T-SIA 030-2021 区块链企业服务能力要求

ICS35.020I651T/SIA030—2021Blockchainenterpriseservicecapabilitiesrequirements2021-09-01发布2021-09-01实施 12规范性引用文件 1 14区块链企业服务特征 15基本要求 2 3 3 3 37运营服务 37.1服务目录管理 3 3 4 4 4 48运行维护 4 4 5 5 5 5T/SIA030—2021本标准按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起本文件由中国软件行业协会提出并归口。本文件起草单位：赛迪工业和信息化研究院(集团)有限公司、赛迪(青岛)区块链研究院有限公司、中国软件行业协会区块链分会、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、北京天德科技有限公司、北京航空航天大学、北京太一云科技有限公司、华为软件技术有限公司、苏州超块链信息科技有限公司、北京信任度科技有限公司、齐鲁工业大学、北京筑龙信息技术有限责任公司。本标准主要起草人：刘权、曾晋、崔志如、吕韬、万晨阳、蔡维德、邓恩艳、闫晓丽、周鸣爱、黄忠义、高睿、赵华伟、张路、甘国华、陈光宇、张小军、吴英礼、马臣云、郑晓宇。1T/SIA030—2021本文件规定了区块链服务企业能力的一般要求，包括人员、运营服务、运行维护、技术四个方面。注：在不引起混淆的情况下，本文件中的“标准化文件”简称为“文件”2规范性引用文件本标准在编写时主要参考及引用了以下文件。凡是注日期的引用文件，仅注日期的版本适用于本文件；凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。T/SIA007—2018区块链平台基础技术要求T/SHBTA001—2019区块链企业认定方法T/SHBTA004—2019区块链技术和应用人才评估规范3.1区块链平台blockchainplatform基于区块链技术或者系统，通过互联网站、应用程序等形式，向社会公众提供信息服务的平台。3.2用户user区块链的用户是指使用区块链产品或服务解决其业务问题的组织、个人或信息系统。3.3向社会公众提供区块链信息服务的主体或者节点，以及为区块链信息服务的主体提供技术支持的机构或者组织。3.4区块链平台服务人员blockchainplatformservicestaff掌握区块链技术和应用方面的专业知识和技能，能够从事区块链技术研究、规划、设计、开发、维护与运营的相关人员。4区块链企业服务特征区块链服务提供商根据服务模式主要可分为以下三类：T/SIA030—20212a)区块链底层系统研发型企业(blockchaindevelopmentcompany):向社会公众提供区块链底层系统技术为主要目标，为区块链技术应用服务型企业提供技术支持的机构或者组织，企业通过自主研发、受让、受赠、并购等方式，获得区块链相关的核心技术。b)区块链技术应用服务型企业(blockchainapplicationcompany):结合已有区块链技术底层系统，探究适于当前社会发展的应用场景，并为该场景提供相应的技术应用服务的企业。c)区块链第三方服务型企业(blockchainenterpriseserviceprovider):主要为区块链底层系统研发型企业、区块链技术应用服务型企业提供增值服务，常见增值服务包括区块链行业市场品牌服务、区块链应用场景相关咨询服务、区块链企业财务顾问服务、区块链测评服务等。5基本要求区块链企业首先应满足以下要求：a)企业的主要经营业务与区块链服务相关；b)拥有与区块链产品核心技术有关的知识产权，或拥有与区块链产品相关知识产权的全部合法使用权(自有或授权使用);c)承诺符合中华人民共和国相关法律规定，不得上传反动、色情、虚假等信息；d)遵守《区块链信息服务管理规定》,并在相关主管机构备案；e)企业应通过ISO27001信息安全管理体系等认证。本标准包含4个维度，每个维度包含不同的要求，总计14项。维度要求人员人员管理岗位结构人员技能运营服务服务目录管理服务水平管理服务请求管理服务报告管理自服务管理信息安全管理运行维护运维管理账户管理密钥管理权限管理技术满足T/SIA007—2018区块链平台基础技术要求中相关规定T/SIA030—20213区块链服务提供商应确保服务提供过程中的有关人员具备相应的服务能力。应从以下方面规范人员管理：a)应通过清晰的政策、足够的预算与合理的分工，来确保人员管理满足客户的业务要b)应建立组织内人员选聘、试用、培训、考核与离职管理程序；c)应当建立人员管理制度、绩效考核办法和培训计划。在岗位结构方面应满足：a)建立专职团队负责区块链技术服务的提供；b)对区块链服务过程中的不同角色进行明确分工和职责定义，包括区块链工程技术人员、区块链应用操作员等；c)区块链技术服务团队应包括区块链平台服务管理、技术支持和日常维护等主要岗位；d)应当制定岗位职责说明书，明确主要岗位的人员配备。在人员技能方面应满足：a)区块链平台服务人员应掌握必要的专业技能，具备从事相关工作的资格；b)区块链平台服务人员应参加岗位技能考核，合格后方能上岗，岗位技能考核应定期开展；c)区块链服务提供商应建立人员技能考核制度，保证具有专业资质的人员数量。7.1服务目录管理区块链服务提供商应通过对服务目录的定义、维护与评估等管理，为用户提供单一、准确与完整的服务信息。区块链服务提供商应：a)定义流程中的角色与职责；b)在机构内部规范并发布区块链相关服务的定义；c)进行服务目录的更新与维护；d)与机构内的服务交付团队定期评估服务能力与服务目录的一致性；e)定期评估服务需求与服务目录的满足度。7.2服务水平管理区块链服务提供商应通过定义、签定与管理服务水平协议，确保所提供的各项服务符合该服务既定的服务目的。区块链服务提供商应：a)识别客户在服务中的需求；b)定义客户在服务中的项目，并形成服务描述与服务质量计划；c)建立服务水平的监控和报告的机制；d)定期、不定期评审服务水平协议执行状况，并作相关改进计划；T/SIA030—20214e)应建立重大产品质量问题处理制度，包括质量问题发现、跟踪、召回和报告制度等。7.3服务请求管理区块链服务提供商应通过对服务请求的定义、分派、审批与实现的管理，确保区块链服务提供商内部有规范的渠道接受客户的服务要求、投诉与评价，并提供相应的信息、服务提交物给到客户。区块链服务提供商应：a)明确服务请求的定义；b)建立分级与分派的机制；c)建立服务请求的实现流程；d)规范服务请求关闭的条件与要求，对顾客反馈和内部发现的质量问题采取必要的处理措施。7.4服务报告管理区块链服务提供商应通过及时、准确、可靠的报告，建立服务提供商与客户之间有效的信息沟通机制，区块链服务提供商应：a)建立服务报告的管理流程，包括建立、审批、分发、归档等流程；b)定义服务报告的内容、范围、计算方式与报告模板；c)定义并执行服务报告相关数据的搜集、加工与报告周期。7.5自服务管理区块链服务提供商应为用户提供友好的自助服务界面(门户或API接口),为用户提供服务的查询，以及用户管理、账户管理、资源管理以及服务管理等机制。区块链服务提供商应：a)建立用户管理机制，提供用户的注册、注销、信息管理、凭证管理以及用户的身份鉴别等机制；b)建立服务管理机制，提供资源监控、流程管理等机制和流程；c)建立资源管理机制，如部署、管理、删除区块链及链上资源等机制。7.6信息安全管理区块链服务提供商应建立信息安全方针策略，针对信息安全管理过程的活动，包括识别、评估、处置和改进等。区块链服务提供商应：a)建立信息安全管理体系(包括安全方针、策略等)、风险评估记录等；b)制定并实施信息安全控制措施，定期评审控制措施的有效性；c)重点关注保护区块链服务相关信息资产的安全措施；d)具备专业的信息安全防护工具，至少包含用户口令的认证、权限，用户操作的日志、审计，病毒及漏洞扫描等功能。8运行维护8.1运维管理区块链服务运维操作需具备基于资源监控和服务监控的反馈机制。区块链服务提供商应：a)建立产品发布过程中的部署、配置修改、合约发布、性能以及产品运行中的实时状态的监控机制；b)建立基于监控的告警机制，对系统运行的重要事件、异常事件，以及节点、用户行为相关的异常状态进行自动告警；T/SIA030—20215c)建立运维管理权限控制系统，定义系统权限及相关角色，包括系统管理权限、安全管理权限、节点管理、审计权限、登录权限、链的相关权限、智能合约相关权限等。8.2账户管理区块链服务提供商应提供账户管理功能，建立服务提供商对用户的有效管理机制。区块链服务提供商应：a)建立账户管理功能，负责用户的账户管理，包括账户的注册、登录、注销以及账户跟密钥的不相关性处理；b)建立用户信息修改、查询机制；c)建立用户信息保护机制，用户的身份认证信息应采用加密存储；d)建立用户密码修改、重置等机制。8.3密钥管理密钥管理包括用户密钥安全管理和丢失找回的能力。区块链服务提供商应：a)建立用户密钥生命周期管理体系，对密钥的发放、传输、存储、销毁的各个环节提供安全保障；b)采用加密存储的方式保存用户及节点密钥，并提供丢失找回服务。8.4权限管理权限管理包括用户账户、密钥系统、节点加入和退出、数据访问等权限的控制和管理，包括审计权限、账户委托权限、节点共识权限以及用户数据访问权限等。9技术应满足T/SIA007—2018区块链平台基础技术要求中相关规定。通常情况下，区块链平台应满足以下技术要求：a)应基于某种算法提供链式数据结构(分布式账本),通过以区块为单位将一段时间内发生的事务进行储存；b)应提供某种共识服务，通过算法验证可以将某