DB2101T 0030-2021 網(wǎng)絡(luò)安全管理評估規(guī)范　　

CCSL80DB2101/T沈陽市地方標(biāo)準(zhǔn)Specificationsfornetworksecuritymanageme沈陽市市場監(jiān)督管理局發(fā)布IDB2101/T0030—2021前言 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 15評估流程 16評估程序 26.1工作準(zhǔn)備階段 36.2工作實施階段 76.3結(jié)果反饋階段 97評估內(nèi)容 97.1法律法規(guī)合規(guī)評估 97.2行業(yè)領(lǐng)域要求評估 7.3安全管理措施評估 7.4安全技術(shù)措施評估 7.5技術(shù)檢測評估 附錄A（資料性）記錄表 附錄B（資料性）風(fēng)險分析模型 附錄C（資料性）評估報告模板示例 參考文獻(xiàn) DB2101/T0030—2021本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由中共沈陽市委網(wǎng)絡(luò)安全和信息化委員會辦公室提出并歸口，同時負(fù)責(zé)標(biāo)準(zhǔn)的宣貫、監(jiān)督實施等工作。本文件起草單位：東軟集團(tuán)股份有限公司、東北大學(xué)、遼寧省信息安全與軟件測評認(rèn)證中心、沈陽賽寶科技服務(wù)有限公司、沈陽欣欣晶智計算機(jī)安全檢測技術(shù)有限公司。本文件主要起草人：張泉、陳靜相、路娜、王華鐸、葛長龍、楊菲菲、周福才、郭劍鋒、趙英科、金鑫、紀(jì)德海、文軍日、金玉平。文件發(fā)布實施后，任何單位和個人如有問題和意見建議，均可以通過來電、來函等方式進(jìn)行反饋，我們將及時答復(fù)并認(rèn)真處理，根據(jù)實施情況依法進(jìn)行評估及復(fù)審。本文件歸口部門聯(lián)系電話聯(lián)系地址：沈陽市渾南區(qū)沈中大街206-1號。本文件起草單位聯(lián)系電話聯(lián)系地址：沈陽市渾南新區(qū)新秀街2號。DB2101/T0030—2021為落實《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)要求，解決地區(qū)產(chǎn)業(yè)結(jié)構(gòu)差異、地區(qū)性共性及有代表性的個性化網(wǎng)絡(luò)安全問題，通過制定《網(wǎng)絡(luò)安全管理評估規(guī)范》標(biāo)準(zhǔn)，規(guī)范有關(guān)部門開展網(wǎng)絡(luò)安全評估工作，充分掌握各級關(guān)鍵行業(yè)網(wǎng)絡(luò)運營者的安全風(fēng)險和防護(hù)狀況。制定本標(biāo)準(zhǔn)旨在以查促建、促管、促改、促防，最終推動關(guān)鍵行業(yè)網(wǎng)絡(luò)運營者安全責(zé)任制和網(wǎng)絡(luò)安全防范體系的建立和落實，保障關(guān)鍵行業(yè)信息系統(tǒng)安全穩(wěn)定運行。《網(wǎng)絡(luò)安全管理評估規(guī)范》列出了網(wǎng)絡(luò)運營者在網(wǎng)絡(luò)安全評估方面的流程、程序，定義了評估的主要內(nèi)容。評估流程分為工作準(zhǔn)備、工作實施和結(jié)果反饋三個階段，其中工作準(zhǔn)備階段是對評估實施有效性的保證，是評估工作的開始；工作實施階段是對評估活動中涉及的評估內(nèi)容進(jìn)行判定，同時基于獲得的各類信息進(jìn)行關(guān)聯(lián)分析，計算風(fēng)險值，并綜合評估整體安全狀況出具評估報告；結(jié)果反饋階段是對評估實施質(zhì)量判定的過程，是評估工作的終止。評估程序是圍繞評估工作的全生命周期，根據(jù)不同階段的工作事項，為達(dá)到相應(yīng)評估目的應(yīng)采取的手段和行為方式，用于規(guī)范和指導(dǎo)評估者開展和落實網(wǎng)絡(luò)安全評估具體工作。評估內(nèi)容主要包括法律法規(guī)合規(guī)、行業(yè)領(lǐng)域要求、安全管理措施、安全技術(shù)措施、技術(shù)檢測等方面的評估，通過文檔查閱、現(xiàn)場訪談等方法，檢查被評估方是否遵從法律、法規(guī)和政策標(biāo)準(zhǔn)的相關(guān)要求，是否存在安全漏洞和安全隱患。1DB2101/T0030—2021網(wǎng)絡(luò)安全管理評估規(guī)范本文件給出了網(wǎng)絡(luò)安全評估工作的評估流程、評估程序和評估內(nèi)容。本文件適用于有關(guān)部門開展網(wǎng)絡(luò)安全評估工作參考；網(wǎng)絡(luò)運營者自行開展網(wǎng)絡(luò)安全評估工作參考；網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對網(wǎng)絡(luò)運營者提供咨詢、檢測、評估等服務(wù)參考；網(wǎng)絡(luò)安全檢測產(chǎn)品及服務(wù)研發(fā)機(jī)構(gòu)研發(fā)檢查工具、安全咨詢服務(wù)、創(chuàng)新安全應(yīng)用參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20984-2007信息安全技術(shù)GB/T22239-2019信息安全技術(shù)GB/T22240-2020信息安全技術(shù)GB/T25069信息安全技術(shù)術(shù)語GB/T31509-2015信息安全技術(shù)GB/T35273-2020信息安全技術(shù)信息安全風(fēng)險評估規(guī)范網(wǎng)絡(luò)安全等級保護(hù)基本要求網(wǎng)絡(luò)安全等級保護(hù)定級指南信息安全風(fēng)險評估實施指南個人信息安全規(guī)范3術(shù)語和定義GB/T25069中界定的以及下列術(shù)語和定義適用于本文件。3.1網(wǎng)絡(luò)運營者Networkoperators網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。4縮略語下列縮略語適用于本文件。IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）MAC：介質(zhì)訪問控制（MediumAccessControl）5評估流程2人員組織架構(gòu)系統(tǒng)描述文件工作準(zhǔn)備階段設(shè)備清單管理制度評估準(zhǔn)備工作確定評估目標(biāo)確定評估范圍組建評估團(tuán)隊組織評估啟動會議現(xiàn)狀調(diào)查制定評估方案調(diào)研報告評估方案評估方案調(diào)研報告評估結(jié)果記錄表調(diào)研報告評估方案網(wǎng)絡(luò)安全評估報告工作實施階段結(jié)果反饋階段組織專項培訓(xùn)評估實施準(zhǔn)備現(xiàn)場評估實施匯總評估結(jié)果分析問題隱患研究整改措施落實整改內(nèi)容編寫評估報告組織評審會議評估結(jié)果反饋現(xiàn)場評估授權(quán)書網(wǎng)絡(luò)安全評估報告評審意見書6評估程序36.1工作準(zhǔn)備階段a)網(wǎng)絡(luò)安全評估的目標(biāo)應(yīng)根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容b)網(wǎng)絡(luò)安全評估應(yīng)根據(jù)當(dāng)前信息系統(tǒng)的實際情況來確定在信息系統(tǒng)生命周期中所處的階段，并以b)網(wǎng)絡(luò)及設(shè)備載體的邊界；被評估方主管領(lǐng)導(dǎo)被評估方主管領(lǐng)導(dǎo)網(wǎng)絡(luò)安全評估工作領(lǐng)導(dǎo)小組組長網(wǎng)絡(luò)安全評估小組項目組長網(wǎng)絡(luò)安全評估領(lǐng)導(dǎo)小組成員評估方項目組長網(wǎng)絡(luò)安全管理人員被評估方項目組長質(zhì)量管控員運維人員圖2網(wǎng)絡(luò)安全評估團(tuán)隊框架4DB2101/T0030—2021網(wǎng)絡(luò)安全評估工作領(lǐng)導(dǎo)小組應(yīng)由被評估方主管信息化或網(wǎng)絡(luò)安全工作的領(lǐng)導(dǎo)、相關(guān)業(yè)務(wù)部門領(lǐng)導(dǎo)以及評估方項目組長等人員組成。網(wǎng)絡(luò)安全評估工作領(lǐng)導(dǎo)小組主要負(fù)責(zé)決策網(wǎng)絡(luò)安全評估工作的目的、目標(biāo)；參與并指導(dǎo)網(wǎng)絡(luò)安全評估準(zhǔn)備階段的啟動會議；協(xié)調(diào)評估實施過程中的各項資源；組織評估項目驗收會議；推進(jìn)并監(jiān)督風(fēng)險處理工作等。網(wǎng)絡(luò)安全評估小組應(yīng)由評估方、被評估方等共同組建，必要時可聘請相關(guān)專業(yè)的技術(shù)專家進(jìn)行技術(shù)支持。網(wǎng)絡(luò)安全評估小組主要負(fù)責(zé)完成評估前的表格、文檔、檢測工具等各項準(zhǔn)備工作；進(jìn)行網(wǎng)絡(luò)安全評估技術(shù)培訓(xùn)和保密教育；制定網(wǎng)絡(luò)安全評估過程管理相關(guān)規(guī)定；編制應(yīng)急預(yù)案等。網(wǎng)絡(luò)安全評估小組應(yīng)采用合理的項目管理機(jī)制，主要相關(guān)成員角色與職責(zé)說明如表1和表2所示。表1網(wǎng)絡(luò)安全評估小組——評估方構(gòu)成角色與職責(zé)說明3)根據(jù)評估目標(biāo)、評估范圍及系統(tǒng)調(diào)研的情4)對評估工作中遇到的問題及時向項目組長匯5)將各階段的技術(shù)性評估工作成果進(jìn)行匯總，參與編寫4)對評估工作中遇到的問題及時向項目組長匯5)將各階段的管理性評估工作成果進(jìn)行匯總，參與編寫5DB2101/T0030—2021表1網(wǎng)絡(luò)安全評估小組——評估方構(gòu)成角色與職責(zé)說明（續(xù)）4)對評估工作中遇到的問題及時向項目組長匯5)將各階段的技術(shù)檢測評估工作成果進(jìn)行匯總，參與編寫表2網(wǎng)絡(luò)安全評估小組——被評估方構(gòu)成角色與職責(zé)說明4)組織本單位的項目組成員對評估方提交的《網(wǎng)絡(luò)安被評估方的專職網(wǎng)絡(luò)安全管理人員。在網(wǎng)絡(luò)安全評估項目中的3)參與對項目過程中實施方提交的評估信息、數(shù)據(jù)及文檔溝通,及時協(xié)調(diào)、調(diào)動相關(guān)部門的資源,包括工作場地、物資、人員等,以保障項具體工作職責(zé)包括:3)參與對項目過程中實施方提交的評估信息、數(shù)據(jù)及文檔被評估方的信息系統(tǒng)運行維護(hù)人員。在網(wǎng)絡(luò)安全評估項目中的具體工作職責(zé)包括:6DB2101/T0030—2021表2網(wǎng)絡(luò)安全評估小組——被評估方構(gòu)成角色與職責(zé)說明（續(xù)）3)參與對項目過程中實施方提交的評估信息、數(shù)據(jù)及文檔被評估方本單位或第三方外包商的軟件開發(fā)人員代表。在網(wǎng)絡(luò)安全評估項目中的具體工作職責(zé)包括:3)參與對項目過程中實施方提交的評估信息、數(shù)據(jù)及文檔6.1.5組織評估啟動會議網(wǎng)絡(luò)安全評估領(lǐng)導(dǎo)小組應(yīng)組織召開網(wǎng)絡(luò)安全評估工作啟動會議，參與人員應(yīng)該包括評估小組全體人員、相關(guān)業(yè)務(wù)部門主要負(fù)責(zé)人，如有必要可邀請相關(guān)專家組成員參加。啟動會議應(yīng)包括但不限于以下內(nèi)a）宣布此次評估工作的意義、目的、目標(biāo)，以及評估工作中的責(zé)任分工；b）說明本次評估工作的計劃和各階段工作任務(wù)，以及需要配合的具體事項；c）介紹評估工作一般性方法和工作內(nèi)容等。6.1.6現(xiàn)狀調(diào)查評估方應(yīng)對被評估方開展現(xiàn)狀調(diào)查，被評估方提供的信息應(yīng)包括：a）被評估方負(fù)責(zé)人信息及人員組織架構(gòu)；b）被評估方的網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)等基本信息；c）被評估方行業(yè)領(lǐng)域相關(guān)法律法規(guī)、政策文件和標(biāo)準(zhǔn)規(guī)范清單；d）主要運營業(yè)務(wù)及其工作流程；e）關(guān)鍵崗位從業(yè)人員信息；f）網(wǎng)絡(luò)安全管理制度；g）安全防護(hù)基本情況以及曾發(fā)生的網(wǎng)絡(luò)安全事件情況；h）近一年內(nèi)自行或委托開展檢測評估情況、接受有關(guān)部門抽查檢測情況；i）根據(jù)實際需要提供其他相關(guān)信息。6.1.7制定評估方案評估方應(yīng)制定網(wǎng)絡(luò)安全評估方案，并得到被評估方的確認(rèn)和認(rèn)可。網(wǎng)絡(luò)安全評估方案應(yīng)包括但不限于以下內(nèi)容：a）網(wǎng)絡(luò)安全評估工作框架：包括評估目標(biāo)、評估范圍、評估依據(jù)等；b）評估團(tuán)隊組織：包括評估小組成員、組織結(jié)構(gòu)、角色、責(zé)任；c）評估工作計劃：包括各階段工作內(nèi)容、工作形式、工作成果等；d）風(fēng)險措施：包括保密協(xié)議、評估工作環(huán)境要求、評估方法、工具選擇、應(yīng)急預(yù)案等；e）時間進(jìn)度安排：評估工作實施的時間進(jìn)度安排；f）項目驗收方式：包括驗收方式、驗收依據(jù)、驗收結(jié)論定義等；7DB2101/T0030—2021g）項目管理制度：包括質(zhì)量管理、風(fēng)險管理、項目階段確認(rèn)書等；h）被評估方需要配合的事項清單；6.1.8組織專項培訓(xùn)評估方應(yīng)組織專項培訓(xùn)，對負(fù)責(zé)評估工作的干部、專家、技術(shù)人員、有關(guān)運維人員等進(jìn)行廣泛培訓(xùn)，確保評估工作質(zhì)量，培訓(xùn)內(nèi)容應(yīng)包括評估目的意義、流程方法、登記表填報說明、網(wǎng)絡(luò)安全評估方法等。6.2工作實施階段6.2.1評估實施準(zhǔn)備評估方應(yīng)對安全評估實施過程進(jìn)行風(fēng)險控制，可采取嚴(yán)格操作的申請和監(jiān)護(hù)、操作時間控制、應(yīng)急預(yù)案制定、運行系統(tǒng)模擬環(huán)境搭建、關(guān)鍵業(yè)務(wù)系統(tǒng)采用人工評估、評估人員選取、評估現(xiàn)場安全培訓(xùn)等風(fēng)險控制手段，防止安全評估過程中引入的風(fēng)險。當(dāng)評估活動由有關(guān)部門發(fā)起并委托安全服務(wù)機(jī)構(gòu)進(jìn)行時，評估方應(yīng)獲得該領(lǐng)域業(yè)務(wù)主管部門的認(rèn)定或者委托授權(quán)，被評估方應(yīng)當(dāng)提供評估所必要的軟硬件條件和工作環(huán)境。6.2.2現(xiàn)場評估實施評估方應(yīng)按照評估方案的要求，通過文檔查閱、現(xiàn)場訪談、現(xiàn)場檢查、現(xiàn)場測試4種方法對被評估方所涉及的評估內(nèi)容實施網(wǎng)絡(luò)安全評估，并就發(fā)現(xiàn)的主要問題與被評估方進(jìn)行現(xiàn)場簽字確認(rèn)：a）文檔查閱應(yīng)包括：查閱被評估方的系統(tǒng)規(guī)劃設(shè)計方案、網(wǎng)絡(luò)拓?fù)鋱D、系統(tǒng)安全防護(hù)計劃、安全策略、架構(gòu)、要求、標(biāo)準(zhǔn)作業(yè)程序、授權(quán)協(xié)議、系統(tǒng)互連備忘錄、網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)計劃等文檔，評估其準(zhǔn)確性和完整性；b）現(xiàn)場訪談應(yīng)包括：依據(jù)評估實施之前準(zhǔn)備好訪談問卷或調(diào)查表，補(bǔ)充在文檔查閱中未被發(fā)現(xiàn)的系統(tǒng)細(xì)節(jié)，進(jìn)一步理解和洞察系統(tǒng)的開發(fā)、集成、供應(yīng)、使用、管理等過程?，F(xiàn)場訪談記錄表參見附錄A；c）現(xiàn)場檢查應(yīng)包括：根據(jù)評估方案和評估指導(dǎo)書，在合理的評估環(huán)境下，檢查各項安全功能和防護(hù)能力是否與提交文檔一致，是否符合相關(guān)標(biāo)準(zhǔn)和要求等；d）現(xiàn)場測試應(yīng)包括：根據(jù)評估方案，在被評估單位授權(quán)的前提下，運用滲透測試、漏洞掃描等方法直接在待評估系統(tǒng)現(xiàn)場環(huán)境上進(jìn)行安全性測試。6.2.3匯總評估結(jié)果評估實施完成后，評估方應(yīng)及時對評估結(jié)果進(jìn)行梳理、匯總，從安全管理、技術(shù)防護(hù)等方面對評估發(fā)現(xiàn)的問題和隱患進(jìn)行分類整理。6.2.4分析問題隱患6.2.4.1關(guān)鍵屬性分析評估方應(yīng)分析被評估方的業(yè)務(wù)特點，給出系統(tǒng)對象及相關(guān)資產(chǎn)在業(yè)務(wù)連續(xù)性、系統(tǒng)完整性和數(shù)據(jù)機(jī)密性等方面的等級（分為高、中、低三個等級）和具體描述，并把等級為高的系統(tǒng)對象及相關(guān)資產(chǎn)的業(yè)務(wù)特性定義為關(guān)鍵屬性，關(guān)鍵屬性可以是上述幾個特性的組合。系統(tǒng)對象及相關(guān)資產(chǎn)的重要性等級應(yīng)按照GB/T20984-2007中5.2條款“資產(chǎn)識別”和GB/T31509-2015中5.2.2條款“資產(chǎn)識別”進(jìn)行劃分，在被評估方的意見基礎(chǔ)之上，由評估方確定。8DB2101/T0030—20216.2.4.2脆弱性識別評估方應(yīng)根據(jù)評估內(nèi)容的檢查結(jié)果，對系統(tǒng)對象的脆弱性等級進(jìn)行分析（高、中、低）并給出具體描述。脆弱性等級應(yīng)按照GB/T20984-2007中5.4條款“脆弱性識別”和GB/T31509-2015中5.2.4條款“脆弱性識別”進(jìn)行劃分，在被評估方的意見基礎(chǔ)之上，由評估方確定。6.2.4.3威脅分析評估方應(yīng)根據(jù)檢查結(jié)果，結(jié)合安全威脅清單，根據(jù)分析被評估方的業(yè)務(wù)特點，按照威脅的來源（內(nèi)部和外部）與威脅發(fā)生的可能性，對系統(tǒng)對象進(jìn)行威脅分析并給出具體描述。威脅分析方法應(yīng)按照GB/T20984-2007中5.3條款“威脅識別”和GB/T31509-2015中5.2.3.4條款“威脅分析”中定義的方法。6.2.4.4風(fēng)險分析評估評估方應(yīng)根據(jù)關(guān)鍵屬性分析、脆弱性分析和威脅分析的結(jié)果，對系統(tǒng)對象每個關(guān)鍵屬性逐一進(jìn)行定性風(fēng)險分析，定性風(fēng)險分析應(yīng)按照GB/T20984-2007中5.6條款“風(fēng)險分析”中定義的方法（參考附錄B的風(fēng)險分析模型進(jìn)行風(fēng)險值的計算并給出每個關(guān)鍵屬性風(fēng)險分析結(jié)果和描述，最后根據(jù)風(fēng)險分析的結(jié)果綜合評估網(wǎng)絡(luò)運營者的整體安全狀況。在上述分析評估的基礎(chǔ)上，若存在以下情況之一的，應(yīng)認(rèn)定該系統(tǒng)對象的網(wǎng)絡(luò)安全風(fēng)險為高：a）評估內(nèi)容中有5項及以上高風(fēng)險的；b）網(wǎng)絡(luò)運營者未發(fā)現(xiàn)系統(tǒng)對象已存在公開高危漏洞的，或發(fā)現(xiàn)后未采取修補(bǔ)措施或制定修補(bǔ)計劃c）對自查和主管監(jiān)管部門評估發(fā)現(xiàn)的問題和提出的整改意見，有時限要求，但在時限要求內(nèi)未完成的；無時限要求，在評估結(jié)束1個月后未制定整改計劃的；d）出現(xiàn)2起或以上未對發(fā)現(xiàn)或通報預(yù)警的網(wǎng)絡(luò)安全高危漏洞、風(fēng)險、威脅和事件等及時進(jìn)行應(yīng)對或處置，或未按要求反饋情況的；e）出現(xiàn)瞞報、漏報、謊報等違反《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)規(guī)定的。6.2.5研究整改措施評估方應(yīng)根據(jù)評估內(nèi)容中存在的安全風(fēng)險類型，通過以下4種方式研究提出針對性的安全整改建議：a）接受。準(zhǔn)備應(yīng)對風(fēng)險事件，接受風(fēng)險的后果，包括積極的開發(fā)應(yīng)急計劃；b）消減。實施相應(yīng)的安全措施減少風(fēng)險發(fā)生的概率，包括完善安全管理制度、部署安全產(chǎn)品等；c）轉(zhuǎn)移。對風(fēng)險造成的損失的承擔(dān)的轉(zhuǎn)移，包括合同的約定，由保證策略或者第三方擔(dān)保；d）規(guī)避。通過計劃的變更來消除風(fēng)險或風(fēng)險發(fā)生的條件，包括安全加固、代碼完善等。6.2.6落實整改內(nèi)容被評估方網(wǎng)絡(luò)安全管理部門應(yīng)根據(jù)評估方的建議，組織相關(guān)單位和人員進(jìn)行整改，安全整改應(yīng)遵循以下內(nèi)容：a）被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的，應(yīng)根據(jù)整改意見及時進(jìn)行安全整改；b）應(yīng)加強(qiáng)對整改效果和整改效率的管理，涉及到大范圍整改時，可根據(jù)需要委托具有相應(yīng)安全資質(zhì)或集成資質(zhì)的機(jī)構(gòu)進(jìn)行整改措施的落實；c）整改完成后應(yīng)組織評估方進(jìn)行再次評估；d）對于不能及時整改的內(nèi)容，應(yīng)根據(jù)風(fēng)險與責(zé)任之間的關(guān)系、風(fēng)險的嚴(yán)重程度，通過風(fēng)險轉(zhuǎn)移、制定整改計劃和時間表進(jìn)行風(fēng)險的處置。6.2.7編寫評估報告9DB2101/T0030—2021評估方對評估工作進(jìn)行全面總結(jié)，根據(jù)評估得到的結(jié)果，輸出正式的評估報告（模板示例參見附錄C），報告應(yīng)包括但不限于以下內(nèi)容：a）被評估方描述：網(wǎng)絡(luò)運營單位基本情況、網(wǎng)絡(luò)拓?fù)淝闆r、核心資產(chǎn)情況、承載業(yè)務(wù)情況和安全防護(hù)現(xiàn)狀；b）評估結(jié)果說明：評估項、評估內(nèi)容、評估結(jié)果、發(fā)現(xiàn)的主要問題（安全漏洞、隱患和被攻擊情況等）及其詳細(xì)描述；c）整改情況說明：整改項、整改內(nèi)容、整改效果、未整改情況及其詳細(xì)描述；d）安全風(fēng)險分析：通過對評估中發(fā)現(xiàn)的安全問題及風(fēng)險，匯總分析存在的安全隱患及造成的影響；e）安全狀況評價：結(jié)合被評估方所承載業(yè)務(wù)重要性和威脅，綜合評價被評估方的網(wǎng)絡(luò)安全總體狀6.3結(jié)果反饋階段6.3.1組織評審會議評審會應(yīng)由被評估方組織，評估方協(xié)助，必要時可聘請相關(guān)專業(yè)的技術(shù)專家進(jìn)行技術(shù)支持。評審會議針對評估項目的實施流程、評估的結(jié)論、分析的模型與計算方法及評估活動產(chǎn)生的各類文檔等內(nèi)容進(jìn)行審核，并形成最終材料。評審會議應(yīng)包括如下內(nèi)容：a）組織人員應(yīng)提供有關(guān)文檔供評審人員進(jìn)行檢查，包括但不限于調(diào)研報告、評估方案、網(wǎng)絡(luò)安全評估報告等；b）評估項目組長及相關(guān)人員應(yīng)對評估技術(shù)路線、工作計劃、實施情況、達(dá)標(biāo)情況等內(nèi)容進(jìn)行匯報，并解答評審人員的質(zhì)疑；c）評審會中，應(yīng)由專門記錄人員負(fù)責(zé)對評審會議內(nèi)容進(jìn)行記錄；d）評審結(jié)束后，應(yīng)形成評審結(jié)論，并由相關(guān)人員進(jìn)行簽字確認(rèn)；e）評估方應(yīng)將最終材料一并提交被評估方，作為評估項目結(jié)束的移交文檔。6.3.2評估結(jié)果反饋評估方應(yīng)將評估工作情況和評估報告向委托方（包括被評估方）反饋。7評估內(nèi)容7.1法律法規(guī)合規(guī)評估7.1.1關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)評估方應(yīng)根據(jù)被評估方的關(guān)鍵業(yè)務(wù)，查看關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)材料，檢查支撐關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)是否均納入了認(rèn)定范圍，并檢查下列內(nèi)容：a）應(yīng)如實上報支撐關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)，避免存在漏報、誤報、瞞報的情況；b）關(guān)鍵信息基礎(chǔ)設(shè)施的新建、更新、廢棄等流程應(yīng)符合相關(guān)規(guī)定；c）應(yīng)開展網(wǎng)絡(luò)安全等級保護(hù)工作，并依據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施法律法規(guī)要求實行重點保護(hù)，包括安全機(jī)構(gòu)設(shè)置、關(guān)鍵人員背景審查、系統(tǒng)和數(shù)據(jù)容災(zāi)備份等；d）應(yīng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)每年對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險進(jìn)行一次檢測評估；e）應(yīng)建立健全的網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度,并按照規(guī)定報送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息；f）應(yīng)滿足關(guān)鍵信息基礎(chǔ)安全保護(hù)相關(guān)標(biāo)準(zhǔn)要求。DB2101/T0030—20217.1.2個人隱私數(shù)據(jù)保護(hù)評估方應(yīng)了解被評估方搜集個人隱私數(shù)據(jù)的目的和范圍，并檢查下列內(nèi)容：a）應(yīng)建立個人信息和重要數(shù)據(jù)保護(hù)制度；b）應(yīng)在用戶授權(quán)范圍內(nèi)或依據(jù)相關(guān)要求收集、存儲、使用數(shù)據(jù)；c）如因業(yè)務(wù)需要，向境外提供個人信息和重要數(shù)據(jù)的，應(yīng)進(jìn)行安全評估；d）應(yīng)按照GB/T35273-2020的要求，規(guī)范在收集、存儲、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為。7.1.3網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈評估方應(yīng)檢查被評估方采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，并檢查下列內(nèi)容：a）網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求；b）網(wǎng)絡(luò)產(chǎn)品、服務(wù)正式運行前或發(fā)生變更前應(yīng)通過安全檢測并記錄；c）應(yīng)與產(chǎn)品和服務(wù)的提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任；d）對可能影響國家安全的產(chǎn)品或服務(wù)，應(yīng)通過國家安全審查；e）應(yīng)通過采購文件、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查。7.1.4網(wǎng)絡(luò)安全等級保護(hù)評估方應(yīng)檢查被評估方對等級保護(hù)要求的落實情況，例如等級保護(hù)定級備案證明、等級保護(hù)測評報告等。7.2行業(yè)領(lǐng)域要求評估評估方應(yīng)查看被評估方提供的法律法規(guī)、政策文件和標(biāo)準(zhǔn)規(guī)范清單，檢查被評估方在相關(guān)行業(yè)領(lǐng)域相關(guān)規(guī)定、標(biāo)準(zhǔn)的落實情況。7.3安全管理措施評估7.3.1網(wǎng)絡(luò)安全組織管理評估方應(yīng)檢查被評估方網(wǎng)絡(luò)安全組織管理情況，并檢查下列內(nèi)容：a）應(yīng)明確一名主管領(lǐng)導(dǎo)，負(fù)責(zé)本單位網(wǎng)絡(luò)安全管理工作，根據(jù)國家法律法規(guī)有關(guān)要求，結(jié)合實際組織制定網(wǎng)絡(luò)安全管理制度，完善技術(shù)防護(hù)措施，協(xié)調(diào)處理重大網(wǎng)絡(luò)安全事件；b）應(yīng)指定一個機(jī)構(gòu)，具體承擔(dān)網(wǎng)絡(luò)安全管理工作，負(fù)責(zé)組織落實網(wǎng)絡(luò)安全管理制度和網(wǎng)絡(luò)安全技術(shù)防護(hù)措施，開展網(wǎng)絡(luò)安全教育培訓(xùn)和監(jiān)督檢查等；c）應(yīng)建立健全崗位網(wǎng)絡(luò)安全責(zé)任制度，明確崗位及人員的網(wǎng)絡(luò)安全責(zé)任。7.3.2網(wǎng)絡(luò)安全日常管理7.3.2.1基本要求評估方應(yīng)檢查被評估方網(wǎng)絡(luò)安全日常管理的基本情況，并檢查下列內(nèi)容：a）應(yīng)制定網(wǎng)絡(luò)安全工作的總體方針和目標(biāo)，明確網(wǎng)絡(luò)安全工作的主要任務(wù)和原則；b）應(yīng)建立健全網(wǎng)絡(luò)安全相關(guān)管理制度；c）應(yīng)加強(qiáng)對人員、資產(chǎn)、采購等的安全管理，并保證網(wǎng)絡(luò)安全工作經(jīng)費投入。7.3.2.2人員管理DB2101/T0030—2021評估方應(yīng)檢查被評估方人員管理情況，并檢查下列內(nèi)容：a）應(yīng)與重點崗位的計算機(jī)使用和管理人員簽訂網(wǎng)絡(luò)安全與保密協(xié)議，明確網(wǎng)絡(luò)安全與保密要求和責(zé)任；b）應(yīng)制定并嚴(yán)格執(zhí)行人員離崗離職網(wǎng)絡(luò)安全管理規(guī)定，人員離崗離職時應(yīng)終止信息系統(tǒng)訪問權(quán)限，收回各種軟硬件設(shè)備及身份證件、門禁卡等，并簽署安全保密承諾書；c）應(yīng)建立外部人員訪問機(jī)房等重要區(qū)域?qū)徟贫?，外部人員須經(jīng)審批后方可進(jìn)入，并安排本單位工作人員現(xiàn)場陪同，對訪問活動進(jìn)行記錄并留存；d）應(yīng)對網(wǎng)絡(luò)安全責(zé)任事故進(jìn)行查處，對違反網(wǎng)絡(luò)安全管理規(guī)定的人員給予嚴(yán)肅處理，對造成網(wǎng)絡(luò)安全事故的依法追究當(dāng)事人和有關(guān)負(fù)責(zé)人的責(zé)任，并以適當(dāng)方式通報。7.3.2.3信息資產(chǎn)管理評估方應(yīng)檢查被評估方信息資產(chǎn)管理情況，并檢查下列內(nèi)容：a）應(yīng)建立并嚴(yán)格執(zhí)行信息資產(chǎn)管理制度；b）應(yīng)指定專人負(fù)責(zé)信息資產(chǎn)管理；c）應(yīng)建立信息資產(chǎn)臺賬（清單），統(tǒng)一編號、統(tǒng)一標(biāo)識、統(tǒng)一發(fā)放；d）應(yīng)及時記錄信息資產(chǎn)狀態(tài)和使用情況，保證賬物相符；e）應(yīng)建立并嚴(yán)格執(zhí)行設(shè)備維修維護(hù)和報廢管理制度。7.3.2.4經(jīng)費保障評估方應(yīng)檢查被評估方經(jīng)費保障情況，并檢查下列內(nèi)容：a）應(yīng)將網(wǎng)絡(luò)安全設(shè)施運行維護(hù)、網(wǎng)絡(luò)安全服務(wù)采購、日常網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全教育培訓(xùn)、網(wǎng)絡(luò)安全檢查、網(wǎng)絡(luò)安全風(fēng)險評估、網(wǎng)絡(luò)安全應(yīng)急處置等費用納入部門年度經(jīng)費保障范圍；b）應(yīng)嚴(yán)格落實網(wǎng)絡(luò)安全經(jīng)費預(yù)算，保證網(wǎng)絡(luò)安全經(jīng)費投入。7.3.2.5采購管理評估方應(yīng)檢查被評估方采購管理情況，并檢查下列內(nèi)容：a）應(yīng)采購符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求的信息技術(shù)產(chǎn)品和服務(wù)。采購基于新型技術(shù)的產(chǎn)品和服務(wù)或者國外產(chǎn)品和服務(wù)時，應(yīng)進(jìn)行必要性和安全性評估；b）網(wǎng)絡(luò)安全產(chǎn)品的采購應(yīng)符合國家的有關(guān)規(guī)定；c）接受捐贈的信息技術(shù)產(chǎn)品，使用前應(yīng)進(jìn)行安全測評，并與捐贈方簽訂信息安全與保密協(xié)議；d）信息系統(tǒng)數(shù)據(jù)中心、災(zāi)備中心不得設(shè)立在境外。7.3.3信息系統(tǒng)基本情況7.3.3.1基本信息梳理評估方應(yīng)查驗被評估方的信息系統(tǒng)規(guī)劃設(shè)計方案、安全防護(hù)規(guī)劃設(shè)計方案、網(wǎng)絡(luò)拓?fù)鋱D等相關(guān)文檔，訪談信息系統(tǒng)管理人員與工作人員，了解掌握系統(tǒng)基本信息并記錄結(jié)果。包括：a）應(yīng)掌握主要功能、部署位置、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、服務(wù)對象、用戶規(guī)模、業(yè)務(wù)周期、運行高峰期等；b）應(yīng)掌握業(yè)務(wù)主管部門、運維機(jī)構(gòu)、系統(tǒng)開發(fā)商和集成商、上線運行及系統(tǒng)升級日期等；c）應(yīng)掌握定級情況、數(shù)據(jù)集中情況、災(zāi)備情況等。7.3.3.2系統(tǒng)構(gòu)成情況梳理DB2101/T0030—2021評估方應(yīng)檢查被評估方信息系統(tǒng)相關(guān)的軟硬件構(gòu)成情況，了解掌握軟硬件資產(chǎn)信息并記錄結(jié)果，包括：a）應(yīng)重點梳理主要硬件設(shè)備類型、數(shù)量、生產(chǎn)商情況，硬件設(shè)備類型主要有：服務(wù)器、終端計算機(jī)、路由器、交換機(jī)、存儲設(shè)備、防火墻、終端計算機(jī)、磁盤陣列、磁帶庫及其他主要安全設(shè)備；b）應(yīng)重點梳理主要軟件類型、套數(shù)、生產(chǎn)商情況，軟件類型主要有：操作系統(tǒng)、數(shù)據(jù)庫管理軟件、公文處理軟件、郵件系統(tǒng)及主要應(yīng)用系統(tǒng)。7.3.4網(wǎng)絡(luò)安全應(yīng)急管理評估方應(yīng)檢查被評估方網(wǎng)絡(luò)安全應(yīng)急管理情況，并檢查下列內(nèi)容：a）應(yīng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，原則上每年評估一次，并根據(jù)實際情況適時修訂；b）應(yīng)組織開展應(yīng)急預(yù)案的宣貫培訓(xùn)，確保相關(guān)人員熟悉應(yīng)急預(yù)案；c）應(yīng)每年開展網(wǎng)絡(luò)安全應(yīng)急演練，檢驗應(yīng)急預(yù)案的可操作性，并將演練情況報網(wǎng)絡(luò)安全主管部門；d）應(yīng)建立網(wǎng)絡(luò)安全事件報告和通報機(jī)制，提高預(yù)防預(yù)警能力；e）應(yīng)明確應(yīng)急技術(shù)支援隊伍，做好應(yīng)急技術(shù)支援準(zhǔn)備；f）應(yīng)做好網(wǎng)絡(luò)安全應(yīng)急物資保障，確保必要的備機(jī)、備件等資源到位；g）應(yīng)根據(jù)業(yè)務(wù)實際需要對重要數(shù)據(jù)和業(yè)務(wù)系統(tǒng)進(jìn)行備份。7.3.5網(wǎng)絡(luò)安全教育培訓(xùn)評估方應(yīng)檢查被評估方網(wǎng)絡(luò)安全教育培訓(xùn)情況，并檢查下列內(nèi)容：a）應(yīng)定期開展網(wǎng)絡(luò)安全宣傳和教育培訓(xùn)工作，提高網(wǎng)絡(luò)安全意識，增強(qiáng)網(wǎng)絡(luò)安全基本防護(hù)技能；b）應(yīng)定期開展網(wǎng)絡(luò)安全管理人員和技術(shù)人員專業(yè)技能培訓(xùn)，提高網(wǎng)絡(luò)安全工作能力和水平；c）應(yīng)記錄并保存網(wǎng)絡(luò)安全教育培訓(xùn)、考核情況和結(jié)果。7.3.6外包服務(wù)管理評估方應(yīng)檢查被評估方外包服務(wù)管理情況，并檢查下列內(nèi)容：a）應(yīng)建立并嚴(yán)格執(zhí)行信息技術(shù)外包服務(wù)安全管理制度；b）應(yīng)與信息技術(shù)外包服務(wù)提供商簽訂服務(wù)合同和網(wǎng)絡(luò)安全與保密協(xié)議，明確網(wǎng)絡(luò)安全與保密責(zé)任，要求服務(wù)提供商不得將服務(wù)轉(zhuǎn)包，不得泄露、擴(kuò)散、轉(zhuǎn)讓服務(wù)過程中獲知的敏感信息，不得占有服務(wù)過程中產(chǎn)生的任何資產(chǎn)，不得以服務(wù)為由強(qiáng)制要求委托方購買、使用指定產(chǎn)品；c）信息技術(shù)現(xiàn)場服務(wù)過程中應(yīng)安排專人陪同，并詳細(xì)記錄服務(wù)過程；d）外包開發(fā)的系統(tǒng)、軟件上線應(yīng)用前應(yīng)進(jìn)行安全測評，要求開發(fā)方及時提供系統(tǒng)測試用例及測試結(jié)果、軟件的升級、漏洞等信息和相應(yīng)服務(wù)；e）外包開發(fā)的系統(tǒng)、系統(tǒng)發(fā)生版本迭代更新時，應(yīng)要求開發(fā)方提供系統(tǒng)版本迭代說明，說明內(nèi)容包含但不限于系統(tǒng)功能，影響范圍等相應(yīng)內(nèi)容；f）信息系統(tǒng)運維外包不得采用遠(yuǎn)程在線運維服務(wù)方式。7.3.7應(yīng)用系統(tǒng)安全防護(hù)（基本情況）評估方應(yīng)檢查被評估方應(yīng)用系統(tǒng)安全防護(hù)情況，并檢查下列內(nèi)容：a）應(yīng)按照GB/T20984-2007的要求，定期對信息系統(tǒng)面臨的安全風(fēng)險和威脅、薄弱環(huán)節(jié)以及防護(hù)措施的有效性等及進(jìn)行分析評估；b）應(yīng)綜合考慮信息系統(tǒng)的重要性、涉密程度和面臨的網(wǎng)絡(luò)安全風(fēng)險等因素，按照國家網(wǎng)絡(luò)安全等級保護(hù)相關(guān)政策和技術(shù)標(biāo)準(zhǔn)規(guī)范，對信息系統(tǒng)實施相應(yīng)等級的安全管理；DB2101/T0030—2021c）應(yīng)按照GB/T22240-2020的要求，確定信息系統(tǒng)安全保護(hù)等級；d）應(yīng)按照GB/T22239-2019的要求，對信息系統(tǒng)實施相應(yīng)等級的安全建設(shè)和整改；e）應(yīng)按照信息系統(tǒng)安全等級保護(hù)測評相關(guān)要求，對信息系統(tǒng)進(jìn)行等級測評。7.3.8網(wǎng)絡(luò)安全自評估評估方應(yīng)檢查被評估方網(wǎng)絡(luò)安全自評估情況，并檢查下列內(nèi)容：a）應(yīng)參照本文件中的流程、程序及內(nèi)容，認(rèn)真組織開展網(wǎng)絡(luò)安全自評估工作，掌握網(wǎng)絡(luò)安全總體狀況和面臨的威脅，查找安全隱患，堵塞安全漏洞，完善安全措施，減少安全風(fēng)險，提高安全防護(hù)能力；b）應(yīng)每年至少進(jìn)行一次網(wǎng)絡(luò)安全自評估，具體時間和范圍應(yīng)根據(jù)系統(tǒng)的上線時間、系統(tǒng)的變更情況、事件的發(fā)生頻率、威脅的嚴(yán)重程度等因素確定；c）應(yīng)加強(qiáng)自評估工作組織領(lǐng)導(dǎo)，建立評估工作責(zé)任制，制定評估工作方案并認(rèn)真落實；d）應(yīng)重視安全技術(shù)檢測，采取必要的技術(shù)檢測手段對信息系統(tǒng)、服務(wù)器、終端計算機(jī)等進(jìn)行安全檢測，可根據(jù)需要委托符合要求的檢測機(jī)構(gòu)進(jìn)行技術(shù)檢測；e）應(yīng)加強(qiáng)安全評估過程中的保密管理和風(fēng)險控制，嚴(yán)格檢查人員、有關(guān)文檔和數(shù)據(jù)的安全保密管理，制定安全評估應(yīng)急預(yù)案，確保被評估信息系統(tǒng)的正常運行；f）應(yīng)對評估中發(fā)現(xiàn)的問題進(jìn)行分析研判，制定整改措施并及時整改；g）應(yīng)對年度安全評估情況進(jìn)行全面總結(jié)，按照要求如實完成評估報告并報網(wǎng)絡(luò)安全主管部門。7.3.9網(wǎng)絡(luò)安全風(fēng)險規(guī)避評估方應(yīng)檢查被評估方是否采取了網(wǎng)絡(luò)安全風(fēng)險規(guī)避措施，降低網(wǎng)絡(luò)安全事件發(fā)生時產(chǎn)生的影響和損失，并檢查下列內(nèi)容：a）應(yīng)對安全投入及安全管控的持續(xù)性和有效性進(jìn)行評估；b）應(yīng)制定明確的風(fēng)險轉(zhuǎn)嫁策略機(jī)制；c）應(yīng)根據(jù)評估結(jié)果采取損失補(bǔ)償機(jī)制和風(fēng)險防范機(jī)制。7.4安全技術(shù)措施評估7.4.1基本要求評估方應(yīng)檢查被評估方安全技術(shù)措施基本情況，并檢查下列內(nèi)容：a）開展信息化建設(shè)與網(wǎng)絡(luò)安全建設(shè)應(yīng)按照同步規(guī)劃、同步建設(shè)、同步運行的原則，建立健全的網(wǎng)絡(luò)安全防護(hù)體系；b）應(yīng)根據(jù)信息化發(fā)展情況通過科學(xué)的方式制定了清晰的網(wǎng)絡(luò)安全建設(shè)發(fā)展規(guī)劃路線；c）應(yīng)基于業(yè)務(wù)鏈的關(guān)聯(lián)關(guān)系進(jìn)行網(wǎng)絡(luò)安全風(fēng)險分析；d）應(yīng)結(jié)合現(xiàn)有業(yè)務(wù)場景的變化、新興技術(shù)的變化采取針對性的防護(hù)策略；e）應(yīng)隨著業(yè)務(wù)的變化動態(tài)設(shè)置或調(diào)整網(wǎng)絡(luò)安全防護(hù)體系框架。7.4.2物理環(huán)境安全防護(hù)評估方應(yīng)檢查被評估方物理環(huán)境安全防護(hù)情況，并檢查下列內(nèi)容：a）機(jī)房應(yīng)采取防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電等安全措施；b）機(jī)房應(yīng)配備備用電源，采取溫濕度控制、電磁防護(hù)等安全防護(hù)措施；c）機(jī)房應(yīng)采取物理訪問控制措施，配備門禁系統(tǒng)或有專人值守。DB2101/T0030—20217.4.3關(guān)鍵設(shè)備安全防護(hù)評估方應(yīng)檢查被評估方關(guān)鍵設(shè)備安全防護(hù)情況，并檢查下列內(nèi)容：a）應(yīng)定期對惡意代碼防護(hù)設(shè)備（如防病毒網(wǎng)關(guān)）的惡意代碼庫進(jìn)行更新；b）服務(wù)器（應(yīng)用系統(tǒng)服務(wù)器、數(shù)據(jù)庫服務(wù)器）應(yīng)配置口令策略，包括口令強(qiáng)度和更新頻率；應(yīng)配置安全審計策略，包括啟用審計功能、留存操作記錄、定期分析日志、對異常訪問和操作及時進(jìn)行處置；應(yīng)配置病毒防護(hù)策略，包括安裝防病毒軟件、及時更新病毒庫；應(yīng)及時更新補(bǔ)丁，包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等的補(bǔ)??；c）網(wǎng)絡(luò)設(shè)備、安全設(shè)備，應(yīng)配置口令策略，包括口令強(qiáng)度和更新頻率；應(yīng)配置安全審計策略，包括啟用審計功能、留存操作記錄、定期分析日志、對異常訪問和操作及時進(jìn)行處置。7.4.4應(yīng)用系統(tǒng)安全防護(hù)（門戶網(wǎng)站）評估方應(yīng)檢查被評估方應(yīng)用系統(tǒng)安全防護(hù)情況，并檢查下列內(nèi)容：a）網(wǎng)站開通前，應(yīng)組織專業(yè)技術(shù)機(jī)構(gòu)進(jìn)行安全測評，對新增應(yīng)用要進(jìn)行安全評估；b）應(yīng)定期對網(wǎng)站鏈接進(jìn)行安全性和有效性檢查；c）應(yīng)采取必要的技術(shù)措施，提高網(wǎng)站防篡改、防攻擊能力，加強(qiáng)網(wǎng)站敏感信息保護(hù)；d）應(yīng)建立完善網(wǎng)絡(luò)信息發(fā)布審核制度，明確審核程序，嚴(yán)格審核流程。7.4.5重要數(shù)據(jù)安全防護(hù)評估方應(yīng)檢查被評估方重要數(shù)據(jù)安全防護(hù)情況，并檢查下列內(nèi)容：a）應(yīng)采用技術(shù)措施（如加密、分區(qū)分域存儲等）對存儲的重要數(shù)據(jù)進(jìn)行保護(hù)；b）應(yīng)采取技術(shù)措施對傳輸?shù)闹匾獢?shù)據(jù)進(jìn)行加密和校驗；c）對于接口類應(yīng)用程序，應(yīng)采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性和保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息。7.4.6停止安全服務(wù)應(yīng)對處置評估方應(yīng)檢查被評估方停止安全服務(wù)應(yīng)對處置情況，并檢查下列內(nèi)容：a）應(yīng)對仍在使用的停止安全服務(wù)的操作系統(tǒng)、數(shù)據(jù)庫軟件、中間件、應(yīng)用系統(tǒng)的計算機(jī)進(jìn)行歸類，并將其納入重點防護(hù)范圍；b）應(yīng)針對操作系統(tǒng)、數(shù)據(jù)庫軟件、中間件、應(yīng)用系統(tǒng)停止服務(wù)不能進(jìn)行安全補(bǔ)丁更新的計算機(jī)制定專門的安全保護(hù)方案，建立漏洞核查機(jī)制，持續(xù)監(jiān)測漏洞的通報情況，并利用微隔離、入侵防御、安全加固等技術(shù)手段加強(qiáng)計算機(jī)威脅傳播、攻擊和破壞的防御能力；c）應(yīng)卸載仍使用停止安全服務(wù)的操作系統(tǒng)、數(shù)據(jù)庫軟件、中間件、應(yīng)用系統(tǒng)計算機(jī)中與工作無關(guān)的應(yīng)用程序，只允許安裝及運行管理員確認(rèn)過的軟件；應(yīng)禁用、限制使用USB設(shè)備；應(yīng)關(guān)閉不必要的服務(wù)和端口。7.4.7數(shù)據(jù)泄露及系統(tǒng)被控防護(hù)評估方應(yīng)檢查被評估方數(shù)據(jù)泄露及系統(tǒng)被控防護(hù)情況，并檢查下列內(nèi)容：a）數(shù)據(jù)中心的設(shè)備機(jī)房應(yīng)位于中國境內(nèi)；b）采用第三方的云計算服務(wù)，應(yīng)記錄云計算服務(wù)商情況；c）外包服務(wù)商提供服務(wù)過程中應(yīng)有專人陪同，應(yīng)禁止遠(yuǎn)程在線維護(hù)。7.4.8網(wǎng)絡(luò)邊界安全防護(hù)DB2101/T0030—2021評估方應(yīng)檢查被評估方網(wǎng)絡(luò)邊界安全防護(hù)情況，并檢查下列內(nèi)容：a）非涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)應(yīng)實行邏輯隔離，涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)應(yīng)實行物理隔離；b）建立互聯(lián)網(wǎng)接入審批和登記制度，嚴(yán)格控制互聯(lián)網(wǎng)接入口數(shù)量，加強(qiáng)互聯(lián)網(wǎng)接入口安全管理和安全防護(hù)；c）應(yīng)采取訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范等措施，進(jìn)行網(wǎng)絡(luò)邊界防護(hù)；d）應(yīng)根據(jù)承載業(yè)務(wù)的重要性對網(wǎng)絡(luò)進(jìn)行分區(qū)分域管理，采取必要的技術(shù)措施對不同網(wǎng)絡(luò)分區(qū)進(jìn)行防護(hù)、對不同安全域之間實施訪問控制；e）應(yīng)對網(wǎng)絡(luò)日志進(jìn)行管理，定期分析，及時發(fā)現(xiàn)安全風(fēng)險。7.4.9無線網(wǎng)絡(luò)安全防護(hù)評估方應(yīng)檢查被評估方無線網(wǎng)絡(luò)安全防護(hù)情況，并檢查下列內(nèi)容：a）應(yīng)采取身份鑒別、地址過濾等措施對無線網(wǎng)絡(luò)的接入進(jìn)行管理，采取白名單管理機(jī)制，防止非授權(quán)接入造成的內(nèi)網(wǎng)滲透事件發(fā)生；b）應(yīng)采用與有線邊界相同的安全防護(hù)手段，對常見的無線攻擊進(jìn)行防御；c）應(yīng)修改無線路由設(shè)備的默認(rèn)管理地址；d）應(yīng)修改無線路由管理賬戶默認(rèn)口令，設(shè)置復(fù)雜口令，防止暴力破解后臺；e）用戶接入認(rèn)證加密應(yīng)采用WPA2及更高級別算法，防止破解接入口令。7.4.10電子郵件系統(tǒng)安全防護(hù)評估方應(yīng)檢查被評估方電子郵件系統(tǒng)安全防護(hù)情況，并檢查下列內(nèi)容：a）應(yīng)加強(qiáng)郵件系統(tǒng)安全防護(hù)，采取反垃圾郵件等技術(shù)措施；b）應(yīng)規(guī)范電子郵箱的注冊管理，原則上只限于本部門工作人員注冊使用；c）應(yīng)嚴(yán)格管理郵箱賬號及口令，采取技術(shù)和管理措施確?？诹罹哂幸欢◤?qiáng)度并定期更換。7.4.11終端計算機(jī)安全防護(hù)評估方應(yīng)檢查被評估方終端計算機(jī)安全防護(hù)情況，并檢查下列內(nèi)容：a）應(yīng)采取集中統(tǒng)一管理方式對終端計算機(jī)進(jìn)行管理，統(tǒng)一軟件下發(fā)，統(tǒng)一安裝系統(tǒng)補(bǔ)丁，統(tǒng)一實施病毒庫升級和病毒查殺，統(tǒng)一進(jìn)行漏洞掃描；b）應(yīng)規(guī)范軟硬件使用，不得擅自更改軟硬件配置，不得擅自安裝軟件；c）應(yīng)加強(qiáng)賬戶及口令管理，使用具有一定強(qiáng)度的口令并定期更換；d）應(yīng)對接入重要的終端計算機(jī)采取控制措施，包括雙因素認(rèn)證、實名接入認(rèn)證、IP地址與MAC地址綁定等；e）應(yīng)定期對終端計算機(jī)進(jìn)行安全審計；f）非涉密計算機(jī)不得存儲和處理國家秘密信息。7.4.12存儲介質(zhì)防護(hù)評估方應(yīng)檢查被評估方存儲介質(zhì)防護(hù)情況，并檢查下列內(nèi)容：a）應(yīng)嚴(yán)格存儲陣列、磁帶庫等大容量存儲介質(zhì)的管理，采取技術(shù)措施防范外聯(lián)風(fēng)險，明確存儲數(shù)據(jù)安全；b）應(yīng)對移動存儲介質(zhì)進(jìn)行集中統(tǒng)一管理，記錄介質(zhì)領(lǐng)用、交回、維修、報廢、銷毀等情況；DB2101/T0030—2021c）非涉密移動存儲介質(zhì)不得存儲涉及國家秘密的信息，應(yīng)在涉密計算機(jī)上使用；d）移動存儲介質(zhì)在接入本部門計算機(jī)和信息系統(tǒng)前，應(yīng)查殺病毒、木馬等惡意代碼；e）應(yīng)配備必要的電子信息消除和銷毀設(shè)備，對變更用途的存儲介質(zhì)要消除信息，對廢棄的存儲介質(zhì)要進(jìn)行銷毀。7.4.13漏洞修復(fù)評估方應(yīng)檢查被評估方漏洞修復(fù)情況，并檢查下列內(nèi)容：a）應(yīng)定期對本單位主機(jī)、網(wǎng)絡(luò)安全防護(hù)設(shè)備、信息系統(tǒng)進(jìn)行漏洞檢測，對于發(fā)現(xiàn)的安全漏洞及時進(jìn)行修復(fù)處置；b）重視自行監(jiān)測發(fā)現(xiàn)與第三方漏洞通報機(jī)構(gòu)告知的漏洞風(fēng)險，及時處置。7.5技術(shù)檢測評估評估方應(yīng)利用技術(shù)手段對被評估可能存在的脆弱性進(jìn)行針對性的檢測，主要包括：a）應(yīng)重點對認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的信息系統(tǒng)進(jìn)行安全檢測；b）應(yīng)使用漏洞掃描等工具測試關(guān)鍵信息基礎(chǔ)設(shè)施是否存在安全漏洞；c）應(yīng)開展人工滲透測試，檢查是否可以獲取應(yīng)用系統(tǒng)權(quán)限，驗證網(wǎng)站是否可以被掛馬、重改頁面、獲取敏感信息等，檢查系統(tǒng)是否被入侵過（存在入侵痕跡）等；d）應(yīng)根據(jù)工作實際合理安排年度檢測的服務(wù)器數(shù)量，每1年～2年對所有服務(wù)器進(jìn)行一次技術(shù)檢測，重要業(yè)務(wù)系統(tǒng)和門戶網(wǎng)站系統(tǒng)的服務(wù)器應(yīng)作為檢測重點；e）應(yīng)使用病毒木馬檢測工具，檢測服務(wù)器是否感染了病毒、木馬等惡意代碼；f）應(yīng)使用漏洞掃描等工具檢測服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用、端口、服務(wù)及補(bǔ)丁更新情況，檢測是否關(guān)閉了不必要的端口、應(yīng)用、服務(wù)，是否存在安全漏洞。DB2101/T0030—2021（資料性） 記錄表信息系統(tǒng)基本信息記錄表見表A.1。表A.1信息系統(tǒng)基本信息記錄表DB2101/T0030—2021信息系統(tǒng)資產(chǎn)記錄表見表A.2。表A.2資產(chǎn)記錄表123456 (資料性)險要素一般為資產(chǎn)、威脅、和脆弱性；這些要素的組合方式如圖A.1風(fēng)險計算原理中指出，由威脅和脆威脅出現(xiàn)的頻率威脅出現(xiàn)的頻率安全事件的可能性脆弱性的嚴(yán)重程度安全事件造成的損失業(yè)務(wù)和資產(chǎn)價值脆弱性識別圖B.1風(fēng)險計算原理使用相乘法計算風(fēng)險(也可采用矩陣法),風(fēng)險值=√T*V*√A*V,A(1～5)為資產(chǎn)值，T(1～5)為威脅值，V(1～5)為脆弱性值。進(jìn)行等級化處理。等級化處理的方法是按照風(fēng)險值的高低進(jìn)行等級確定風(fēng)險等級劃分如表A.1所示。表B.1風(fēng)險等級劃分表12345表B.2風(fēng)險等級描述表5旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會影響，如組織信譽(yù)嚴(yán)重破壞重大、社會影響惡劣4