机构依据安全运维策划对安全运维实施情况进行检查;
b. 服务机构对服务安全运维的情况做审计评估,如策划的执行情况、服务安全运维的规范程度、
文档的归档情况、安全运维过程信息的记录情况等;
c. 服务机构检查安全运维过程中遗留问题的处理情况、安全情况(如清除本次服务临时账号等)
和风险规避情况;
d. 服务机构检查评估工作完成后,与服务需求方确认工作完成情况,并签署服务单;
e. 服务机构向服务需求方进行服务满意度调查。
服务机构应提供:检查情况表、服务单、满意度调查表。
4.2.2.4 服务改进
评审专家对服务机构在服务改进阶段的服务行为、过程及输出文档进行评估:
a. 服务机构总结分析不符合服务级别协议的服务内容,实施改进并跟踪反馈;
b. 服务机构调查分析服务需求方投诉事件或满意度调查表低分项,与服务需求方确认不满意的具
体内容,实施改进并跟踪反馈;
c. 服务机构对需要规避的安全问题和风险问题实施改进并跟踪反馈。
服务机构应提供:总结分析报告、改进计划、改进实施与跟踪反馈记录。
4.2.3 安全咨询服务履责评估
评审专家从服务准备、服务实施、服务评估阶段对服务机构安全咨询服务的履责情况进行评估。
4.2.3.1 服务准备
评审专家对服务机构在服务准备阶段的服务行为、过程及输出文档进行评估:
a. 服务机构开展安全咨询服务前,应与服务需求方进行前期沟通,确认服务范围和内容;
T/GDNS 010-2023
7
b. 服务机构制定咨询建议方案,服务机构应整理、归纳访谈记录,针对服务需求方需求,制定合
适的咨询建议方案,并与服务需求方确认。其中咨询建议方案包括:咨询需求分析与设计思路、
咨询方法和技术工具、确定咨询目标和周期、咨询费用和其他需要建议的内容;
c. 服务机构签订咨询服务合同,根据服务需求方需求和服务机构自身能力,双方协商签署咨询服
务合同,明确服务范围、服务内容、双方的责任和义务以及违约责任等;
d. 服务机构成立项目组,确定项目经理、项目顾问、职责分工和项目计划和时间安排等;
e. 服务机构明确咨询服务过程中的安全要求,并签署相关合同或协议,如保密协议等。
服务机构应提供:沟通确认记录、咨询建议方案、咨询服务合同、安全相关合同或协议、审批确认
记录。
4.2.3.2 服务实施
评审专家对服务机构在服务实施阶段的服务行为、过程及输出文档进行评估:
a. 服务机构按照合同约定的咨询内容开展项目调研工作并搜集项目相关信息,明确安全咨询过程
中服务需求方需要提供的具体资料和数据,并说明理由;
b. 服务机构根据调研内容诊断服务需求方追求的目标和面临的问题,识别引起和影响这些问题的
因素和要点,撰写并提交诊断报告;
c. 服务机构根据诊断报告制定咨询方案,并与服务需求方确认;
d. 服务机构履行咨询服务合同,依据咨询方案制定实施计划,并检测服务项目实施过程中存在的
问题,在与服务需求方不断沟通的基础上,推进服务项目;
e. 服务机构将安全咨询过程中使用的材料形成清单,并将被访谈人员、访谈过程、材料提供人、
提供时间等进行记录,保证材料的获取和使用情况可追溯。
服务机构应提供:调研表、诊断报告、咨询方案、审批确认记录、咨询实施计划、资料清单、咨询
服务记录。
4.2.3.4 服务评估
评审专家对服务机构在服务评估阶段的服务行为、过程及输出文档进行评估:
a. 服务机构对咨询服务过程和咨询服务结果进行评估;
b. 服务机构就当次咨询工作进行总结,形成书面总结报告,主要内容包括参与项目的人员名单、
历次重大活动及会议的记录、项目过程中形成的主要文件和咨询工作中取得的经验和存在的问
T/GDNS 010-2023
8
题;
c. 服务机构向服务需求方调查满意度,并支持服务改进;
d. 服务机构应将有关文件及时存档。
服务机构应提供:评估记录、总结报告、满意度调查表、存档记录。
4.2.4 灾难恢复服务履责评估
评审专家从服务准备、服务实施、运行维护阶段对服务机构灾难恢复服务的履责情况进行评估。
4.2.4.1 服务准备
评审专家对服务机构在服务准备阶段的服务行为、过程及输出文档进行评估:
a. 服务机构基于服务需求方业务状况进行业务调研和分析,编制业务影响分析报告,报告包含灾
难恢复指标,如恢复时间目标、恢复点目标等;
b. 服务机构设计事件检测与响应方案,方案包括根据事件的严重程度进行性质与等级划分方法及
对应的响应时间等;
c. 服务机构开发灾难备份与灾难恢复预案体系,根据事件严重程度进行预案分级,设计灾难备份
与灾难恢复实施方案并编写相应文档,并通过服务需求方审批确认。
服务机构应提供:业务影响分析报告、事件检测与响应方案文档、灾难备份与灾难恢复实施方案、
审批确认记录。
4.2.4.2 服务实施
评审专家对服务机构在服务实施阶段的服务行为、过程及输出文档进行评估:
a. 服务机构根据灾难备份与灾难恢复预案体系及相关方案部署灾难恢复系统,并编写实施文档;
b. 服务机构根据服务需求方的需求选择安全、合适的灾难恢复相关的硬件、软件、服务供应商并
与供应商进行协调沟通,签署相应合同,明确供应商与服务提供方的责任,共同满足服务需求
方的灾难恢复需求;
c. 服务机构定期组织培训与演练并提供报告,总结分析培训与演练中的问题,向服务需求方反馈
相关建议;
d. 服务机构制定灾难备份与灾难恢复运维方案,并根据方案结合服务需求方资源部署灾难恢复系
统。
服务机构应提供:实施文档、培训与演练报告、供应商合同、灾难恢复系统实施和运维方案。
T/GDNS 010-2023
9
4.2.4.3 运行维护
评审专家对服务机构在运行维护阶段的服务行为、过程及输出文档进行评估:
a. 服务机构建立日常巡检、运维相关规章制度以及工作手册;
b. 服务机构按照相关规章制度及工作手册执行日常巡检、运维,并做好巡检记录、设备状态记录
等,定期向服务需求方反馈相关报告及建议;
c. 服务机构实时监测事件相关指标,及时检测是否发生事件,制定并落实事件分级制度;
d. 服务机构在事件发生时,根据事件检测与响应方案及时对事件进行响应、评估和判断,明确事
件性质和级别,根据计划或预案启动对应级别的处理流程,并报告服务需求方;
e. 服务机构在发生达到灾难级别的事件时,严格按照预案要求实施应急流程,及时进行补救工作,
最大限度降低事件影响;
f. 服务机构在事件发生后,记录事件的各项参数并进行分析总结,向服务需求方提供报告和改进
建议。
服务机构应提供:巡检运维规章制度、巡检运维工作手册、巡检运维定期报告、事件分级制度、事
件处理报告、事件总结分析报告。
4.3 网络安全事件损失评估
评审专家应结合网络安全事件的实际情况,遵循相应原则和方法开展网络安全事件损失评估。
4.3.1 损失评估原则
4.3.1.1 基本原则
网络安全事件损失评估应遵循合理性原则、公平原则、诚实信用等基本原则,在具体评估活动中应
坚持:
a. 客观性:评估结果应该是客观的,不受个人意见的影响。
b. 可重复性:评估结果应该可以被重复,并且在任何时候都具有一致性。
c. 全面性:评估应该全面考虑所有可能影响损失的因素。
d. 可证明性:评估结果应该可以证明,并且支持结论。
e. 合理性:评估结果应该是合理的,并且符合常识。
4.3.1.2 损失评估的具体原则
T/GDNS 010-2023
10
a. 合理预见原则
违约中的可得利益损害赔偿需要限制在违约人订立合同时能够合理预见到违约损失赔偿的范围之
内。对于违约人在合同订立时所不能预见的损失,则不应予以赔偿。判断违约方能否预见的标准,
应采用主、客观相结合的标准,即以同类型的社会一般人的预见能力为标准。
b. 过失相抵原则
对于守约人也有过错的,计算可得利益损失赔偿额时应相应减轻违约方的责任。
c. 减损原则
在合同关系中,减损规则是指合同违约方违约时,守约方应当采取必要的措施防止损失的扩大,但
其没有采取必要措施致使损失扩大的,不能就扩大的损失部分要求违约方给予赔偿。
d. 损益相抵原则
由于一方违约而导致守约人不再需要为合同履行投入精力、支出,也可能导致守约方额外获得利益,
此时应基于损益相抵的规则对损失赔偿额予以扣除。适用损益相抵的条件为:一是损害赔偿之债已
经成立;二是违约方的违约行为既造成了损失,也产生了守约方的收益;三是违约行为与损害和收
益具有因果关系。
损失赔偿额=违约方合理预见到的守约方可以获得的利益-守约方具有过错应扣减的数额-守约
方应采取措施避免损失扩大而未避免的数额-守约方因违约而获利的数额。
e. 全部赔偿原则
侵权行为人对因侵权行为给他人造成损害的,赔偿责任的大小,应以其侵权行为所造成的实际损失
为依据,予以全部赔偿。
f. 衡平原则
在确定侵权损害赔偿范围时,应考虑当事人的经济状态等因素,使赔偿责任的确定公正、公平。
4.3.2 损失评估方法
4.3.2.1 网络安全事件违约损失评估方法
a. 差额法
差额赔偿原则是将损害行为发生时受害方的财产状况与合同得到适当履行后受害方所应处于的财
产状况进行对比,其中的差额即为守约方所遭受的损失,包括可得利益的损失。差额原则是以合同
履行后的状况作为参考。
b. 约定法
T/GDNS 010-2023
11
约定法是当事人直接在合同中约定损失赔偿额的计算方法。
在约定方法与差额方法计算的损失存在较大差距的:约定的违约金低于造成的损失的,可根据当事
人的请求予以增加;约定的违约金过分高于造成的损失的,可根据当事人的请求予以适当减少。
c. 类比法
类比法是指比照守约方相同或者相类似的其他单位在类似条件下所能获取的比较稳定的财产受益
来确定可得利益的赔偿数额。基于类比法,既可以守约方在过去同时期所取得的利润为参考对象,
又可以同类合同在同时期内履行所获得的利益为依据,还可以其他人同样的设备投人生产运营所获
取的生产利润等作为参照对象。
类比法分为横向类比和纵向类比,横向类比可以比较同时期其他同类合同的履行利益;纵向类比则
可以比较同一民事主体之前所获得的合同履行利益。
d. 估算法
当无法确定可得利益损失数额时,可根据合同实际履行情况、过错大小、行业利润率等实际情况,
酌定赔偿数额。
在基于估算法计算损失赔偿额时,应结合守约方的诉请,扣除违约方合理抗辩应减除的部分来进行
计算。
e. 综合裁量法
综合裁量法系无法根据差额法、类比法、约定法、估算法等方法予以独立计算可得利益损失的情况
下所采纳的方法,需综合获利情况、当事人各自的过错因素、当前经济形势情况等因素进行综合判
断。
对于综合裁量方法的运用,需要结合上述三种方法,以差额原则为基础,在考虑守约方因违约方违
约遭受的实际损失或者可能遭受的实际损失为基础进行裁量。
4.3.2.2 网络安全事件侵权损失评估方法
a. 直接损失的评估方法
直接损失是指加害人的网络侵权行为,致使受害人现在拥有的财产价值量的实际减少。
一般使用差额法进行计算。差额法的计算公式为:直接损失=原网络安全系统以及相关信息的价值
(以下简称“原物价值”)—残值。
1)原物价值。原物价值的计算时间节点一般应以损失发生时为准,需综合考虑原物在市场中交
易的价格、时间价值等因素综合判断。
T/GDNS 010-2023
12
计算公式为:原物价值=原物价格—原物价格/可用时间×已用时间。
2)残值。残值的确定一般要通过鉴定或评估的方式确定。
此外,还可以采用直接成本法,计算权利人为制止侵权行为所支付的合理开支。
b. 间接损失的评估方法
间接损失就是受害人未来可得利益的减少,侵权行为发生时,该部分损失尚未产生,系因侵权人的
侵权行为,导致受害人基于该财物在一定范围内可以取得的利益无法实现。计算公式为:间接损失
=单位时间增值效益×影响效益发挥的时间。
1)单位时间增值效益。通常用以下方法确定单位时间增值效益:一是平均收益法,即按照受害
人遭受损失之前的平均经营收益确定。二是类比法,即以同行业同等条件下普通经营者的平均
收益值,作为受害人损失的单位时间增值效益的数额。需综合考虑同等时间、同等属性、同等
生产经营等因素。具体适用时,可将以上两种方法综合使用,使计算的结果更客观准确。
2)影响效益发挥的时间。影响效益发挥的时间应从损坏发生时到修复、重置时间等因素综合予
以衡量。
4.4 网络安全事件评审意见
评审专家编写的网络安全事件评审意见应包括客观事实描述 、责任定性意见 、损失定量意见 、
责任划分比例四个部分。
4.4.1 客观事实描述
客观事实描述是评审意见中重要的一部分,它需要描述事实并避免主观评价和偏见。客观事实描述
应该具体说明以下内容:
a. 数据:提供有关网络安全服务展责情况的具体数据,如检测速度、误报率、漏报率等,并结合
实际案例进行说明。
b. 结果:明确有关网络安全服务展责情况的测结果,如合格、不合格、部分合格等,并给出相关
数据和实际案例支持。
c. 证据:提供证据,如实验报告、测试数据、第三方评估报告等,并结合实际案例进行说明。
d. 事实:描述客观事实,如评估标准的功能特征、性能特征使用体验等,并结合实际案例进行说
明。以上内容可以通过图表、数字、表格等形式呈现,以便更好地理解评估结果。
4.4.2 责任定性意见
T/GDNS 010-2023
13
责任定性意见是评审意见(规范要求)中重要的一部分,它是对网络安全服务履责情况的责任认定。
具体说明如下:
a. 判断依据:明确评审人员判断依据,如评估标准、行业标准、法律法规等。
b. 责任确定:明确责任主体,如生产者、供应商、安装人员等。
c. 责任说明:详细说明责任主体的责任,如改进标准、重新评估、替换产品等。
以上内容应该简明易懂,以使责任主体清晰地了解责任确定结果。在说明责任的同时,也应该考虑
到责任主体的合理性,避免不必要的误导。
4.4.3 损失定量意见
损失定量意见是评审结论(规范要求)中重要的一部分,是对网络安全服务履责情况中出现的问题
造成的损失进行的定量评估。具体说明如下:
a. 评估依据:明确评估的依据,如财务报告、市场调查等。
b. 损失说明:详细说明损失的种类和数量,如财务损失、声誉损失、客户流失等。
c. 损失定量:给出损失的具体数字,如折现率、费用等。
该部分的内容应该严谨、准确,以保证评估结果的可靠性。需要注意的是,对于某些不能定量评估
的损失,应该用相应的方法描述。
4.4.4 责任划分比例
按照网络安全服务履责回溯评估与网络安全事件因果关联关系,依次对网络安全服务责任按以下六
个等级进行划分:
a. 完全因果关系: 96%~100%;
b. 主要因果关系: 56%~95%;
c. 同等因果关系: 45%~55%;
d. 次要因果关系: 16%~44%;
e. 轻微因果关系: 1%~15%;
f. 没有因果关系: 0。上一篇:T/GDNS 009-2023 健康医疗数据合规流通标准
下一篇:T/ACEF 216-2025 燃煤锅炉尿素脱硝优化控制系统技术导则
C 07
团体标准
T/GDNS 010—2023
网络安全服务责任及损失评估
Cybersecurity service liability and loss assessment
2023 - 04 - 19 发布2023 - 04 - 24 实施
广东省计算机信息网络安全协会发布
目录
目录................................................................................ I
前言............................................................................... II
1 范围................................................................................ 1
2 规范性引用文件...................................................................... 1
3 术语和定义.......................................................................... 1
4 网络安全服务责任及损失评估.......................................................... 2
4.1 专家评审........................................................................ 2
4.1.1 抽取评审专家................................................................ 3
4.1.2 评审专家组成员要求.......................................................... 3
4.1.3 评审专家回避情形............................................................ 3
4.2 网络安全服务责任评估............................................................ 3
4.2.1 检测评估服务履责评估........................................................ 3
4.2.1.1 服务准备................................................................ 4
4.2.1.2 服务实施................................................................ 4
4.2.1.3 服务结算................................................................ 4
4.2.2 安全运维服务履责评估........................................................ 4
4.2.2.1 服务准备................................................................ 5
4.2.2.2 服务实施................................................................ 5
4.2.2.3 服务检查................................................................ 6
4.2.2.4 服务改进................................................................ 6
4.2.3 安全咨询服务履责评估........................................................ 6
4.2.3.1 服务准备................................................................ 6
4.2.3.2 服务实施................................................................ 7
4.2.3.4 服务评估................................................................ 7
4.2.4 灾难恢复服务履责评估........................................................ 8
4.2.4.1 服务准备................................................................ 8
4.2.4.2 服务实施................................................................ 8
4.2.4.3 运行维护................................................................ 9
4.3 网络安全事件损失评估............................................................ 9
4.3.1 损失评估原则................................................................ 9
4.3.1.1 基本原则................................................................ 9
4.3.1.2 损失评估的具体原则...................................................... 9
4.3.2 损失评估方法............................................................... 10
4.3.2.1 网络安全事件违约损失评估方法........................................... 10
4.3.2.2 网络安全事件侵权损失评估方法........................................... 11
4.4 网络安全事件评审意见........................................................... 12
4.4.1 客观事实描述............................................................... 12
4.4.2 责任定性意见............................................................... 12
4.4.3 损失定量意见............................................................... 13
4.4.4 责任划分比例............................................................... 13
T/GDNS 010-2023
II
前言
本标准按照GB/T 1.1《标准化工作导则第1 部分:标准化文件的结构和起草规则》要求编写。
本规范由广东省计算机信息网络安全协会提出并归口。
本规范起草单位: 广东省计算机信息网络安全协会、广东省人民医院、南方医科大学南方医院、
中山大学附属第一医院、中国人民解放军南部战区总医院、中山大学附属口腔医院、中山大学附属肿瘤
医院、中山大学附属第三医院、南方医科大学附属第三医院、肇庆市第一人民医院、中山大学附属第三
医院肇庆医院、中山大学附属第五医院、广东省妇幼保健院、广州医科大学附属第一医院、广州医科大
学附属第二医院、广州医科大学附属第五医院、广州医科大学附属市八医院、广州市妇女儿童医疗中心、
广东药科大学附属第一医院、暨南大学附属第一医院、广州市番禺区中心医院、香港大学深圳医院、东
莞市第六人民医院、顺德区第三人民医院、江门市中心医院、清远市人民医院、茂名市人民医院、阳江
市人民医院、粤北人民医院、广州市番禺区卫生健康局、广州大学、广东轻工职业技术学院、江泰保险
经纪股份有限公司广东营业部、广东创医元信息技术有限公司、广东和谐医患纠纷人民调解委员会、广
东北源律师事务所、广东天商律师事务所、北京鼎世律师事务所、广东安证计算机司法鉴定所、工业和
信息化部电子第五研究所(中国赛宝实验室)、深圳市网安计算机安全检测技术有限公司、深信服科技
股份有限公司、广东珠江智联信息科技股份有限公司、深圳市博通智能技术有限公司、广州粤安网络技
术有限公司、绿盟科技集团股份有限公司广州分公司、广州竞远安全技术股份有限公司、北京市天元律
师事务所、奇安信安全技术(广东)有限公司、深圳市智安网络有限公司、深圳观安信息技术有限公司、
广东物壹信息科技股份有限公司、广东南方信息安全研究院、北京永信至诚科技股份有限公司、锐捷网
络股份有限公司、广东致盛技术有限公司、赛安科技(广东)有限公司。
本规范主要起草人:杨洋、黄振毅、严静东、余俊蓉、赵霞、高峰、任忠敏、银琳、张家庆、陈翔、
范年丰、周欣、赖志存、陈智、杨广黔、李斌、黄波、曹晓均、陈义良、钟军锐、黄幸青、庞勤、熊劲
光、郑华国、温明锋、邓联丙、李卫昌、曾幸辉、廖茂成、严晓明、邓晓辉、陈永辉、吴龙、刘翰腾、
曾艺、李进、刘泽华、卢正山、汪林、陈思宇、王健英、植吕梅、许瑞凤、陈玉婷、庞理鹏、朱宣烨、
魏智煌、魏光辉、鄢帅、龙军、吴瑞、彭世强、成嘉轩、黄志敏、谭鑫、周灵军、罗晓明、叶国伦、王
君、陈明阳、周绪、彭丽超、才华、林伟照、田洪烈、庄泽帆、胡禹。
T/GDNS 010-2023
1
1 范围
本标准给出了网络安全服务的责任及损失评估实施人员、过程、原则和方法、以及评审意见编写要
求。
本标准适用于网络安全服务评价活动,为划分网络安全服务责任及评估损失提供参考。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T 20984 信息安全技术信息安全风险评估方法
GB/T 22080 信息技术安全技术信息安全管理体系要求
GB/T 25069 信息安全技术术语
GB/T 32914 信息安全技术网络安全服务能力要求
GB/T 37961 信息技术服务服务基本要求
GB/Z 20986 信息安全技术信息安全事件分类分级指南
GB/T 36626 信息安全技术信息系统安全运维管理指南
GB/T 28827.2 信息技术服务运行维护第2部分:交付规范
GB/T 28827.3 信息技术服务运行维护第3部分:应急响应规范
GB/T 36463.1 信息技术服务咨询设计第1 部分:通用要求
GB/T 36463.2 信息技术服务咨询设计第2部分:规划设计指南
T/SHMHZQ 088 信息技术对外服务咨询服务规范
GB/T 36957 信息安全技术灾难恢复服务要求
3 术语和定义
GB/T 25069—2022界定的以及下列术语和定义适用于本文件。
3.1 网络安全服务cybersecurity service
T/GDNS 010-2023
2
根据服务协议,基于服务人员、工具、管理体系等技术资源,向网络安全服务需求方(3.3)提供
服务的过程。
注1:常见的网络安全服务包括检测评估、安全运维、安全咨询、灾难恢复等。
注2:网络安全服务通常以供需双方的服务项目形式进行。
3.2 网络安全服务机构cybersecurity service provider
网络安全服务机构是指提供各种网络安全服务的机构,包括但不限于网络安全评估机构、安全咨询
机构、安全运维机构、灾难恢复机构等。
注:包括企事业单位、非法人组织等,简称服务机构。
3.3 网络安全服务需求方cybersecurity service acquirer
获取外部所提供的网络安全服务(3.1),以满足网络安全需求,实现自身业务目标的组织或个人。
注:简称服务需求方。
3.4 服务协议service contract
服务开始前供需双方共同签署的约定,并在服务过程中共同遵守。
注:服务协议形式上可以是服务合同及其附属的工作说明书。
3.5 服务级别service level
在服务协议中对服务交付成果明确约定、可测量和文档化的一系列服务指标。
3.6 网络安全事件network security incident
网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的
数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信
息内容安全事件、设备设施故障、灾害性事件和其他事件。
3.7 网络安全事件责任方party responsible for network security incidents
指网络安全事件中承担责任的一方,可能为网络安全服务机构或网络安全服务需求方或其他相关
方。
4 网络安全服务责任及损失评估
4.1 专家评审
针对网络安全事件,由评审专家根据回溯服务机构的服务过程,评估服务机构的服务责任、网络安
全事件损失,以及服务机构应承担的损失。
T/GDNS 010-2023
3
4.1.1 抽取评审专家
a. 评审组织单位应当根据网络安全事件的分类分级和评审需要,明确评审专家的技术领域和经验
要求,建立专家库或向专业机构或团体咨询,以确保专家库的广泛性、权威性和公正性;
b. 评审组织单位应当按照程序和标准,从专家库中抽取专家确保专家的地域/常住地、技术领域、
行业领域等因素的多样性和均衡性。评审专家组的组建应当在保证专业性和公正性的前提下,
根据事件的重要程度和复杂程度,合理确定评审专家组人数,确保评审组专家人数至少为五名
或以上且为奇数;
c. 评审专家组应当由评审专家组组长统一领导和管理,评审专家组组长应当具备相关经验和资
格,并经过评审组织单位认证。
4.1.2 评审专家组成员要求
a. 评审专家组的专家成员应当符合评审专家的技术领域和经验要求,并至少来自两个不同单位或
以上;
b. 评审专家组成员应当具有专业性、公正性和保密性,不得存在利益冲突或其他可能影响评审公
正性的情况。评审组织单位应当要求评审专家签署保密协议,并监督评审过程的公正性和规范
性。
4.1.3 评审专家回避情形
存在以下情形之一的,评审专家应当主动申请回避。未提出回避的,评审组织单位发现后应立即终
止其评审活动;已完成评审的,该评审专家作出的评审意见无效:
a. 被评审单位的人员;
b. 负责被评审单位的网络安全服务机构人员;
c. 其他与网络安全事件有直接利害关系、可能影响公正性的人员;
d. 其他可能影响评审公正性的情形,如近期与被评审单位有业务往来、与被评审单位有亲属关系
等。
4.2 网络安全服务责任评估
评审专家应根据具体网络安全服务类型、阶段等实际情况,针对性地采取问卷调查、文件查阅、现
场检查等评估方法对服务机构开展网络安全服务责任评估。
4.2.1 检测评估服务履责评估
T/GDNS 010-2023
4
评审专家从服务准备、服务实施、服务结算阶段对服务机构检测评估服务的履责情况进行评估。
4.2.1.1 服务准备
评审专家对服务机构在服务准备阶段的服务行为、过程及输出文档进行评估:
a. 服务机构对被评估对象进行调研,编制调研表;
b. 服务机构确定被评估对象所处的生命周期阶段,明确评估目标、范围、时间等,形成评估方案;
c. 服务机构组建评估团队,明确服务机构与服务需求方在评估各个阶段的角色与责任,并有服务
需求方审批确认记录;
d. 服务机构就漏洞扫描、渗透测试等可能产生的风险及其应对措施向服务需求方书面告知并取得
有效授权同意;
e. 服务机构根据评估目标与评估范围等,从管理和技术角度进行系统调研,形成调研报告。
服务机构应提供:调研表、评估方案、告知记录、调研报告、审批确认记录。
4.2.1.2 服务实施
评审专家对服务机构在服务实施阶段的服务行为、过程及输出文档进行评估:
a. 服务机构根据评估方案实施评估并记录过程,包含实施内容、时间、实际情况与方案的差异等;
b. 服务机构记录被评估对象的各阶段状态、服务所需操作的轨迹等工作证据,保持证据链的完整;
c. 服务机构把控服务质量,定期向服务需求方汇报工作进度及成果;
d. 服务机构做好风险管理,定期向服务需求方提供风险报告,发现重大、紧急的风险时,需及时
汇报,并提供处理建议。
服务机构应提供:实施过程记录、证据记录、工作进度报告、风险报告。
4.2.1.3 服务结算
评审专家对服务机构在服务结算阶段的服务行为、过程及输出文档进行评估:
a. 服务机构向服务需求方出具相关评估报告,报告包含整改建议;
b. 服务机构留存评估报告的审批信息以及服务需求方各阶段的确认记录,留存时长至少为6 年。
服务机构应提供:各阶段审批确认记录、评估报告。
4.2.2 安全运维服务履责评估
评审专家从服务准备、服务实施、服务检查、服务改进阶段对服务机构安全运维服务的履责情况进
行评估。
T/GDNS 010-2023
5
4.2.2.1 服务准备
评审专家对服务机构在服务准备阶段的服务行为、过程及输出文档进行评估:
a. 服务机构与服务需求方签字确认服务级别协议,服务级别协议中需明确服务范围、服务内容、
双方的责任和义务以及违约责任等,并有服务需求方审批确认记录;
b. 服务机构组建安全运维项目组,配备符合能力要求的管理人员和专业人员;
c. 服务机构准备必要的资源,包括运行维护工具、服务台、备件库和知识库;
d. 服务机构明确安全运维服务过程中的安全要求,并签署相关合同或协议,如签署保密协议等;
e. 服务机构明确安全运维服务过程中可能存在的各种风险,制定相应的风险规避计划;
f. 服务机构编制安全运维方案,包括时间计划、人员配备、职责分工、服务流程和关键技术要求
等,必要时提供服务手册和技术手册;
g. 服务机构明确服务双方产生异议的处理原则、在安全运维服务过程中产生遗留问题的处理原则
以及投诉受理渠道和流程,根据安全运维的具体情况,可以单独成文,也可以包含在服务级别
协议中;
h. 服务机构建立应急响应管理体系并制定总体预案,指导安全事件的处置,详见GB/T28827.3—
2012。
服务机构应提供:服务级别协议、服务安全相关合同或协议、风险规避计划、安全运维方案、应急
总体预案。
4.2.2.2 服务实施
评审专家对服务机构在服务实施阶段的服务行为、过程及输出文档进行评估:
a. 服务机构与服务需求方签字确认服务内容、操作流程和可能的风险后,按照安全运维方案、GB/T
36626-2018 中第八章的规程以及GB/T 28827.2-2012 中第六章的交付内容开展安全运维工作;
b. 服务机构填写运维工作记录,记录关键服务信息(如内容、过程、状态、人员和时间等)和衡
量服务级别协议所需信息(如响应时间、现场支持时间等),并保证关键信息及时传递到服务
双方相关人员,确保服务过程实施可追溯,服务结果可计量、评估;
c. 服务机构对运维工作记录进行汇总,定期向服务需求方提供安全运维工作简报;
d. 服务机构按照管理要求和服务承诺提交运维服务报告;
e. 服务机构根据风险规避计划及时处理实施过程中发现的风险,遇到无法解决的问题或服务需求
方提出额外要求时,需及时通知上级,获得相应授权后再进行处理;
T/GDNS 010-2023
6
f. 服务机构聘用终止或变更后应及时终止或变更相关人员的相应职责、权限和内容。终止或变更
相关人员的相应职责、权限和内容包括但不限于:员工合同、信息系统访问权限和安全运维支
撑系统访问权限。
服务机构应提供:审批确认记录、运维工作记录、运维工作简报、运维服务报告。
4.2.2.3 服务检查
评审专家对服务机构在服务检查阶段的服务行为、过程及输出文档进行评估:
a. 服务机构依据安全运维策划对安全运维实施情况进行检查;
b. 服务机构对服务安全运维的情况做审计评估,如策划的执行情况、服务安全运维的规范程度、
文档的归档情况、安全运维过程信息的记录情况等;
c. 服务机构检查安全运维过程中遗留问题的处理情况、安全情况(如清除本次服务临时账号等)
和风险规避情况;
d. 服务机构检查评估工作完成后,与服务需求方确认工作完成情况,并签署服务单;
e. 服务机构向服务需求方进行服务满意度调查。
服务机构应提供:检查情况表、服务单、满意度调查表。
4.2.2.4 服务改进
评审专家对服务机构在服务改进阶段的服务行为、过程及输出文档进行评估:
a. 服务机构总结分析不符合服务级别协议的服务内容,实施改进并跟踪反馈;
b. 服务机构调查分析服务需求方投诉事件或满意度调查表低分项,与服务需求方确认不满意的具
体内容,实施改进并跟踪反馈;
c. 服务机构对需要规避的安全问题和风险问题实施改进并跟踪反馈。
服务机构应提供:总结分析报告、改进计划、改进实施与跟踪反馈记录。
4.2.3 安全咨询服务履责评估
评审专家从服务准备、服务实施、服务评估阶段对服务机构安全咨询服务的履责情况进行评估。
4.2.3.1 服务准备
评审专家对服务机构在服务准备阶段的服务行为、过程及输出文档进行评估:
a. 服务机构开展安全咨询服务前,应与服务需求方进行前期沟通,确认服务范围和内容;
T/GDNS 010-2023
7
b. 服务机构制定咨询建议方案,服务机构应整理、归纳访谈记录,针对服务需求方需求,制定合
适的咨询建议方案,并与服务需求方确认。其中咨询建议方案包括:咨询需求分析与设计思路、
咨询方法和技术工具、确定咨询目标和周期、咨询费用和其他需要建议的内容;
c. 服务机构签订咨询服务合同,根据服务需求方需求和服务机构自身能力,双方协商签署咨询服
务合同,明确服务范围、服务内容、双方的责任和义务以及违约责任等;
d. 服务机构成立项目组,确定项目经理、项目顾问、职责分工和项目计划和时间安排等;
e. 服务机构明确咨询服务过程中的安全要求,并签署相关合同或协议,如保密协议等。
服务机构应提供:沟通确认记录、咨询建议方案、咨询服务合同、安全相关合同或协议、审批确认
记录。
4.2.3.2 服务实施
评审专家对服务机构在服务实施阶段的服务行为、过程及输出文档进行评估:
a. 服务机构按照合同约定的咨询内容开展项目调研工作并搜集项目相关信息,明确安全咨询过程
中服务需求方需要提供的具体资料和数据,并说明理由;
b. 服务机构根据调研内容诊断服务需求方追求的目标和面临的问题,识别引起和影响这些问题的
因素和要点,撰写并提交诊断报告;
c. 服务机构根据诊断报告制定咨询方案,并与服务需求方确认;
d. 服务机构履行咨询服务合同,依据咨询方案制定实施计划,并检测服务项目实施过程中存在的
问题,在与服务需求方不断沟通的基础上,推进服务项目;
e. 服务机构将安全咨询过程中使用的材料形成清单,并将被访谈人员、访谈过程、材料提供人、
提供时间等进行记录,保证材料的获取和使用情况可追溯。
服务机构应提供:调研表、诊断报告、咨询方案、审批确认记录、咨询实施计划、资料清单、咨询
服务记录。
4.2.3.4 服务评估
评审专家对服务机构在服务评估阶段的服务行为、过程及输出文档进行评估:
a. 服务机构对咨询服务过程和咨询服务结果进行评估;
b. 服务机构就当次咨询工作进行总结,形成书面总结报告,主要内容包括参与项目的人员名单、
历次重大活动及会议的记录、项目过程中形成的主要文件和咨询工作中取得的经验和存在的问
T/GDNS 010-2023
8
题;
c. 服务机构向服务需求方调查满意度,并支持服务改进;
d. 服务机构应将有关文件及时存档。
服务机构应提供:评估记录、总结报告、满意度调查表、存档记录。
4.2.4 灾难恢复服务履责评估
评审专家从服务准备、服务实施、运行维护阶段对服务机构灾难恢复服务的履责情况进行评估。
4.2.4.1 服务准备
评审专家对服务机构在服务准备阶段的服务行为、过程及输出文档进行评估:
a. 服务机构基于服务需求方业务状况进行业务调研和分析,编制业务影响分析报告,报告包含灾
难恢复指标,如恢复时间目标、恢复点目标等;
b. 服务机构设计事件检测与响应方案,方案包括根据事件的严重程度进行性质与等级划分方法及
对应的响应时间等;
c. 服务机构开发灾难备份与灾难恢复预案体系,根据事件严重程度进行预案分级,设计灾难备份
与灾难恢复实施方案并编写相应文档,并通过服务需求方审批确认。
服务机构应提供:业务影响分析报告、事件检测与响应方案文档、灾难备份与灾难恢复实施方案、
审批确认记录。
4.2.4.2 服务实施
评审专家对服务机构在服务实施阶段的服务行为、过程及输出文档进行评估:
a. 服务机构根据灾难备份与灾难恢复预案体系及相关方案部署灾难恢复系统,并编写实施文档;
b. 服务机构根据服务需求方的需求选择安全、合适的灾难恢复相关的硬件、软件、服务供应商并
与供应商进行协调沟通,签署相应合同,明确供应商与服务提供方的责任,共同满足服务需求
方的灾难恢复需求;
c. 服务机构定期组织培训与演练并提供报告,总结分析培训与演练中的问题,向服务需求方反馈
相关建议;
d. 服务机构制定灾难备份与灾难恢复运维方案,并根据方案结合服务需求方资源部署灾难恢复系
统。
服务机构应提供:实施文档、培训与演练报告、供应商合同、灾难恢复系统实施和运维方案。
T/GDNS 010-2023
9
4.2.4.3 运行维护
评审专家对服务机构在运行维护阶段的服务行为、过程及输出文档进行评估:
a. 服务机构建立日常巡检、运维相关规章制度以及工作手册;
b. 服务机构按照相关规章制度及工作手册执行日常巡检、运维,并做好巡检记录、设备状态记录
等,定期向服务需求方反馈相关报告及建议;
c. 服务机构实时监测事件相关指标,及时检测是否发生事件,制定并落实事件分级制度;
d. 服务机构在事件发生时,根据事件检测与响应方案及时对事件进行响应、评估和判断,明确事
件性质和级别,根据计划或预案启动对应级别的处理流程,并报告服务需求方;
e. 服务机构在发生达到灾难级别的事件时,严格按照预案要求实施应急流程,及时进行补救工作,
最大限度降低事件影响;
f. 服务机构在事件发生后,记录事件的各项参数并进行分析总结,向服务需求方提供报告和改进
建议。
服务机构应提供:巡检运维规章制度、巡检运维工作手册、巡检运维定期报告、事件分级制度、事
件处理报告、事件总结分析报告。
4.3 网络安全事件损失评估
评审专家应结合网络安全事件的实际情况,遵循相应原则和方法开展网络安全事件损失评估。
4.3.1 损失评估原则
4.3.1.1 基本原则
网络安全事件损失评估应遵循合理性原则、公平原则、诚实信用等基本原则,在具体评估活动中应
坚持:
a. 客观性:评估结果应该是客观的,不受个人意见的影响。
b. 可重复性:评估结果应该可以被重复,并且在任何时候都具有一致性。
c. 全面性:评估应该全面考虑所有可能影响损失的因素。
d. 可证明性:评估结果应该可以证明,并且支持结论。
e. 合理性:评估结果应该是合理的,并且符合常识。
4.3.1.2 损失评估的具体原则
T/GDNS 010-2023
10
a. 合理预见原则
违约中的可得利益损害赔偿需要限制在违约人订立合同时能够合理预见到违约损失赔偿的范围之
内。对于违约人在合同订立时所不能预见的损失,则不应予以赔偿。判断违约方能否预见的标准,
应采用主、客观相结合的标准,即以同类型的社会一般人的预见能力为标准。
b. 过失相抵原则
对于守约人也有过错的,计算可得利益损失赔偿额时应相应减轻违约方的责任。
c. 减损原则
在合同关系中,减损规则是指合同违约方违约时,守约方应当采取必要的措施防止损失的扩大,但
其没有采取必要措施致使损失扩大的,不能就扩大的损失部分要求违约方给予赔偿。
d. 损益相抵原则
由于一方违约而导致守约人不再需要为合同履行投入精力、支出,也可能导致守约方额外获得利益,
此时应基于损益相抵的规则对损失赔偿额予以扣除。适用损益相抵的条件为:一是损害赔偿之债已
经成立;二是违约方的违约行为既造成了损失,也产生了守约方的收益;三是违约行为与损害和收
益具有因果关系。
损失赔偿额=违约方合理预见到的守约方可以获得的利益-守约方具有过错应扣减的数额-守约
方应采取措施避免损失扩大而未避免的数额-守约方因违约而获利的数额。
e. 全部赔偿原则
侵权行为人对因侵权行为给他人造成损害的,赔偿责任的大小,应以其侵权行为所造成的实际损失
为依据,予以全部赔偿。
f. 衡平原则
在确定侵权损害赔偿范围时,应考虑当事人的经济状态等因素,使赔偿责任的确定公正、公平。
4.3.2 损失评估方法
4.3.2.1 网络安全事件违约损失评估方法
a. 差额法
差额赔偿原则是将损害行为发生时受害方的财产状况与合同得到适当履行后受害方所应处于的财
产状况进行对比,其中的差额即为守约方所遭受的损失,包括可得利益的损失。差额原则是以合同
履行后的状况作为参考。
b. 约定法
T/GDNS 010-2023
11
约定法是当事人直接在合同中约定损失赔偿额的计算方法。
在约定方法与差额方法计算的损失存在较大差距的:约定的违约金低于造成的损失的,可根据当事
人的请求予以增加;约定的违约金过分高于造成的损失的,可根据当事人的请求予以适当减少。
c. 类比法
类比法是指比照守约方相同或者相类似的其他单位在类似条件下所能获取的比较稳定的财产受益
来确定可得利益的赔偿数额。基于类比法,既可以守约方在过去同时期所取得的利润为参考对象,
又可以同类合同在同时期内履行所获得的利益为依据,还可以其他人同样的设备投人生产运营所获
取的生产利润等作为参照对象。
类比法分为横向类比和纵向类比,横向类比可以比较同时期其他同类合同的履行利益;纵向类比则
可以比较同一民事主体之前所获得的合同履行利益。
d. 估算法
当无法确定可得利益损失数额时,可根据合同实际履行情况、过错大小、行业利润率等实际情况,
酌定赔偿数额。
在基于估算法计算损失赔偿额时,应结合守约方的诉请,扣除违约方合理抗辩应减除的部分来进行
计算。
e. 综合裁量法
综合裁量法系无法根据差额法、类比法、约定法、估算法等方法予以独立计算可得利益损失的情况
下所采纳的方法,需综合获利情况、当事人各自的过错因素、当前经济形势情况等因素进行综合判
断。
对于综合裁量方法的运用,需要结合上述三种方法,以差额原则为基础,在考虑守约方因违约方违
约遭受的实际损失或者可能遭受的实际损失为基础进行裁量。
4.3.2.2 网络安全事件侵权损失评估方法
a. 直接损失的评估方法
直接损失是指加害人的网络侵权行为,致使受害人现在拥有的财产价值量的实际减少。
一般使用差额法进行计算。差额法的计算公式为:直接损失=原网络安全系统以及相关信息的价值
(以下简称“原物价值”)—残值。
1)原物价值。原物价值的计算时间节点一般应以损失发生时为准,需综合考虑原物在市场中交
易的价格、时间价值等因素综合判断。
T/GDNS 010-2023
12
计算公式为:原物价值=原物价格—原物价格/可用时间×已用时间。
2)残值。残值的确定一般要通过鉴定或评估的方式确定。
此外,还可以采用直接成本法,计算权利人为制止侵权行为所支付的合理开支。
b. 间接损失的评估方法
间接损失就是受害人未来可得利益的减少,侵权行为发生时,该部分损失尚未产生,系因侵权人的
侵权行为,导致受害人基于该财物在一定范围内可以取得的利益无法实现。计算公式为:间接损失
=单位时间增值效益×影响效益发挥的时间。
1)单位时间增值效益。通常用以下方法确定单位时间增值效益:一是平均收益法,即按照受害
人遭受损失之前的平均经营收益确定。二是类比法,即以同行业同等条件下普通经营者的平均
收益值,作为受害人损失的单位时间增值效益的数额。需综合考虑同等时间、同等属性、同等
生产经营等因素。具体适用时,可将以上两种方法综合使用,使计算的结果更客观准确。
2)影响效益发挥的时间。影响效益发挥的时间应从损坏发生时到修复、重置时间等因素综合予
以衡量。
4.4 网络安全事件评审意见
评审专家编写的网络安全事件评审意见应包括客观事实描述 、责任定性意见 、损失定量意见 、
责任划分比例四个部分。
4.4.1 客观事实描述
客观事实描述是评审意见中重要的一部分,它需要描述事实并避免主观评价和偏见。客观事实描述
应该具体说明以下内容:
a. 数据:提供有关网络安全服务展责情况的具体数据,如检测速度、误报率、漏报率等,并结合
实际案例进行说明。
b. 结果:明确有关网络安全服务展责情况的测结果,如合格、不合格、部分合格等,并给出相关
数据和实际案例支持。
c. 证据:提供证据,如实验报告、测试数据、第三方评估报告等,并结合实际案例进行说明。
d. 事实:描述客观事实,如评估标准的功能特征、性能特征使用体验等,并结合实际案例进行说
明。以上内容可以通过图表、数字、表格等形式呈现,以便更好地理解评估结果。
4.4.2 责任定性意见
T/GDNS 010-2023
13
责任定性意见是评审意见(规范要求)中重要的一部分,它是对网络安全服务履责情况的责任认定。
具体说明如下:
a. 判断依据:明确评审人员判断依据,如评估标准、行业标准、法律法规等。
b. 责任确定:明确责任主体,如生产者、供应商、安装人员等。
c. 责任说明:详细说明责任主体的责任,如改进标准、重新评估、替换产品等。
以上内容应该简明易懂,以使责任主体清晰地了解责任确定结果。在说明责任的同时,也应该考虑
到责任主体的合理性,避免不必要的误导。
4.4.3 损失定量意见
损失定量意见是评审结论(规范要求)中重要的一部分,是对网络安全服务履责情况中出现的问题
造成的损失进行的定量评估。具体说明如下:
a. 评估依据:明确评估的依据,如财务报告、市场调查等。
b. 损失说明:详细说明损失的种类和数量,如财务损失、声誉损失、客户流失等。
c. 损失定量:给出损失的具体数字,如折现率、费用等。
该部分的内容应该严谨、准确,以保证评估结果的可靠性。需要注意的是,对于某些不能定量评估
的损失,应该用相应的方法描述。
4.4.4 责任划分比例
按照网络安全服务履责回溯评估与网络安全事件因果关联关系,依次对网络安全服务责任按以下六
个等级进行划分:
a. 完全因果关系: 96%~100%;
b. 主要因果关系: 56%~95%;
c. 同等因果关系: 45%~55%;
d. 次要因果关系: 16%~44%;
e. 轻微因果关系: 1%~15%;
f. 没有因果关系: 0。