网络安全管理评估规范 DB2101T0030沈阳市 现行docx.docx

网络安全管理评估规范 DB2101T0030沈阳市 现行docx.docx

《网络安全管理评估规范 DB2101T0030沈阳市 现行docx.docx》由会员分享，可在线阅读，更多相关《网络安全管理评估规范 DB2101T0030沈阳市 现行docx.docx（36页珍藏版）》请在冰豆网上搜索。

网络安全管理评估规范DB2101T0030沈阳市现行docx

ICS35.040

CCSL80

DB2101/T

沈阳市地方标准

DB2101/T0030—2021

网络安全管理评估规范

Specificationsfornetworksecuritymanagementassessment

2021-07-01发布

2021-08-01实施

沈阳市市场监督管理局发布

目次

前言II

引言III

1范围1

2规范性引用文件1

3术语和定义1

4缩略语1

5评估流程1

6评估程序2

6.1工作准备阶段3

6.2工作实施阶段7

6.3结果反馈阶段9

7评估内容9

7.1法律法规合规评估9

7.2行业领域要求评估10

7.3安全管理措施评估10

7.4安全技术措施评估13

7.5技术检测评估16

附录A（资料性）记录表17

附录B（资料性）风险分析模型19

附录C（资料性）评估报告模板示例20

参考文献31

—1—

刖言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：

标准化文件的结构和起草规则》的规定起草。

本文件由中共沈阳市委网络安全和信息化委员会办公室提出并归口，同时负责标准的宣贯、监督实施等工作。

本文件起草单位：

东软集团股份有限公司、东北大学、辽宁省信息安全与软件测评认证中心、沈阳赛宝科技服务有限公司、沈阳欣欣晶智计算机安全检测技术有限公司。

本文件主要起草人：

张泉、陈静相、路娜、王华铎、葛长龙、杨菲菲、周福才、郭剑锋、赵英科、金鑫、纪德海、文军日、金玉平。

文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电、来函等方式进行反馈，我们将及时答复并认真处理，根据实施情况依法进行评估及复审。

本文件归口部门联系电话：

024-22821200；联系地址：

沈阳市浑南区沈中大街206-1号。

本文件起草单位联系电话：

18640508881；联系地址：

沈阳市浑南新区新秀街2号。

为落实《中华人民共和国网络安全法》相关要求，解决地区产业结构差异、地区性共性及有代表性的个性化网络安全问题，通过制定《网络安全管理评估规范》标准，规范有关部门开展网络安全评估工作，充分掌握各级关键行业网络运营者的安全风险和防护状况。

制定本标准旨在以查促建、促管、促改、促防，最终推动关键行业网络运营者安全责任制和网络安全防范体系的建立和落实，保障关键行业信息系统安全稳定运行。

《网络安全管理评估规范》列出了网络运营者在网络安全评估方面的流程、程序，定义了评估的主要内容。

评估流程分为工作准备、工作实施和结果反馈三个阶段，其中工作准备阶段是对评估实施有效性的保证，是评估工作的开始；工作实施阶段是对评估活动中涉及的评估内容进行判定，同时基于获得的各类信息进行关联分析，计算风险值，并综合评估整体安全状况出具评估报告；结果反馈阶段是对评估实施质量判定的过程，是评估工作的终止。

评估程序是围绕评估工作的全生命周期，根据不同阶段的工作事项，为达到相应评估目的应采取的手段和行为方式，用于规范和指导评估者开展和落实网络安全评估具体工作。

评估内容主要包括法律法规合规、行业领域要求、安全管理措施、安全技术措施、技术检测等方面的评估，通过文档查阅、现场访谈等方法，检查被评估方是否遵从法律、法规和政策标准的相关要求，是否存在安全漏洞和安全隐患。

网络安全管理评估规范

1范围

本文件给出了网络安全评估工作的评估流程、评估程序和评估内容。

本文件适用于有关部门开展网络安全评估工作参考；网络运营者自行开展网络安全评估工作参考；网络安全服务机构对网络运营者提供咨询、检测、评估等服务参考；网络安全检测产品及服务研发机构研发检查工具、安全咨询服务、创新安全应用参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。

其中，注日期的引用文件,仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20984-2007信息安全技术信息安全风险评估规范

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T22240-2020信息安全技术网络安全等级保护定级指南

GB/T25069信息安全技术术语

GB/T31509-2015信息安全技术信息安全风险评估实施指南

GB/T35273-2020信息安全技术个人信息安全规范

3术语和定义

GB/T25069中界定的以及下列术语和定义适用于本文件。

3.1

网络运营者Networkoperators

网络的所有者、管理者和网络服务提供者。

4缩略语

下列缩略语适用于本文件。

IP：

互联网协议（InternetProtocol）

MAC：

介质访问控制（MediumAccessControl）

5评估流程

网络安全评估应根据图1所示的工作准备阶段、工作实施阶段和结果反馈阶段3个阶段开展评估实施工作。

图1网络安全评估实施流程

6.1工作准备阶段

6.1.1评估准备工作

评估方应明确评估的背景、原则和依据，充分调研被评估方所属行业的相关标准及政策文件，确定评估工作任务。

评估方应按照国家相关要求做好保密工作，与被评估方签署保密协议，明确问责和追责等处理方法,保证评估过程中产生、接触的所有记录、数据评估结果的安全、保密，并适情签署个人保密协议。

6.1.2确定评估目标

评估方应根据以下内容确定评估的目标：

a）网络安全评估的目标应根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容来明确网络安全评估目标；

b）网络安全评估应根据当前信息系统的实际情况来确定在信息系统生命周期中所处的阶段，并以此来明确网络安全评估目标。

6.1.3确定评估范围

评估方应结合已确定的评估目标和组织的实际情况，合理定义评估对象和评估范围边界。

评估范围的边界划分依据应包括但不限于以下内容：

a）业务系统的业务逻辑边界；

b）网络及设备载体的边界；

c）物理环境边界；

d）组织管理权限边界；

e）其他。

6.1.4组建评估团队

网络安全评估工作应根据图2所示的内容组建评估团队。

图2网络安全评估团队框架

网络安全评估工作领导小组应由被评估方主管信息化或网络安全工作的领导、相关业务部门领导以及评估方项目组长等人员组成。

网络安全评估工作领导小组主要负责决策网络安全评估工作的目的、目标；参与并指导网络安全评估准备阶段的启动会议；协调评估实施过程中的各项资源；组织评估项目验收会议；推进并监督风险处理工作等。

网络安全评估小组应由评估方、被评估方等共同组建，必要时可聘请相关专业的技术专家进行技术支持。

网络安全评估小组主要负责完成评估前的表格、文档、检测工具等各项准备工作；进行网络安全评估技术培训和保密教育；制定网络安全评估过程管理相关规定；编制应急预案等。

网络安全评估小组应采用合理的项目管理机制，主要相关成员角色与职责说明如表1和表2所示。

表1网络安全评估小组一评估方构成角色与职责说明

评估方人员角色

工作职责

项目组长

网络安全评估项目中实施方的管理者、责任人。

具体工作职责包括：

1）根据项目情况组建评估项目实施团队；

2）根据项目情况与被评估方一起确定评估目标和评估范围，并组织项目组成员对被评估方实施系统调研；

3）根据评估目标、评估范围及系统调研的情况确定评估依据，并组织编写评估方案；

4）组织项目组成员开展网络安全评估各阶段的工作，并对实施过程进行监督、协调和控制，确保各阶段工作的有效实施；

5）与被评估方进行及时有效的沟通，及时商讨项目进展状况及可能发生问题的预测等；

6）组织项目组成员将网络安全评估各阶段的工作成果进行汇总，编写《网络安全评估报告》等项目成果物；

7）负责将项目成果物移交被评估方，向被评估方汇报项目成果，并提请项目验收。

安全技术评估人员

网络安全评估项目中技术方面评估工作的实施人员。

具体工作职责包括：

1）根据确定的评估目标与评估范围参与系统调研，并编写《调研报告》的技术部分内容；

2）参与编写《评估方案》；

3）遵照《评估方案》实施各阶段具体的技术性评估工作，主要包括：

信息资产调查、行业领域要求检查、安全技术措施检查等；

4）对评估工作中遇到的问题及时向项目组长汇报，并提岀需要协调的资源；

5）将各阶段的技术性评估工作成果进行汇总，参与编写《网络安全评估报告》等项目成果物；

6）负责向被评估方解答项目成果物中有关技术性细节问题。

安全管理评估人员

网络评估项目中管理方面评估工作的实施人员。

具体工作职责包括：

1）根据评估目标与评估范围的确定参与系统调研，并编写《调研报告》的管理部分内容；

2）参与编写《评估方案》；

3）遵照《评估方案》实施各阶段具体的管理性评估工作，主要包括：

信息资产调查、法律法规合规检查、行业领域要求检查、安全管理措施检查等；

4）对评估工作中遇到的问题及时向项目组长汇报，并提岀需要协调的资源；

5）将各阶段的管理性评估工作成果进行汇总，参与编写《网络安全评估报告》等项目成果物；

6）负责向被评估方解答项目成果物中有关管理性细节问题。

技术检测评估人员

网络评估项目中技术检测评估工作的实施人员。

具体工作职责包括：

1）根据评估目标与评估范围的确定参与系统调研，并编写《调研报告》的技术检测部分内容；

2）参与编写《评估方案》；

表1网络安全评估小组一一评估方构成角色与职责说明（续）

评估方人员角色

工作职责

技术检测评估人员

3）遵照《评估方案》实施各阶段具体的技术检测评估工作，主要包括：

信息资产调查、渗透测试、漏洞扫描等；

4）对评估工作中遇到的问题及时向项目组长汇报，并提岀需要协调的资源；

5）将各阶段的技术检测评估工作成果进行汇总，参与编写《网络安全评估报告》等项目成果物；

6）负责向被评估方解答项目成果物中有关技术检测细节问题。

质量管控员

网络安全评估项目中质量管理的人员。

具体工作职责包括：

1）监督审计各阶段工作的实施进度与时间进度，对可能岀现的影响项目进度的问题及时通告项目组长；

2）负责对项目文档进行管控。

表2网络安全评估小组——被评估方构成角色与职责说明

被评估方人员角色

工作职责

项目组长

网络安全评估项目中被评估方的管理者。

具体工作职责包括：

1）与评估方的项目组长进行工作协调；

2）组织本单位的项目组成员在网络安全评估各阶段活动中的配合工作；

3）组织本单位的项目组成员对项目过程中实施方提交的评估信息、数据及文档资料等进行确认，对岀现的偏离及时纠正；

4）组织本单位的项目组成员对评估方提交的《网络安全评估报告》等项目成果物进行审阅；

5）组织对网络安全评估项目进行验收；

6）可授权项目协调人负责各阶段性工作，代理实施自己的职责。

网络安全管理人员

被评估方的专职网络安全管理人员。

在网络安全评估项目中的具体工作职责包括：

1）在项目组长的安排下，配合评估机构在网络安全评估各阶段中的工作；

2）参与对评估机构提交的《评估方案》进行研讨；

3）参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认，及时指正岀现的偏离；

4）参与对评估机构提交的《网络安全评估报告》等项目成果物进行审阅；

5）参与对网络安全评估项目的验收。

项目协调人

网络安全评估项目中被评估方的工作协调人员。

具体工作职责是负责与被评估方各级部门之间的信息沟