TSTIC 130010-2022 区块链服务认证规范.pdf

本标准已于 2022 年 02 月 16 日在上海市市场监督管理局登记，登记号 T/312531310107F9382022 ICS 号：03.080 中国标准文献分类号：A 16 团 体 标 准 T/STIC130010-2022 区块链服务认证规范区块链服务认证规范 Certification Standard for Blockchain ServiceCertification Standard for Blockchain Service 2 0 2 22 0 2 2-0 10 1-2 52 5 发 布发 布 2 0 2 22 0 2 2-0 20 2-0 10 1 实 施实 施 上海市检验检测认证协会上海市检验检测认证协会 发发 布布 全国团体标准信息平台T/XXX I 目 次 前言.III 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 3.1 服务 Service.1 3.2 区块链服务 Blockchain Service.1 3.3 区块链 Blockchain.1 3.4 分布式记账 Distributed Ledger.1 3.5 事务 Transaction.1 3.6 智能合约 Smart Contract.2 3.7 共识 Consensus.2 4 服务要求.2 4.1 服务咨询.2 4.2 服务规划.2 4.3 服务方案设计.2 4.4 服务需求变更.3 4.5 服务交付验收.3 4.6 后续服务.4 4.7 服务中止或下线.4 5 技术要求.4 5.1 策划服务.4 5.2 技术特性.4 5.3 配置部署.4 5.4 联盟链管理.5 5.5 智能合约.5 5.6 访问者身份管理.5 5.7 数字证书管理.5 5.8 运维监控.5 5.9 开发工具包.5 6 合规性要求.5 6.1 法律法规要求识别.6 6.2 符合法律法规要求.6 6.3 法律法规要求传达.6 6.4 法律法规要求协助.6 7 管理要求.6 7.1 通用要求.6 7.2 特定要求.7 T/STIC130010-2022本标准已于2 0 2 2 年0 2 月1 6 日在上海市市场监督管理局登记，登记号T/3 1 2 53 1 3 1 0 1 0 7 F 9 3 8 2 0 2 2全国团体标准信息平台T/XXX II 8 评价的方式与方法.7 8.1 评价原则.7 8.2 评价方式.8 8.3 评价方法.8 参考文献.11 附录A .12 T/STIC130010-2022本标准已于2 0 2 2 年0 2 月1 6 日在上海市市场监督管理局登记，登记号T/3 1 2 53 1 3 1 0 1 0 7 F 9 3 8 2 0 2 2全国团体标准信息平台T/XXX III 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由上海市检验检测认证协会提出并归口。本文件起草单位：灏冉舟网络有限公司 天佑唯萨尔认证（上海）有限公司 上海挪华威认证有限公司 上海计算机软件技术开发中心 中国质量认证中心 上海质量管理科学研究院 上海唯链信息科技有限公司 江苏荣泽信息科技股份有限公司 观源（上海）科技有限公司 上海玳鸽信息技术有限公司 上海七印信息科技有限公司 蔷薇聚信（北京）科技有限公司 思睿认证（上海）有限公司 本文件主要起草人：畅金学 王卓群 陈悠蝶 李炜 戴炳荣 王锋 徐少山杨辉周子衡 任之劼 钟晓王剑 邓超国 方玉书 贾震 丁凤 吴鹏 金彪 翁书涵 李超 王洒洒 云瑶 吴建中 张晶 叶琪 首批承诺执行单位：灏冉舟网络有限公司 天佑唯萨尔认证（上海）有限公司 上海挪华威认证有限公司 上海计算机软件技术开发中心 中国质量认证中心 上海质量管理科学研究院 上海唯链信息科技有限公司 江苏荣泽信息科技股份有限公司 观源（上海）科技有限公司 上海玳鸽信息技术有限公司 上海七印信息科技有限公司 蔷薇聚信（北京）科技有限公司 思睿认证（上海）有限公司 T/STIC130010-2022本标准已于2 0 2 2 年0 2 月1 6 日在上海市市场监督管理局登记，登记号T/3 1 2 53 1 3 1 0 1 0 7 F 9 3 8 2 0 2 2全国团体标准信息平台T/XXX 1 区块链服务认证规范 1 范围 本规范规定了区块链服务评价和认证的规范性要求，包括服务过程所涉及的服务要求、技术要求、合规性要求、通用和特定的管理要求，以及服务评价所涉及的评价指标、评价方式和方法等内容。本规范适用于区块链服务水平评价和认证活动，也适用于区块链服务经营者规范其服务活动。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 28222-2011 服务标准编写通则 ISO 22739:2020 区块链和分布式记账技术 术语 ISO/TR 23455:2019 区块链和分布式记账技术-区块链和分布式记账技术系统中智能合约的概述及交互 3 术语和定义 下列术语和定义适用于本文件。3.1 服务 Service 经营者与顾客接触过程中所产生的一系列活动的过程及其结果，其结果通常是无形的。来源：GB/T 28222-2011，3.1 3.2 区块链服务 Blockchain Service 经营者以区块链技术为核心向顾客提供商业化服务的一种服务形式。3.3 区块链 Blockchain 使用密码技术链接将共识确认过的区块按顺序追加而形成的分布式记账。注：区块链旨在防止篡改并创建最终的、确定的和不变的记账记录。来源：ISO 22739:2020，3.6 3.4 分布式记账 Distributed Ledger 可以在多个站点、不同地理位置或者多个机构组成的网络里实现共同治理及分享的资产数据库。来源：ISO 22739:2020，3.22 3.5 事务 Transaction T/STIC130010-2022本标准已于2 0 2 2 年0 2 月1 6 日在上海市市场监督管理局登记，登记号T/3 1 2 53 1 3 1 0 1 0 7 F 9 3 8 2 0 2 2全国团体标准信息平台T/XXX 2 导致状态发生改变的工作流程的一个最小单元。来源：ISO 23455:2019，3.10 3.6 智能合约 Smart Contract 存储在分布式记账系统中的计算机程序，该程序的任何运行输出都记录在这个分布式记账系统中。来源：ISO 23455:2019，3.8 3.7 共识 Consensus 分布式记账节点间达成的协议，即事务已验证并且分布式记账包含已验证事务的一致性集合和顺序。注1：共识不等同于所有节点同意。注2：分布式记账设计之间关于共识的细节有所不同，这是一种设计和另一种设计之间的区别特征。来源：ISO 22739:2020，3.11 4 服务要求 4.1 服务咨询 经营者应以下列方式为意向顾客提供区块链服务相关的服务咨询：a)经营者应当安排专业的工作人员为意向顾客提供服务咨询。b)经营者应当设置线上、线下等多种沟通渠道以便于意向顾客联系工作人员获得服务咨询。c)在为意向顾客提供服务咨询的过程中，经营者应当如实地提供相关信息。d)经营者应当收集整理意向顾客的需求并形成文件化信息，明确说明意向顾客需要通过区块链服务解决的业务场景，并将顾客需求的文件化信息完整、及时地传递给负责服务规划、服务方案设计的工作人员。4.2 服务规划 a)提供区块链服务可行性方案并传递给顾客，以明确说明服务规划中能解决顾客需求的区块链服务所带来商业或者技术价值。b)可行性方案中应当明确经营者已具备必要的服务能力来满足顾客需求。c)应当向顾客说明可行性方案中经营者、顾客和合作第三方各自的权利和义务，包括但不限于预期的服务方式、期限、计费方法、知识产权、合规性要求等内容。d)需要分为多个阶段或版本完成服务交付时，应当明确每一交付阶段或版本需要满足的交付条件。4.3 服务方案设计 经营者应提供详细的区块链服务方案设计并得到顾客认可，以确保：a)能够充分满足与顾客签订的合作协议中的各项要求。T/STIC130010-2022本标准已于2 0 2 2 年0 2 月1 6 日在上海市市场监督管理局登记，登记号T/3 1 2 53 1 3 1 0 1 0 7 F 9 3 8 2 0 2 2全国团体标准信息平台T/XXX 3 b)明确说明服务过程中事务数据的来源和采集方式，以及如何保证原始事务数据本身的真实性。c)明确说明如何利用区块链上的事务数据，适当时结合链下存储的数据等信息，以得到符合顾客期望的有价值的结果。d)明确说明服务过程所采用的区块链及其特征。具体包括：1.明确服务所采用的区块链，详细说明区块链的类型和参与方。2.明确如何利用该区块链的技术特性，包括但不限于区块链采用的共识算法、计算能力、网络通讯能力、存储能力等来满足顾客的业务场景要求。3.将链上数据直观展现给顾客及相关方的方式和工具。4.保护链上数据信息安全的方法。e)应当明确事务数据上链的过程，包括：1)上链操作者的身份验证方式。2)详细描述实现事务的智能合约。3)验证链上数据有效性的方式和工具。f)服务方案设计应当经过评审，与顾客达成一致并形成文件化信息。4.4 服务需求变更 当顾客需求发生变更时，a)经营者应当安排工作人员并提供正式的流程来响应和处理顾客对已经确认过的区块链服务需求所提出的变更。b)经营者应当对顾客提出的需求变更进行评审，以确保变更是可行的并且符合相关法律法规的要求。对于不可行或者不符合相关法律法规要求的需求变更应予以回绝并说明理由。c)当经营者确认需求变更是可行的，应和顾客就需求变更的实施方案达成一致。d)必要时，应当与顾客重新确认服务策划以及服务方案设计，包括对原有的合作协议进行必要的修订。e)应当确保相关的文档都得到适当修改和批准，并且相关人员都理解已变更的要求。4.5 服务交付验收 在向顾客正式交付约定的区块链服务时，a)经营者应当验证区块链服务的各项功能和性能指标都已充分满足顾客的要求。b)与服务交付验收相关的文档资料都已按照约定交付给顾客。c)如果仍然存在已知缺陷，应向顾客进行明示并且得到顾客让步接受的书面确认。d)向顾客提供解决服务交付验收后才被发现的缺陷的响应方式和处置流程。e)向顾客明示运营或者使用该区块链服务时所必须遵守的法律法规要求和义务。T/STIC130010-2022本标准已于2 0 2 2 年0 2 月1 6 日在上海市市场监督管理局登记，登记号T/3 1 2 53 1 3 1 0 1 0 7 F 9 3 8 2 0 2 2全国团体标准信息平台T/XXX 4 f)设置适当的流程以在必要时协助顾客履行其法律法规义务。（见 6.3）4.6 后续服务 在向顾客正式交付约定的区块链服务后，为确保区块链服务后续正常有效地运行，经营者 a)应当与顾客约定如何向顾客传授正确使用区块链服务的知识技能。b)应当设置流程以响应和处置顾客希望在现有区块链服务基础上增加新功能或者变更原有功能的要求。c)应当设置流程以响应和协助处置顾客在使用区块链服务过程中发生的各类事件，明确双方在处理此类事件中的责任和义务。d)按照顾客要求为区块链服务提供后期维护时，应与顾客签订相应的维护服务级别协议，以明确经营者承诺提供的服务内容、服务方式和对应的服务级别目标。4.7 服务中止或下线 经营者应通过以下方式充分保障服务中止或下线时经营者、顾客和合作第三方各自的合法权益：a)合作协议中应明确当服务中止时经营者、顾客及合作第三方各自所具有的合法权益和义务。b)服务中止时应当按照与顾客的约定移交区块链服务的管理维护职责、系统访问权限和相关文档资料。c)服务下线过程应当避免对其他服务的正常运行以及区块链服务涉及到的合作第三方