DB2101 T0030-2021 网络安全管理评估规范.pdf

1、I C S 3 5 . 0 4 0 C C S L 8 0 DB2101/T 沈 阳 市 地 方 标 准 D B 2 1 0 1 / T 0 0 3 0 2 0 2 1 网 络 安 全 管 理 评 估 规 范 S p e c i f i c a t i o n s f o r n e t w o r k s e c u r i t y m a n a g e m e n t a s s e s s m e n t 2 0 2 1 - 0 7 - 0 1 发 布 2 0 2 1 - 0 8 - 0 1 实 施 沈 阳 市 市 场 监 督 管 理 局 发 布D B 2 1 0 1 / T 0 0

2、3 0 2 0 2 1 I 目 次 前 言. I I 引 言. I I I 1 范 围. 1 2 规 范 性 引 用 文 件. 1 3 术 语 和 定 义. 1 4 缩 略 语. 1 5 评 估 流 程. 1 6 评 估 程 序. 2 6 . 1 工 作 准 备 阶 段. 3 6 . 2 工 作 实 施 阶 段. 7 6 . 3 结 果 反 馈 阶 段. 9 7 评 估 内 容. 9 7 . 1 法 律 法 规 合 规 评 估. 9 7 . 2 行 业 领 域 要 求 评 估. 1 0 7 . 3 安 全 管 理 措 施 评 估. 1 0 7 . 4 安 全 技 术 措 施 评 估. 1 3

3、7 . 5 技 术 检 测 评 估. 1 6 附 录 A （ 资 料 性 ） 记 录 表. 1 7 附 录 B （ 资 料 性 ） 风 险 分 析 模 型. 1 9 附 录 C （ 资 料 性 ） 评 估 报 告 模 板 示 例. 2 0 参 考 文 献. 3 1D B 2 1 0 1 / T 0 0 3 0 2 0 2 1 I I 前 言 本 文 件 按 照 G B / T 1 . 1 2 0 2 0 标 准 化 工 作 导 则 第 1 部 分 ： 标 准 化 文 件 的 结 构 和 起 草 规 则 的 规 定 起 草 。 本 文 件 由 中 共 沈 阳 市 委 网 络 安 全 和 信 息

4、化 委 员 会 办 公 室 提 出 并 归 口 ， 同 时 负 责 标 准 的 宣 贯 、 监 督 实 施 等 工 作 。 本 文 件 起 草 单 位 ： 东 软 集 团 股 份 有 限 公 司 、 东 北 大 学 、 辽 宁 省 信 息 安 全 与 软 件 测 评 认 证 中 心 、 沈 阳 赛 宝 科 技 服 务 有 限 公 司 、 沈 阳 欣 欣 晶 智 计 算 机 安 全 检 测 技 术 有 限 公 司 。 本 文 件 主 要 起 草 人 ： 张 泉 、 陈 静 相 、 路 娜 、 王 华 铎 、 葛 长 龙 、 杨 菲 菲 、 周 福 才 、 郭 剑 锋 、 赵 英 科 、 金 鑫

5、、 纪 德 海 、 文 军 日 、 金 玉 平 。 文 件 发 布 实 施 后 ， 任 何 单 位 和 个 人 如 有 问 题 和 意 见 建 议 ， 均 可 以 通 过 来 电 、 来 函 等 方 式 进 行 反 馈 ， 我 们 将 及 时 答 复 并 认 真 处 理 ， 根 据 实 施 情 况 依 法 进 行 评 估 及 复 审 。 本 文 件 归 口 部 门 联 系 电 话 ： 0 2 4 - 2 2 8 2 1 2 0 0 ； 联 系 地 址 ： 沈 阳 市 浑 南 区 沈 中 大 街 2 0 6 - 1 号 。 本 文 件 起 草 单 位 联 系 电 话 ： 1 8 6 4 0 5

6、0 8 8 8 1 ； 联 系 地 址 ： 沈 阳 市 浑 南 新 区 新 秀 街 2 号 。D B 2 1 0 1 / T 0 0 3 0 2 0 2 1 I I I 引 言 为 落 实 中 华 人 民 共 和 国 网 络 安 全 法 相 关 要 求 ， 解 决 地 区 产 业 结 构 差 异 、 地 区 性 共 性 及 有 代 表 性 的 个 性 化 网 络 安 全 问 题 ， 通 过 制 定 网 络 安 全 管 理 评 估 规 范 标 准 ， 规 范 有 关 部 门 开 展 网 络 安 全 评 估 工 作 ， 充 分 掌 握 各 级 关 键 行 业 网 络 运 营 者 的 安 全 风 险

7、 和 防 护 状 况 。 制 定 本 标 准 旨 在 以 查 促 建 、 促 管 、 促 改 、 促 防 ， 最 终 推 动 关 键 行 业 网 络 运 营 者 安 全 责 任 制 和 网 络 安 全 防 范 体 系 的 建 立 和 落 实 ， 保 障 关 键 行 业 信 息 系 统 安 全 稳 定 运 行 。 网 络 安 全 管 理 评 估 规 范 列 出 了 网 络 运 营 者 在 网 络 安 全 评 估 方 面 的 流 程 、 程 序 ， 定 义 了 评 估 的 主 要 内 容 。 评 估 流 程 分 为 工 作 准 备 、 工 作 实 施 和 结 果 反 馈 三 个 阶 段 ， 其 中

8、 工 作 准 备 阶 段 是 对 评 估 实 施 有 效 性 的 保 证 ， 是 评 估 工 作 的 开 始 ； 工 作 实 施 阶 段 是 对 评 估 活 动 中 涉 及 的 评 估 内 容 进 行 判 定 ， 同 时 基 于 获 得 的 各 类 信 息 进 行 关 联 分 析 ， 计 算 风 险 值 ， 并 综 合 评 估 整 体 安 全 状 况 出 具 评 估 报 告 ； 结 果 反 馈 阶 段 是 对 评 估 实 施 质 量 判 定 的 过 程 ， 是 评 估 工 作 的 终 止 。 评 估 程 序 是 围 绕 评 估 工 作 的 全 生 命 周 期 ， 根 据 不 同 阶 段 的 工

9、 作 事 项 ， 为 达 到 相 应 评 估 目 的 应 采 取 的 手 段 和 行 为 方 式 ， 用 于 规 范 和 指 导 评 估 者 开 展 和 落 实 网 络 安 全 评 估 具 体 工 作 。 评 估 内 容 主 要 包 括 法 律 法 规 合 规 、 行 业 领 域 要 求 、 安 全 管 理 措 施 、 安 全 技 术 措 施 、 技 术 检 测 等 方 面 的 评 估 ， 通 过 文 档 查 阅 、 现 场 访 谈 等 方 法 ， 检 查 被 评 估 方 是 否 遵 从 法 律 、 法 规 和 政 策 标 准 的 相 关 要 求 ， 是 否 存 在 安 全 漏 洞 和 安 全

10、 隐 患 。D B 2 1 0 1 / T 0 0 3 0 2 0 2 1 1 网 络 安 全 管 理 评 估 规 范 1 范 围 本 文 件 给 出 了 网 络 安 全 评 估 工 作 的 评 估 流 程 、 评 估 程 序 和 评 估 内 容 。 本 文 件 适 用 于 有 关 部 门 开 展 网 络 安 全 评 估 工 作 参 考 ； 网 络 运 营 者 自 行 开 展 网 络 安 全 评 估 工 作 参 考 ； 网 络 安 全 服 务 机 构 对 网 络 运 营 者 提 供 咨 询 、 检 测 、 评 估 等 服 务 参 考 ； 网 络 安 全 检 测 产 品 及 服 务 研 发 机

11、构 研 发 检 查 工 具 、 安 全 咨 询 服 务 、 创 新 安 全 应 用 参 考 。 2 规 范 性 引 用 文 件 下 列 文 件 中 的 内 容 通 过 文 中 的 规 范 性 引 用 而 构 成 本 文 件 必 不 可 少 的 条 款 。 其 中 ， 注 日 期 的 引 用 文 件 ， 仅 该 日 期 对 应 的 版 本 适 用 于 本 文 件 ； 不 注 日 期 的 引 用 文 件 ， 其 最 新 版 本 （ 包 括 所 有 的 修 改 单 ） 适 用 于 本 文 件 。 G B / T 2 0 9 8 4 - 2 0 0 7 信 息 安 全 技 术 信 息 安 全 风 险

12、评 估 规 范 G B / T 2 2 2 3 9 - 2 0 1 9 信 息 安 全 技 术 网 络 安 全 等 级 保 护 基 本 要 求 G B / T 2 2 2 4 0 - 2 0 2 0 信 息 安 全 技 术 网 络 安 全 等 级 保 护 定 级 指 南 G B / T 2 5 0 6 9 信 息 安 全 技 术 术 语 G B / T 3 1 5 0 9 - 2 0 1 5 信 息 安 全 技 术 信 息 安 全 风 险 评 估 实 施 指 南 G B / T 3 5 2 7 3 - 2 0 2 0 信 息 安 全 技 术 个 人 信 息 安 全 规 范 3 术 语 和 定

13、义 G B / T 2 5 0 6 9 中 界 定 的 以 及 下 列 术 语 和 定 义 适 用 于 本 文 件 。 3 . 1 网 络 运 营 者 N e t w o r k o p e r a t o r s 网 络 的 所 有 者 、 管 理 者 和 网 络 服 务 提 供 者 。 4 缩 略 语 下 列 缩 略 语 适 用 于 本 文 件 。 I P ： 互 联 网 协 议 （ I n t e r n e t P r o t o c o l ） M A C ： 介 质 访 问 控 制 （ M e d i u m A c c e s s C o n t r o l ） 5 评 估 流

14、程D B 2 1 0 1 / T 0 0 3 0 2 0 2 1 2 网 络 安 全 评 估 应 根 据 图 1 所 示 的 工 作 准 备 阶 段 、 工 作 实 施 阶 段 和 结 果 反 馈 阶 段 3 个 阶 段 开 展 评 估 实 施 工 作 。 图 1 网 络 安 全 评 估 实 施 流 程 6 评 估 程 序D B 2 1 0 1 / T 0 0 3 0 2 0 2 1 3 6 . 1 工 作 准 备 阶 段 6 . 1 . 1 评 估 准 备 工 作 评 估 方 应 明 确 评 估 的 背 景 、 原 则 和 依 据 ， 充 分 调 研 被 评 估 方 所 属 行 业 的 相

15、关 标 准 及 政 策 文 件 ， 确 定 评 估 工 作 任 务 。 评 估 方 应 按 照 国 家 相 关 要 求 做 好 保 密 工 作 ， 与 被 评 估 方 签 署 保 密 协 议 ， 明 确 问 责 和 追 责 等 处 理 方 法 ， 保 证 评 估 过 程 中 产 生 、 接 触 的 所 有 记 录 、 数 据 评 估 结 果 的 安 全 、 保 密 ， 并 适 情 签 署 个 人 保 密 协 议 。 6 . 1 . 2 确 定 评 估 目 标 评 估 方 应 根 据 以 下 内 容 确 定 评 估 的 目 标 ： a ） 网 络 安 全 评 估 的 目 标 应 根 据 满 足

16、组 织 业 务 持 续 发 展 在 安 全 方 面 的 需 要 、 法 律 法 规 的 规 定 等 内 容 来 明 确 网 络 安 全 评 估 目 标 ； b ） 网 络 安 全 评 估 应 根 据 当 前 信 息 系 统 的 实 际 情 况 来 确 定 在 信 息 系 统 生 命 周 期 中 所 处 的 阶 段 ， 并 以 此 来 明 确 网 络 安 全 评 估 目 标 。 6 . 1 . 3 确 定 评 估 范 围 评 估 方 应 结 合 已 确 定 的 评 估 目 标 和 组 织 的 实 际 情 况 ， 合 理 定 义 评 估 对 象 和 评 估 范 围 边 界 。 评 估 范 围 的

17、边 界 划 分 依 据 应 包 括 但 不 限 于 以 下 内 容 ： a ） 业 务 系 统 的 业 务 逻 辑 边 界 ； b ） 网 络 及 设 备 载 体 的 边 界 ； c ） 物 理 环 境 边 界 ； d ） 组 织 管 理 权 限 边 界 ； e ） 其 他 。 6 . 1 . 4 组 建 评 估 团 队 网 络 安 全 评 估 工 作 应 根 据 图 2 所 示 的 内 容 组 建 评 估 团 队 。 图 2 网 络 安 全 评 估 团 队 框 架D B 2 1 0 1 / T 0 0 3 0 2 0 2 1 4 网 络 安 全 评 估 工 作 领 导 小 组 应 由 被 评

18、 估 方 主 管 信 息 化 或 网 络 安 全 工 作 的 领 导 、 相 关 业 务 部 门 领 导 以 及 评 估 方 项 目 组 长 等 人 员 组 成 。 网 络 安 全 评 估 工 作 领 导 小 组 主 要 负 责 决 策 网 络 安 全 评 估 工 作 的 目 的 、 目 标 ； 参 与 并 指 导 网 络 安 全 评 估 准 备 阶 段 的 启 动 会 议 ； 协 调 评 估 实 施 过 程 中 的 各 项 资 源 ； 组 织 评 估 项 目 验 收 会 议 ； 推 进 并 监 督 风 险 处 理 工 作 等 。 网 络 安 全 评 估 小 组 应 由 评 估 方 、 被 评

19、 估 方 等 共 同 组 建 ， 必 要 时 可 聘 请 相 关 专 业 的 技 术 专 家 进 行 技 术 支 持 。 网 络 安 全 评 估 小 组 主 要 负 责 完 成 评 估 前 的 表 格 、 文 档 、 检 测 工 具 等 各 项 准 备 工 作 ； 进 行 网 络 安 全 评 估 技 术 培 训 和 保 密 教 育 ； 制 定 网 络 安 全 评 估 过 程 管 理 相 关 规 定 ； 编 制 应 急 预 案 等 。 网 络 安 全 评 估 小 组 应 采 用 合 理 的 项 目 管 理 机 制 ， 主 要 相 关 成 员 角 色 与 职 责 说 明 如 表 1 和 表 2 所

20、 示 。 表 1 网 络 安 全 评 估 小 组 评 估 方 构 成 角 色 与 职 责 说 明 评估方 人员角色 工作职责 项目组长 网络安全评估项目中实施方的管理者、责任人。具体工作职责包括： 1 ) 根据项目情况组建评估项目实施团队； 2 ) 根据项目情况与被评估方一起确定评估目标和评估范围， 并组织项目组成员对被评估方实施系统 调研； 3 ) 根据评估目标、评估范围及系统调研的情况确定评估依据，并组织编写评估方案； 4 ) 组织项目组成员开展网络安全评估各阶段的工作 ， 并对实施过程进行监督、 协调和控制， 确保各 阶段工作的有效实施； 5 ) 与被评估方进行及时有效的沟通，及时商讨项

21、目进展状况及可能发生问题的预测等； 6 ) 组织项目组成员将网络安全评估各阶段的工作成果进行汇 总 ， 编写 网络安全评估报告 等项目 成果物； 7 ) 负责将项目成果物移交被评估方，向被评估方汇报项目成果，并提请项目验收。 安全技术 评估人员 网络安全评估项目中技术方面评估工作的实施人员。具体工作职责包括： 1 ) 根据确定的评估目标与评估范围参与系统调研，并编写调研报告的技术部分内容； 2 ) 参与编写评估方案； 3 ) 遵照 评估方案 实施各阶段具体的技术性评估工作 ， 主要包括： 信息资产调查、 行业领域要求 检查、安全技术措施检查等； 4 ) 对评估工作中遇到的问题及时向项目组长汇报

22、，并提出需要协调的资源； 5 ) 将各阶段的技术性评估工作成果进行汇总，参与编写网络安全评估报告等项目成果物； 6 ) 负责向被评估方解答项目成果物中有关技术性细节问题。 安全管理 评估人员 网络评估项目中管理方面评估工作的实施人员。具体工作职责包括： 1 ) 根据评估目标与评估范围的确定参与系统调研，并编写调研报告的管理部分内容； 2 ) 参与编写评估方案； 3 ) 遵照 评估方案 实施各阶段具体的管理性评估工作 ， 主要包括： 信息资产调查、 法律法规合规 检查、行业领域要求检查、安全管理措施检查等； 4 ) 对评估工作中遇到的问题及时向项目组长汇报，并提出需要协调的资源； 5 ) 将各阶

23、段的管理性评估工作成果进行汇总，参与编写网络安全评估报告等项目成果物； 6 ) 负责向被评估方解答项目成果物中有关管理性细节问题。 技术检测 评估人员 网络评估项目中技术检测评估工作的实施人员。具体工作职责包括： 1 ) 根据评估目标与评估范围的确定参与系统调研，并编写调研报告的技术检测部分内容； 2 ) 参与编写评估方案；D B 2 1 0 1 / T 0 0 3 0 2 0 2 1 5 表 1 网 络 安 全 评 估 小 组 评 估 方 构 成 角 色 与 职 责 说 明 （ 续 ） 评估方 人员角色 工作职责 技术检测 评估人员 3 ) 遵照评估方案实施各阶段具体的技术检测评估工作，主要

24、包括：信息资产调查、渗透测试、 漏洞扫描等； 4 ) 对评估工作中遇到的问题及时向项目组长汇报，并提出需要协调的资源； 5 ) 将各阶段的技术检测评估工作成果进行汇总，参与编写网络安全评估报告等项目成果物； 6 ) 负责向被评估方解答项目成果物中有关技术检测细节问题。 质量管控员 网络安全评估项目中质量管理的人员。具体工作职责包括： 1 ) 监督审计各阶段工作的实施进度与时间进度， 对可能出现的影响项目进度的问题及时通告项目组 长； 2 ) 负责对项目文档进行管控。 表 2 网 络 安 全 评 估 小 组 被 评 估 方 构 成 角 色 与 职 责 说 明 被评估方 人员角色 工作职责 项目组

25、长 网络安全评估项目中被评估方的管理者。具体工作职责包括： 1 ) 与评估方的项目组长进行工作协调； 2 ) 组织本单位的项目组成员在网络安全评估各阶段活动中的配合工作； 3 ) 组织本单位的项目组成员对项目过程中实施方提交的评估信息、 数据及文档资料等进行确认， 对 出现的偏离及时纠正； 4 ) 组织本单位的项目组成员对评估方提交的网络安全评估报告等项目成果物进行审阅； 5 ) 组织对网络安全评估项目进行验收； 6 ) 可授权项目协调人负责各阶段性工作，代理实施自己的职责。 网络安全 管理人员 被评估方的专职网络安全管理人员。在网络安全评估项目中的具体工作职责包括： 1 ) 在项目组长的安排

26、下, 配合评估机构在网络安全评估各阶段中的工作； 2 ) 参与对评估机构提交的评估方案进行研讨； 3 ) 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认, 及时指正出现的偏离； 4 ) 参与对评估机构提交的网络安全评估报告等项目成果物进行审阅； 5 ) 参与对网络安全评估项目的验收。 项目协调人 网络安全评估项目中被评估方的工作协调人员。 具体工作职责是负责与被评估方各级部门之间的信息 沟通, 及时协调、调动相关部门的资源, 包括工作场地、物资、人员等 , 以保障项目的顺利开展。 业务人员 被评估方的业务使用人员代表( 应由各业务部门负责人或其授权人员担任) 。 在网络安全评估

27、项目中的 具体工作职责包括: 1 ) 在项目组长的安排下, 配合评估机构在网络安全评估各阶段中的工作； 2 ) 参与对评估机构提交的评估方案进行研讨； 3 ) 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认, 及时指正出现的偏离； 4 ) 参与对评估机构提交的网络安全评估报告等项目成果物进行审阅； 5 ) 参与对网络安全评估项目的验收。 运维人员 被评估方的信息系统运行维护人员。在网络安全评估项目中的具体工作职责包括 : 1 ) 在项目组长的安排下, 配合评估机构在网络安全评估各阶段中的工作； 2 ) 参与对评估机构提交的评估方案进行研讨；D B 2 1 0 1 / T 0 0

28、 3 0 2 0 2 1 6 表 2 网 络 安 全 评 估 小 组 被 评 估 方 构 成 角 色 与 职 责 说 明 （ 续 ） 被评估方 人员角色 工作职责 运维人员 3 ) 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认, 及时指正出现的偏离； 4 ) 参与对评估机构提交的网络安全评估报告等项目成果物进行审阅； 5 ) 参与对网络安全评估项目的验收。 开发人员 被评估方本单位或第三方外包商的软件开发人员代表。在网络安全评估项目中的具体工作职责包括 : 1 ) 在项目组长的安排下, 配合评估机构在网络安全评估各阶段中的工作； 2 ) 参与对评估机构提交的评估方案进行研讨；

29、 3 ) 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认, 及时指正出现的偏离； 4 ) 参与对评估机构提交的网络安全评估报告等项目成果物进行审阅； 5 ) 参与对网络安全评估项目的验收。 6 . 1 . 5 组 织 评 估 启 动 会 议 网 络 安 全 评 估 领 导 小 组 应 组 织 召 开 网 络 安 全 评 估 工 作 启 动 会 议 ， 参 与 人 员 应 该 包 括 评 估 小 组 全 体 人 员 、 相 关 业 务 部 门 主 要 负 责 人 ， 如 有 必 要 可 邀 请 相 关 专 家 组 成 员 参 加 。 启 动 会 议 应 包 括 但 不 限 于 以

30、 下 内 容 ： a ） 宣 布 此 次 评 估 工 作 的 意 义 、 目 的 、 目 标 ， 以 及 评 估 工 作 中 的 责 任 分 工 ； b ） 说 明 本 次 评 估 工 作 的 计 划 和 各 阶 段 工 作 任 务 ， 以 及 需 要 配 合 的 具 体 事 项 ； c ） 介 绍 评 估 工 作 一 般 性 方 法 和 工 作 内 容 等 。 6 . 1 . 6 现 状 调 查 评 估 方 应 对 被 评 估 方 开 展 现 状 调 查 ， 被 评 估 方 提 供 的 信 息 应 包 括 ： a ） 被 评 估 方 负 责 人 信 息 及 人 员 组 织 架 构 ； b ）

31、 被 评 估 方 的 网 络 设 备 、 信 息 系 统 等 基 本 信 息 ； c ） 被 评 估 方 行 业 领 域 相 关 法 律 法 规 、 政 策 文 件 和 标 准 规 范 清 单 ； d ） 主 要 运 营 业 务 及 其 工 作 流 程 ； e ） 关 键 岗 位 从 业 人 员 信 息 ； f ） 网 络 安 全 管 理 制 度 ； g ） 安 全 防 护 基 本 情 况 以 及 曾 发 生 的 网 络 安 全 事 件 情 况 ； h ） 近 一 年 内 自 行 或 委 托 开 展 检 测 评 估 情 况 、 接 受 有 关 部 门 抽 查 检 测 情 况 ； i ） 根 据

32、 实 际 需 要 提 供 其 他 相 关 信 息 。 6 . 1 . 7 制 定 评 估 方 案 评 估 方 应 制 定 网 络 安 全 评 估 方 案 ， 并 得 到 被 评 估 方 的 确 认 和 认 可 。 网 络 安 全 评 估 方 案 应 包 括 但 不 限 于 以 下 内 容 ： a ） 网 络 安 全 评 估 工 作 框 架 ： 包 括 评 估 目 标 、 评 估 范 围 、 评 估 依 据 等 ； b ） 评 估 团 队 组 织 ： 包 括 评 估 小 组 成 员 、 组 织 结 构 、 角 色 、 责 任 ； c ） 评 估 工 作 计 划 ： 包 括 各 阶 段 工 作 内

33、 容 、 工 作 形 式 、 工 作 成 果 等 ； d ） 风 险 措 施 ： 包 括 保 密 协 议 、 评 估 工 作 环 境 要 求 、 评 估 方 法 、 工 具 选 择 、 应 急 预 案 等 ； e ） 时 间 进 度 安 排 ： 评 估 工 作 实 施 的 时 间 进 度 安 排 ； f ） 项 目 验 收 方 式 ： 包 括 验 收 方 式 、 验 收 依 据 、 验 收 结 论 定 义 等 ；D B 2 1 0 1 / T 0 0 3 0 2 0 2 1 7 g ） 项 目 管 理 制 度 ： 包 括 质 量 管 理 、 风 险 管 理 、 项 目 阶 段 确 认 书 等

34、； h ） 被 评 估 方 需 要 配 合 的 事 项 清 单 ； i ） 其 他 。 6 . 1 . 8 组 织 专 项 培 训 评 估 方 应 组 织 专 项 培 训 ， 对 负 责 评 估 工 作 的 干 部 、 专 家 、 技 术 人 员 、 有 关 运 维 人 员 等 进 行 广 泛 培 训 ， 确 保 评 估 工 作 质 量 ， 培 训 内 容 应 包 括 评 估 目 的 意 义 、 流 程 方 法 、 登 记 表 填 报 说 明 、 网 络 安 全 评 估 方 法 等 。 6 . 2 工 作 实 施 阶 段 6 . 2 . 1 评 估 实 施 准 备 评 估 方 应 对 安 全

35、评 估 实 施 过 程 进 行 风 险 控 制 ， 可 采 取 严 格 操 作 的 申 请 和 监 护 、 操 作 时 间 控 制 、 应 急 预 案 制 定 、 运 行 系 统 模 拟 环 境 搭 建 、 关 键 业 务 系 统 采 用 人 工 评 估 、 评 估 人 员 选 取 、 评 估 现 场 安 全 培 训 等 风 险 控 制 手 段 ， 防 止 安 全 评 估 过 程 中 引 入 的 风 险 。 当 评 估 活 动 由 有 关 部 门 发 起 并 委 托 安 全 服 务 机 构 进 行 时 ， 评 估 方 应 获 得 该 领 域 业 务 主 管 部 门 的 认 定 或 者 委 托

36、授 权 ， 被 评 估 方 应 当 提 供 评 估 所 必 要 的 软 硬 件 条 件 和 工 作 环 境 。 6 . 2 . 2 现 场 评 估 实 施 评 估 方 应 按 照 评 估 方 案 的 要 求 ， 通 过 文 档 查 阅 、 现 场 访 谈 、 现 场 检 查 、 现 场 测 试 4 种 方 法 对 被 评 估 方 所 涉 及 的 评 估 内 容 实 施 网 络 安 全 评 估 ， 并 就 发 现 的 主 要 问 题 与 被 评 估 方 进 行 现 场 签 字 确 认 ： a ） 文 档 查 阅 应 包 括 ： 查 阅 被 评 估 方 的 系 统 规 划 设 计 方 案 、 网

37、络 拓 扑 图 、 系 统 安 全 防 护 计 划 、 安 全 策 略 、 架 构 、 要 求 、 标 准 作 业 程 序 、 授 权 协 议 、 系 统 互 连 备 忘 录 、 网 络 安 全 事 件 应 急 响 应 计 划 等 文 档 ， 评 估 其 准 确 性 和 完 整 性 ； b ） 现 场 访 谈 应 包 括 ： 依 据 评 估 实 施 之 前 准 备 好 访 谈 问 卷 或 调 查 表 ， 补 充 在 文 档 查 阅 中 未 被 发 现 的 系 统 细 节 ， 进 一 步 理 解 和 洞 察 系 统 的 开 发 、 集 成 、 供 应 、 使 用 、 管 理 等 过 程 。 现

38、场 访 谈 记 录 表 参 见 附 录 A ； c ） 现 场 检 查 应 包 括 ： 根 据 评 估 方 案 和 评 估 指 导 书 ， 在 合 理 的 评 估 环 境 下 ， 检 查 各 项 安 全 功 能 和 防 护 能 力 是 否 与 提 交 文 档 一 致 ， 是 否 符 合 相 关 标 准 和 要 求 等 ； d ） 现 场 测 试 应 包 括 ： 根 据 评 估 方 案 ， 在 被 评 估 单 位 授 权 的 前 提 下 ， 运 用 渗 透 测 试 、 漏 洞 扫 描 等 方 法 直 接 在 待 评 估 系 统 现 场 环 境 上 进 行 安 全 性 测 试 。 6 . 2 .

39、3 汇 总 评 估 结 果 评 估 实 施 完 成 后 ， 评 估 方 应 及 时 对 评 估 结 果 进 行 梳 理 、 汇 总 ， 从 安 全 管 理 、 技 术 防 护 等 方 面 对 评 估 发 现 的 问 题 和 隐 患 进 行 分 类 整 理 。 6 . 2 . 4 分 析 问 题 隐 患 6 . 2 . 4 . 1 关 键 属 性 分 析 评 估 方 应 分 析 被 评 估 方 的 业 务 特 点 ， 给 出 系 统 对 象 及 相 关 资 产 在 业 务 连 续 性 、 系 统 完 整 性 和 数 据 机 密 性 等 方 面 的 等 级 （ 分 为 高 、 中 、 低 三 个

40、等 级 ） 和 具 体 描 述 ， 并 把 等 级 为 高 的 系 统 对 象 及 相 关 资 产 的 业 务 特 性 定 义 为 关 键 属 性 ， 关 键 属 性 可 以 是 上 述 几 个 特 性 的 组 合 。 系 统 对 象 及 相 关 资 产 的 重 要 性 等 级 应 按 照 G B / T 2 0 9 8 4 - 2 0 0 7 中 5 . 2 条 款 “ 资 产 识 别 ” 和 G B / T 3 1 5 0 9 - 2 0 1 5 中 5 . 2 . 2 条 款 “ 资 产 识 别 ” 进 行 划 分 ， 在 被 评 估 方 的 意 见 基 础 之 上 ， 由 评 估 方 确 定 。D B 2 1 0 1 / T