信息安全技術(shù) 網(wǎng)絡(luò)安全眾測服務(wù)要求-編制說明

一、工作簡況

1、任務(wù)來源

根據(jù)國家標準化管理委員會2022年下達的國家標準制修訂計劃：《信息安全

技術(shù)網(wǎng)絡(luò)安全眾測服務(wù)要求》，國標計劃號：20220608-T-469，標準由國家計算

機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心主辦，由全國信息安全標準化技術(shù)委員會（SAC/TC

260）歸口管理。

2、主要起草單位和工作組成員

《信息安全技術(shù)網(wǎng)絡(luò)安全眾測服務(wù)要求》由國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理

協(xié)調(diào)中心牽頭研制，起草單位為：國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國

電子技術(shù)標準化研究院、中國信息安全測評中心、國家信息技術(shù)安全研究中心、

阿里云計算有限公司、網(wǎng)神信息技術(shù)（北京）股份有限公司、北京中金安服科技

有限公司、中國移動通信集團有限公司、中國科學(xué)院軟件研究所、上海斗象信息

科技有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、中通服咨詢設(shè)計研究院有限

公司、上海文鰩信息科技有限公司、浙江螞蟻小微金融服務(wù)集團股份有限公司、

杭州安恒信息技術(shù)股份有限公司、北京信息安全測評中心、北京東方通網(wǎng)信科技

有限公司、北京眾安天下科技有限公司、北京奇虎科技有限公司、中國電子科技

網(wǎng)絡(luò)信息安全有限公司、北京北信源軟件股份有限公司、啟明星辰信息技術(shù)集團

股份有限公司、工業(yè)和信息化部計算機與微電子發(fā)展研究中心（中國軟件評測中

心）、北京數(shù)字觀星科技有限公司、上海計算機軟件技術(shù)開發(fā)中心。

本標準主要起草人：云曉春、舒敏、嚴寒冰、王文磊、劉賢剛、王惠蒞、張

大江、楊晨、高繼明、秦磊、王宏、孫彥、何能強、王江波、董航、鄧萍萍、俞

斌、崔婷婷、李媛、胡鳴、王俊杰、郭亮、閆宏石、王龑、邱勤、左敏、凌墨緣、

張奇、楊蔚。

3、主要工作過程

（1）草案階段：

2019年9月25日，起草組組織召開了標準研制啟動會，各參編單位討論

后確定了標準大綱，并進行了任務(wù)分工，編制形成了草案（第1稿）。

2019年10月17日，起草組組織召開了專家評審會，征集到專家意見14

條，處理結(jié)果均為采納。起草組根據(jù)專家意見對標準草案進行了修改，修改形

成了草案（第2稿）。

2019年10月28日，起草組在TC260重慶會議周WG7會上進行匯報，征集

到專家意見14條，處理結(jié)果為采納13條，未采納1條。

2019年12月4日，起草組召開編制討論會，會上根據(jù)重慶會議周的意見

處理修改形成了草案（第3稿）。

2020年3月31日，起草組內(nèi)部對標準內(nèi)容提出多輪修改意見，對起草組

內(nèi)部意見處理后修改形成了草案（第4稿）。

2020年5月12日，在TC260線上會議周匯報，成功推進形成征求意見

稿。

（2）征求意見稿階段：

2020年5月13日至6月4日，起草組對線上會議周征集到的12條工作組

專家意見進行處理，處理意見為采納8條，部分采納4條。

2020年6月17日，參加TC260秘書處組織的線上專家評審會，會上收集

到專家意見11條，均采納。6月24日，秘書處責任編輯對征求意見稿進行了

審查，根據(jù)責任編輯意見進行了相應(yīng)修改，處理意見為采納6條。

2020年7月17日，受信安標委秘書處委托，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處

理協(xié)調(diào)中心組織12家眾測相關(guān)單位召開標準試點驗證啟動會，項目牽頭單位匯

報了試點驗證方案和計劃，3位外部專家對試點驗證方案進行了審核，并按計

劃于2020年8月15日完成了標準試點驗證工作。

2020年9月25日至2020年11月24日，信安標委秘書處向工業(yè)和信息化

部科技司、公安部十一局、國家保密局、國家密碼管理局、國家認證認可監(jiān)督

管理委員會、中國信息安全測評中心、中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局等上級主管

部門發(fā)函征求意見，并在信安標委官網(wǎng)公開征求意見，征求意見范圍具有廣泛

性和代表性。共收到意見6條，意見處理結(jié)果為采納5條、未采納0條、部分

采納1條。

2021年3月10日，參加TC260WG7組織的專家評審會,共收到意見21

條，意見處理結(jié)果為采納16條、未采納0條、部分采納5條。

2021年5月10日至5月13日，參加信安標委武漢會議周WG7工作組會議

并在WG7工作組武漢會議上匯報，成功推進形成送審稿。

（3）送審稿階段：

2021年5月14日至7月20日，起草組對武漢會議周征集到的6條工作組

專家意見進行處理，處理意見為采納5條，部分采納1條。因2020年公開征求

意見，2022年才獲得國標計劃號，擬再次公開征求意見。

2022年9月16日，參加信安標委秘書處組織的專家評審會，共收到意見

11條，意見處理結(jié)果為采納11條，部分采納和未采納0條。會后形成新版標

準文稿，擬以征求意見稿形式再次公開征求意見。

二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、編制原則

本標準在研制過程中遵循的原則包括：

（1）實用性原則

研制過程中，緊密圍繞眾測服務(wù)產(chǎn)業(yè)發(fā)展實踐和需求，力求標準能夠為規(guī)范

眾測服務(wù)提供有效指導(dǎo)。

（2）合規(guī)性原則

遵循國家以及各行業(yè)的相關(guān)規(guī)定，對眾測組織方、授權(quán)測試方等行為進行規(guī)

范，確保眾測服務(wù)合規(guī)、合法。

2、主要內(nèi)容

本標準確立了網(wǎng)絡(luò)安全眾測服務(wù)的角色及其職責，描述了服務(wù)流程，規(guī)定了

服務(wù)要求。

本標準適用于眾測需求方、眾測組織方、授權(quán)測試方和眾測審計方在開展網(wǎng)

絡(luò)安全眾測服務(wù)時使用。

3、主要章節(jié)內(nèi)容

（1）定義：網(wǎng)絡(luò)安全眾測服務(wù)是以自由自愿的方式組織非特定的自然人或

組織，在審計及監(jiān)督下，開展安全測試的過程。并給出了網(wǎng)絡(luò)安全眾測服務(wù)平臺、

眾測需求方、眾測組織方、授權(quán)測試方、眾測審計方的定義。

（2）角色及職責：網(wǎng)絡(luò)安全眾測服務(wù)涉及的角色包括眾測需求方、眾測組

織方、授權(quán)測試方、眾測審計方。本標準界定了各角色的職責。各角色的交互關(guān)

系如圖1所示。

（3）流程：網(wǎng)絡(luò)安全眾測服務(wù)流程包括準備階段、實施階段、后處理階段。

具體活動包括：

——準備階段：眾測需求方和眾測組織方相互協(xié)商，明確雙方權(quán)利義務(wù)；眾

測需求方向眾測組織方明確授權(quán)并授權(quán)眾測組織方組織符合要求的授權(quán)測試方

實施眾測；眾測組織方按照眾測需求方的要求發(fā)布眾測項目，依托網(wǎng)絡(luò)安全眾測

服務(wù)平臺在獲得眾測需求方授權(quán)的前提下組織授權(quán)測試方；授權(quán)測試方做好測試

準備；眾測審計方做好審計準備。

——實施階段授權(quán)測試方通過獲得授權(quán)的安全接入方式執(zhí)行測試，按要求提

交漏洞；眾測組織方對漏洞進行初步審核后交付給眾測需求方；眾測需求方（也

可委托眾測組織方）對漏洞進行審核確認；眾測需求方及時修復(fù)漏洞；眾測審計

方對眾測過程進行審計和監(jiān)督。

——后處理階段：在約定的測試時間結(jié)束后，眾測組織方向眾測需求方提供

眾測服務(wù)報告；眾測需求方進行分析總結(jié)并進行復(fù)檢，眾測組織方及時刪除眾測

需求方相關(guān)材料、漏洞等敏感信息；眾測審計方提交審計報告。

（4）服務(wù)要求：給出了準備階段、實施階段、后處理階段中眾測需求方、

眾測組織方、授權(quán)測試方、眾測審計方的服務(wù)要求。

4、解決的主要問題

（1）如何界定眾測服務(wù)各參與角色的職責和義務(wù)；

（2）如何規(guī)范眾測服務(wù)的服務(wù)流程；

（3）如何強化對眾測服務(wù)參與人員的管理，規(guī)范測試人員行為不可控的風

險；

（4）如何構(gòu)建網(wǎng)絡(luò)安全眾測服務(wù)平臺并做好眾測平臺的安全保障，規(guī)范由

于眾測服務(wù)可能帶來的信息泄露等風險；

（5）如何規(guī)范眾測服務(wù)事后可能存在的殘余風險。

三、主要試驗[或驗證]情況分析

編制組在編制過程中，廣泛聽取眾測服務(wù)提供商、測評機構(gòu)、研究機構(gòu)等的

意見，也征求行業(yè)專家的意見，形成現(xiàn)行版本。

《信息安全技術(shù)網(wǎng)絡(luò)安全眾測服務(wù)要求》標準編制組于2020年7月-8月

組織開展了標準征求意見稿試點工作，組織12家眾測相關(guān)單位進行了標準試點

驗證，對標準條款進行試點驗證。

本次驗證活動，各參與單位結(jié)合自身在網(wǎng)絡(luò)安全眾測服務(wù)中的角色（主要為

眾測組織方和眾測審計方），對照《信息安全技術(shù)網(wǎng)絡(luò)安全眾測服務(wù)要求》（征

求意見稿）的條款內(nèi)容進行驗證，按照標準條款的要求，檢查自身的授權(quán)測試方

規(guī)范管理、漏洞管理能力、審計能力、眾測服務(wù)平臺安全保障能力等是否能達到

標準要求，或標準要求本身是否需要改進完善。

經(jīng)過本次試點驗證，從眾測組織方的角度來看，《信息安全技術(shù)網(wǎng)絡(luò)安全眾

測服務(wù)要求》國標征求意見稿的大部分條款要求適用于業(yè)界現(xiàn)狀，但也存在部分

條款要求存在要求偏高或不適用情況。從眾測審計方的角度來看，該標準具備可

行的管理要求，能夠適用于實際的網(wǎng)絡(luò)安全眾測項目，可進行推廣實施。

四、知識產(chǎn)權(quán)情況說明

本標準不涉及專利。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達到的經(jīng)濟效果

國內(nèi)主要的網(wǎng)絡(luò)安全眾測服務(wù)提供商、網(wǎng)絡(luò)安全眾測服務(wù)第三方審計機構(gòu)均

深度參與標準研制進程，標準研制過程中充分征集并盡量反映了業(yè)界需求以及監(jiān)

管需求，當前標準內(nèi)容適用于國內(nèi)產(chǎn)業(yè)實踐和發(fā)展需求。

本標準的制定將為后續(xù)有意提供網(wǎng)絡(luò)安全眾測服務(wù)的企業(yè)、機構(gòu)等提供參考，

有助于推動網(wǎng)絡(luò)安全眾測服務(wù)的產(chǎn)業(yè)化。目前美國HackerOne、Synack、BugCrowd

等平臺為美國國防部等客戶組織開展了大量網(wǎng)絡(luò)安全眾測活動，國內(nèi)由中央網(wǎng)信

辦指導(dǎo)建設(shè)的國家網(wǎng)絡(luò)安全人才與創(chuàng)新基地網(wǎng)絡(luò)安全眾測平臺以及由相關(guān)企業(yè)

運營的網(wǎng)絡(luò)安全眾測服務(wù)平臺均已組織開展大量眾測項目，為眾多政府機構(gòu)及企

事業(yè)單位提供安全服務(wù)。

六、采用國際標準和國外先進標準情況

本標準為自主制定，暫無網(wǎng)絡(luò)安全眾測服務(wù)相關(guān)的國際標準和國外先進標準。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標準的協(xié)調(diào)性

《中華人民共和國網(wǎng)絡(luò)安全法》第二十七條規(guī)定“任何個人和組織不得從事

非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活

動；不得提供專門用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能及防護措施、竊取網(wǎng)絡(luò)

數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動的程序、工具……”。本標準將眾測組織方獲得眾測需

求方明確授權(quán)作為網(wǎng)絡(luò)安全眾測服務(wù)啟動的必要前置條件，可規(guī)范網(wǎng)絡(luò)安全眾測

服務(wù)相關(guān)方的活動，以確保符合《網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)的要求。

針對網(wǎng)絡(luò)安全眾測服務(wù)，通信、金融等領(lǐng)域制定發(fā)布了行業(yè)標準：YD/T3744-

2020《網(wǎng)絡(luò)安全眾測平臺技術(shù)要求》，YD/T3745-2020《網(wǎng)絡(luò)安全眾測服務(wù)管理

要求》，JR/T0214-2021《金融網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全眾測實施指南》。

本標準符合現(xiàn)有法律法規(guī)的要求，并與現(xiàn)有相關(guān)標準協(xié)調(diào)一致。

八、重大分歧意見的處理經(jīng)過和依據(jù)

無

九、標準性質(zhì)的建議

建議本標準作為推薦性國家標準發(fā)布實施。

十、貫徹標準的要求和措施建議

在正式執(zhí)行本標準之前，對標準中的條款進行宣貫，以在利益相關(guān)方之間達

成標準條款理解上的一致性。

十一、替代或廢止現(xiàn)行相關(guān)標準的建議

無

十二、其它應(yīng)予說明的事項

無。

《信息安全技術(shù)網(wǎng)絡(luò)安全眾測服務(wù)要求》

標準編制工作組

2022年9月27日

一、工作簡況

1、任務(wù)來源

根據(jù)國家標準化管理委員會2022年下達的國家標準制修訂計劃：《信息安全

技術(shù)網(wǎng)絡(luò)安全眾測服務(wù)要求》，國標計劃號：20220608-T-469，標準由國家計算

機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心主辦，由全國信息安全標準化技術(shù)委員會（SAC/TC

260）歸口管理。

2、主要起草單位和工作組成員

《信息安全技術(shù)網(wǎng)絡(luò)安全眾測服務(wù)要求》由國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理

協(xié)調(diào)中心牽頭研制，起草單位為：國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國

電子技術(shù)標準化研究院、中國信息安全測評中心、國家信息技術(shù)安全研究中心、

阿里云計算有限公司、網(wǎng)神信息技術(shù)（北京）股份有限公司、北京中金安服科技

有限公司、中國移動通信集團有限公司、中國科學(xué)院軟件研究所、上海斗象信息

科技有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、中通服咨詢設(shè)計研究院有限

公司、上海文鰩信息科技有限公司、浙江螞蟻小微金融服務(wù)集團股份有限公司、

杭州安恒信息技術(shù)股份有限公司、北京信息安全測評中心、北京東方通網(wǎng)信科技

有限公司、北京眾安天下科技有限公司、北京奇虎科技有限公司、中國電子科技

網(wǎng)絡(luò)信息安全有限公司、北京北信源軟件股份有限公司、啟明星辰信息技術(shù)集團

股份有限公司、工業(yè)和信息化部計算機與微電子發(fā)展研究中心（中國軟件評測中

心）、北京數(shù)字觀星科技有限公司、上海計算機軟件技術(shù)開發(fā)中心。

本標準主要起草人：云曉春、舒敏、嚴寒冰、王文磊、劉賢剛、王惠蒞、張

大江、楊晨、高繼明、秦磊、王宏、孫彥、何能強、王江波、董航、鄧萍萍、俞

斌、崔婷婷、李媛、胡鳴、王俊杰、郭亮、閆宏石、王龑、邱勤、左敏、凌墨緣、

張奇、楊蔚。

3、主要工作過程

（1）草案階段：

2019年9月25日，起草組組織召開了標準研制啟動會，各參編單位討論

后確定了標準大綱，并進行了任務(wù)分工，編制形成了草案（第1稿）。

2019年10月17日，起草組組織召開了專家評審會，征集到專家意見14

條，處理結(jié)果均為采納。起草組根據(jù)專家意見對標準草案進行了修改，修改形

成了草案（第2稿）。

2019年10月28日，起草組在TC260重慶會議周WG7會上進行匯報，征集

到專家意見14條，處理結(jié)果為采納13條，未采納1條。

2019年12月4日，起草組召開編制討論會，會上根據(jù)重慶會議周的意見

處理修改形成了草案（第3稿）。

2020年3月31日，起草組內(nèi)部對標準內(nèi)容提出多輪修改意見，對起草組

內(nèi)部意見處理后修改形成了草案（第4稿）。

2020年5月12日，在TC260線上會議周匯報，成功推進形成征求意見

稿。

（2）征求意見稿階段：

2020年5月13日至6月4日，起草組對線上會議周征集到的12條工作組

專家意見進行處理，處理意見為采納8條，部分采納4條。

2020年6月17日，參加TC260秘書處組織的線上專家評審會，會上收集

到專家意見11條，均采納。6月24日，秘書處責任編輯對征求意見稿進行了

審查，根據(jù)責任編輯意見進行了相應(yīng)修改，處理意見為采納6條。

2020年7月17日，受信安標委秘書處委托，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處

理協(xié)調(diào)中心組織12家眾測相關(guān)單位召開標準試點驗證啟動會，項目牽頭單位匯

報了試點驗證方案和計劃，3位外部專家對試點驗證方案進行了審核，并按計

劃于2020年8月15日完成了標準試點驗證工作。

2020年9月25日至2020年11月24日，信安標委秘書處向工業(yè)和信息化

部科技司、公安部十一局、國家保密局、國家密碼管理局、國家認證認可監(jiān)督

管理委員會、中國信息安全測評中心、中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局等上級主管

部門發(fā)函征求意見，并在信安標委官網(wǎng)公開征求意見，征求意見范圍具有廣泛

性和代表性。共收到意見6條，意見處理結(jié)果為采納5條、未采納0條、部分

采納1條。

2021年3月10日，參加TC260WG7組織的專家評審會,共收到意見21

條，意見處理結(jié)果為采納16條、未采納0條、部分采納5條。

2021年5月10日至5月13日，參加信安標委武漢會議周WG7工作組會議

并在WG7工作組武漢會議上匯報，成功推進形成送審稿。

（3）送審稿階段：

2021年5月14日至7月20日，起草組對武漢會議周征集到的6條工作組

專家意見進行處理，處理意見為采納5條，部分采納1條。因2020年公開征求

意見，2022年才獲得國標計劃號，擬再次公開征求意見。

2022年9月16日，參加信安標委秘書處組織的專家評審會，共收到意見

11條，意見處理結(jié)果為采納11條，部分采納和未采納0條。會后形成新版標

準文稿，擬以征求意見稿形式再次公開征求意見。

二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、編制原則

本標準在研制過程中遵循的原則包括：

（1）實用性原則

研制過程中，緊密圍繞眾測服務(wù)產(chǎn)業(yè)發(fā)展實踐和需求，力求標準能夠為規(guī)范

眾測服務(wù)提供有效指導(dǎo)。

（2）合規(guī)性原則

遵循國家以及各行業(yè)的相關(guān)規(guī)定，對眾測組織方、授權(quán)測試方等行為進行規(guī)

范，確保眾測服務(wù)合規(guī)、合法。

2、主要內(nèi)容

本標準確立了網(wǎng)絡(luò)安