DB2101T 0030-2021 网络安全管理评估规范.pdf

ICS 35.040CCS L 80DB2101/T沈沈阳阳市市地地方方标标准准DB2101/T 00302021网络安全管理评估规范Specifications for network security management assessment2021-07-01 发布2021-08-01 实施沈阳市市场监督管理局发布DB2101/T 00302021I目次前言.II引言.III1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.15 评估流程.16 评估程序.26.1 工作准备阶段.36.2 工作实施阶段.76.3 结果反馈阶段.97 评估内容.97.1 法律法规合规评估.97.2 行业领域要求评估.107.3 安全管理措施评估.107.4 安全技术措施评估.137.5 技术检测评估.16附录 A（资料性）记录表.17附录 B（资料性）风险分析模型.19附录 C（资料性）评估报告模板示例.20参考文献.31DB2101/T 00302021II前言本文件按照GB/T 1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件由中共沈阳市委网络安全和信息化委员会办公室提出并归口，同时负责标准的宣贯、监督实施等工作。本文件起草单位：东软集团股份有限公司、东北大学、辽宁省信息安全与软件测评认证中心、沈阳赛宝科技服务有限公司、沈阳欣欣晶智计算机安全检测技术有限公司。本文件主要起草人：张泉、陈静相、路娜、王华铎、葛长龙、杨菲菲、周福才、郭剑锋、赵英科、金鑫、纪德海、文军日、金玉平。文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电、来函等方式进行反馈，我们将及时答复并认真处理，根据实施情况依法进行评估及复审。本文件归口部门联系电话：024-22821200；联系地址：沈阳市浑南区沈中大街 206-1 号。本文件起草单位联系电话：18640508881；联系地址：沈阳市浑南新区新秀街 2 号。DB2101/T 00302021III引言为落实中华人民共和国网络安全法相关要求，解决地区产业结构差异、地区性共性及有代表性的个性化网络安全问题，通过制定网络安全管理评估规范标准，规范有关部门开展网络安全评估工作，充分掌握各级关键行业网络运营者的安全风险和防护状况。制定本标准旨在以查促建、促管、促改、促防，最终推动关键行业网络运营者安全责任制和网络安全防范体系的建立和落实，保障关键行业信息系统安全稳定运行。网络安全管理评估规范列出了网络运营者在网络安全评估方面的流程、程序，定义了评估的主要内容。评估流程分为工作准备、工作实施和结果反馈三个阶段，其中工作准备阶段是对评估实施有效性的保证，是评估工作的开始；工作实施阶段是对评估活动中涉及的评估内容进行判定，同时基于获得的各类信息进行关联分析，计算风险值，并综合评估整体安全状况出具评估报告；结果反馈阶段是对评估实施质量判定的过程，是评估工作的终止。评估程序是围绕评估工作的全生命周期，根据不同阶段的工作事项，为达到相应评估目的应采取的手段和行为方式，用于规范和指导评估者开展和落实网络安全评估具体工作。评估内容主要包括法律法规合规、行业领域要求、安全管理措施、安全技术措施、技术检测等方面的评估，通过文档查阅、现场访谈等方法，检查被评估方是否遵从法律、法规和政策标准的相关要求，是否存在安全漏洞和安全隐患。DB2101/T 003020211网络安全管理评估规范1范围本文件给出了网络安全评估工作的评估流程、评估程序和评估内容。本文件适用于有关部门开展网络安全评估工作参考；网络运营者自行开展网络安全评估工作参考；网络安全服务机构对网络运营者提供咨询、检测、评估等服务参考；网络安全检测产品及服务研发机构研发检查工具、安全咨询服务、创新安全应用参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 20984-2007 信息安全技术 信息安全风险评估规范GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南GB/T 25069 信息安全技术 术语GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南GB/T 35273-2020 信息安全技术 个人信息安全规范3术语和定义GB/T 25069 中界定的以及下列术语和定义适用于本文件。3.1网络运营者 Network operators网络的所有者、管理者和网络服务提供者。4缩略语下列缩略语适用于本文件。IP：互联网协议（Internet Protocol）MAC：介质访问控制（Medium Access Control）5评估流程DB2101/T 003020212网络安全评估应根据图1所示的工作准备阶段、工作实施阶段和结果反馈阶段3个阶段开展评估实施工作。图 1 网络安全评估实施流程6评估程序DB2101/T 0030202136.1工作准备阶段6.1.1评估准备工作评估方应明确评估的背景、原则和依据，充分调研被评估方所属行业的相关标准及政策文件，确定评估工作任务。评估方应按照国家相关要求做好保密工作，与被评估方签署保密协议，明确问责和追责等处理方法，保证评估过程中产生、接触的所有记录、数据评估结果的安全、保密，并适情签署个人保密协议。6.1.2确定评估目标评估方应根据以下内容确定评估的目标：a）网络安全评估的目标应根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容来明确网络安全评估目标；b）网络安全评估应根据当前信息系统的实际情况来确定在信息系统生命周期中所处的阶段，并以此来明确网络安全评估目标。6.1.3确定评估范围评估方应结合已确定的评估目标和组织的实际情况，合理定义评估对象和评估范围边界。评估范围的边界划分依据应包括但不限于以下内容：a）业务系统的业务逻辑边界；b）网络及设备载体的边界；c）物理环境边界；d）组织管理权限边界；e）其他。6.1.4组建评估团队网络安全评估工作应根据图2所示的内容组建评估团队。图 2 网络安全评估团队框架DB2101/T 003020214网络安全评估工作领导小组应由被评估方主管信息化或网络安全工作的领导、相关业务部门领导以及评估方项目组长等人员组成。网络安全评估工作领导小组主要负责决策网络安全评估工作的目的、目标；参与并指导网络安全评估准备阶段的启动会议；协调评估实施过程中的各项资源；组织评估项目验收会议；推进并监督风险处理工作等。网络安全评估小组应由评估方、被评估方等共同组建，必要时可聘请相关专业的技术专家进行技术支持。网络安全评估小组主要负责完成评估前的表格、文档、检测工具等各项准备工作；进行网络安全评估技术培训和保密教育；制定网络安全评估过程管理相关规定；编制应急预案等。网络安全评估小组应采用合理的项目管理机制，主要相关成员角色与职责说明如表1和表2所示。表 1 网络安全评估小组评估方构成角色与职责说明评估方人员角色工作职责项目组长网络安全评估项目中实施方的管理者、责任人。具体工作职责包括：1)根据项目情况组建评估项目实施团队；2)根据项目情况与被评估方一起确定评估目标和评估范围，并组织项目组成员对被评估方实施系统调研；3)根据评估目标、评估范围及系统调研的情况确定评估依据，并组织编写评估方案；4)组织项目组成员开展网络安全评估各阶段的工作，并对实施过程进行监督、协调和控制，确保各阶段工作的有效实施；5)与被评估方进行及时有效的沟通，及时商讨项目进展状况及可能发生问题的预测等；6)组织项目组成员将网络安全评估各阶段的工作成果进行汇总，编写网络安全评估报告等项目成果物；7)负责将项目成果物移交被评估方，向被评估方汇报项目成果，并提请项目验收。安全技术评估人员网络安全评估项目中技术方面评估工作的实施人员。具体工作职责包括：1)根据确定的评估目标与评估范围参与系统调研，并编写调研报告的技术部分内容；2)参与编写评估方案；3)遵照评估方案实施各阶段具体的技术性评估工作，主要包括：信息资产调查、行业领域要求检查、安全技术措施检查等；4)对评估工作中遇到的问题及时向项目组长汇报，并提出需要协调的资源；5)将各阶段的技术性评估工作成果进行汇总，参与编写网络安全评估报告等项目成果物；6)负责向被评估方解答项目成果物中有关技术性细节问题。安全管理评估人员网络评估项目中管理方面评估工作的实施人员。具体工作职责包括：1)根据评估目标与评估范围的确定参与系统调研，并编写调研报告的管理部分内容；2)参与编写评估方案；3)遵照评估方案实施各阶段具体的管理性评估工作，主要包括：信息资产调查、法律法规合规检查、行业领域要求检查、安全管理措施检查等；4)对评估工作中遇到的问题及时向项目组长汇报，并提出需要协调的资源；5)将各阶段的管理性评估工作成果进行汇总，参与编写网络安全评估报告等项目成果物；6)负责向被评估方解答项目成果物中有关管理性细节问题。技术检测评估人员网络评估项目中技术检测评估工作的实施人员。具体工作职责包括：1)根据评估目标与评估范围的确定参与系统调研，并编写调研报告的技术检测部分内容；2)参与编写评估方案；DB2101/T 003020215表 1 网络安全评估小组评估方构成角色与职责说明（续）评估方人员角色工作职责技术检测评估人员3)遵照评估方案实施各阶段具体的技术检测评估工作，主要包括：信息资产调查、渗透测试、漏洞扫描等；4)对评估工作中遇到的问题及时向项目组长汇报，并提出需要协调的资源；5)将各阶段的技术检测评估工作成果进行汇总，参与编写网络安全评估报告等项目成果物；6)负责向被评估方解答项目成果物中有关技术检测细节问题。质量管控员网络安全评估项目中质量管理的人员。具体工作职责包括：1)监督审计各阶段工作的实施进度与时间进度，对可能出现的影响项目进度的问题及时通告项目组长；2)负责对项目文档进行管控。表 2 网络安全评估小组被评估方构成角色与职责说明被评估方人员角色工作职责项目组长网络安全评估项目中被评估方的管理者。具体工作职责包括：1)与评估方的项目组长进行工作协调；2)组织本单位的项目组成员在网络安全评估各阶段活动中的配合工作；3)组织本单位的项目组成员对项目过程中实施方提交的评估信息、数据及文档资料等进行确认，对出现的偏离及时纠正；4)组织本单位的项目组成员对评估方提交的网络安全评估报告等项目成果物进行审阅；5)组织对网络安全评估项目进行验收；6)可授权项目协调人负责各阶段性工作，代理实施自己的职责。网络安全管理人员被评估方的专职网络安全管理人员。在网络安全评估项目中的具体工作职责包括：1)在项目组长的安排下,配合评估机构在网络安全评估各阶段中的工作；2)参与对评估机构提交的评估方案进行研讨；3)参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,及时指正出现的偏离；4)参与对评估机构提交的网络安全评估报告等项目成果物进行审阅；5)参与对网络安全评估项目的验收。项目协调人网络安全评估项目中被评估方的工作协调人员。具体工作职责是负责与被评估方各级部门之间的信息沟通,及时协调、调动相关部门的资源,包括工作场地、物资、人员等,以保障项目的顺利开展。业务人员被评估方的业务使用人员代表(应由各业务部门负责人或其授权人员担任)。在网络安全评估项目中的具体工作职责包括:1)在项目组长的安排下,配合评估机构在网络安全评估各阶段中的工作；2)参与对评估机构提交的评估方案进行研讨；3)参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,及时指正出现的偏离；4)参与对评估机构提交的网络安全评估报告等项目成果物进行审阅；5)参与对网络安全评估项目的验收。运维人员被评估方的信息系统运行维护人员。在网络安全评估项目中的具体工作职责包括:1)在项目组长的安排下,配合评估机构在网络安全评估各阶段