标准规范下载简介
DB65/T 4439-2021 网络安全检查技术规范.pdfICS35.040 CCS 1.± 80
Inspectiontechnicalspecificationforcybersecurity
新疆维吾尔自治区市场监督管理局 发布
新疆维吾尔自治区市场监督管理局 发布
预制T形梁施工方案DB65/T44392021
吉 范围. 规范性引用文件 术语和定义, 缩略语. 检查工作流程 5.1检查准备.... 5.2检查实施.. 5.3检查分析... 通用网络安全检查. 6.1网络安全等级保护落实情况检查. 6.2关键信息基础设施保护落实情况检查, 6.3云计算服务安全情况检查, 6.4数据安全保护情况检查.. 6.5安全组织架构情况检查.. 6.6安全经费保障情况检查... 6.7人员安全管理情况检查... 6.8外包服务安全情况检查... 6.9信息资产管理情况检查 6.10安全建设检查, 6.11安全运维检查.. 6.12网络边界安全防护情况检查, 6.13无线网络安全防护情况检查, 6.14终端计算机安全防护情况检查. 6.15移动存储介质检查, 6.16备份与恢复检查 6.17监测预警检查 6.18应急响应与处置检查... 6.19漏洞修复情况检查... 6.20技术检查 专项网络安全检查 7.1云计算服务平台专项检查.. 7.2工控系统专项检查. 检查总结整改. 8.1汇总检查结果. 8.2分析问题隐患.. 8.3研究整改措施. 8.4编写总结报告
DB65/T44392021
DB 65/T 44392021
本文件规定了网络安全检查工作的流程、内容和方法
5.1.1检查工作内容由检查方依据法律法规、政策文件要求、网络安全检查技术规范和网络安全发展 态势等进行确定。如果被检查方上一年度也接受了网络安全检查,则还须查验被检方对上一年度网络安 全检查发现的安全隐患以及漏洞是否及时处置,是否制定整改方案,是否落实整改措施。
依据、技术思路、被检查网络与信息系统的范围、业务情况、安全防护情况、检查内容和检查组成员、 工作计划和内容安排等,
5.2.1依据检查方案开展现场检查工作,通过使用各种检查方法,检查网络安全的保护措施与本文件要 求的符合情况。 5.2.2在现场检查过程中,检查方需辨别检查项的不适用情况,即检查项所防范的威胁在被检查方中是 否存在,如果不存在,则该检查项应标为不适用项。 5.2.3在进行漏洞扫描、渗透测试等安全测试时,应确保检测工具本身不得存在恶意程序、漏洞及其他 安全缺陷。检查方应与被检查方充分沟通,被检查方应提供满足检测工作要求的接入点和接入环境。检 查方在测试前应全面评估漏洞扫描、渗透测试可能造成的风险,给出风险规避和应急处置措施,宜尽可 能避免因安全测试对业务系统运行造成不良影响。 5.2.4被检查方应协助检查方完成业务相关内容的询、验证和测试,如对某些需要验证、测试的内容 进行上机操作,协助检查人员实施测试并提供有效建议,对检查结果进行确认,检查完成之后确认被检 查系统工作正常等。
5.3.1总结被检查网络与信息系统的整体安全防护能力进行综合评价。 5.3.2根据现场检查结果和本文件的相关要求,定位整个被检单位网络安全防护现状与本文件安全要 求之间的差距,并分析这些差距导致网络与信息系统面临的风险,给出检查结论,形成检查报告和整改通 知书。
6.1网络安全等级保护落实情况检查
6.1.1检查要求包括
a 运营者应完成网络与信息系统的等级保护定级和备案工作; 运营者应每年开展网络与信息系统的等级测评工作; C) 等级测评报告应客观准确地反映被测评网络与信息系统的安全保护状况,并提供整改建议; 运营者对等级测评中发现的安全问题应进行整改。 6.1.2检查方法:
6.1.3检查内容包括:
a) 查看网络与信息系统的等级保护定级报告和备案表等,确定是否明确了网络与信息系统的安 全保护等级,确定是否说明定级的方法和理由,确定是否组织专家对定级进行评审,确定是 否具有等级保护备案证明等: b 检查网络与信息系统等级测评报告,检查等级测评报告是否按照GB/T22240的要求逐项进行 等级测评,通过访谈、查验等形式对等级测评报告内容进行核查验证,验证等级测评结果是 否客观属实。检查报告中整改建议是否准确合理、是否完整,是否覆盖所有安全问题; C 访谈安全管理人员对网络与信息系统等级测评中发现的安全隐患,是否制定整改方案,是否 落实整改措施,消除安全隐惠,
6.2关键信息基础设施保护落实情况检查
6.2.1检查要求包括:
DB65/T44392021
a)检查运营者关键信息基础设施清单,不应存在漏报、误报、报的情况; b) 运营者应确定关键业务,并且有详细的关键业务描述; C 运营者应完成关键信息基础设施识别识别工作和备案工作; 运营者应每年开展关键信息基础设施安全风险评估工作; e) )运营者对关键信息基础设施风险评估中发现的安全问题应进行整改。 6.2.2检查方法:
6.2.3检查内容包括
a)查看关键信息基础设施识别认定报告和备案表等,确定是否存在漏报、误报、满报的情况; 查看关键信息基础设施识别认定报告和备案表等,确定是否有关键业务详细的描述; C 查看关键信息基础设施识别认定报告和备案表等,确定是否说明了认定关键信息基础设施的 方法和理由,确定是否明确了支撑关键业务完整运行的网络设施、信息系统等,确定是否组 织专家对识别认定进行评审,确定是否具有关键信息基础设施登记备案证明等; 查看关键信息基础设施安全风险评估报告。通过访谈、查验等形式对风险评估报告内容进行 核查验证,验证评估结果是否客观属实。检查整改建议是否全面、准确、合理; e 访谈安全管理人员对关键信息基础设施安全风险评估中发现的安全风险隐患,是否制定整改 方案,是否落实整改措施,消除风险隐患。
6.3云计算服务安全情况检查
6.3.1对于已将业务及数据迁移到云计算服务平台的党政机关、关键信息基础设施运营者, 31167开展网络安全检查。
6.3.2检查要求包括
应落实云计算服务网络安全管理的基本要求; b) 应合理确定采用云计算服务的数据和业务范围; c) 应要求采购的云计算服务通过云计算安全评估; d) 应加强云计算服务过程的持续指导和监督; e) 应强化云计算服务保密审查和安全意识培养, 6.3.3检查方法:
6.3.4检查内容包括:
a)查看是否在采购使用云计算服务过程中遵守,并通过合同等手段要求云平台管理运营者遵守 安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境等云计算服务 网络安全管理的基本要求; 6 查看是否对数据的敏感程度、业务的重要性进行分类,是否全面分析、综合平衡采用云计算 服务后的安全风险和效益,是否科学规划和确定采用云计算服务的数据、业务范围和进度安 排; 查看是否在采购云计算服务时,通过采购文件或合同等手段,明确要求采购的云计算服务平 台通过云计算服务安全评估:
DB65/T44392021
6.4数据安全保护情况检查
6.4.1检查要求包括:
a) 应建立健全数据全生命周期的数据安全管理制度; b 应根据数据分类分级的不同,制定符合其安全需要的保护策略; C) 应采取措施保护数据的完整性、保密性、可用性,防止泄露、窃取、篡改、损毁、非法使用 等; d 不应存在超出用户授权范围或违反要求收集、存储、使用等个人信息的情况; e) 应严格控制重要数据的公开、分析、交换、共享和导出等关键环节; f 应开展数据安全风险评估工作: g 对数据安全风险评估中发现的安全问题应进行整改,
6.4.3检查内容包括:
6.5安全组织架构情况检查
6.5.1检查要求包括:
DB65/T44392021
6.5.3检查内容包括
a)查看有关安全管理机构设置和人员安全管理情况的证明材料,验证是否属实; b 查看有关证明材料,验证运营者是否建立并实施网络安全考核及监督问责机制,验证是否在 相关制度中对人员职责明确责任分工情况,并通过考核和监督问责相关工作记录文档查验该 机制是否正确有效运行; C 查看安全管理机构人员的背景审查资料、记录、人员资质证明文件等。
6.6安全经费保障情况检查
6.6.1检查要求包括
应将网络安全设施运行维护、网络安全服务采购、日常网络安全管理、网络安全教育培训、 网络安全自查、等级测评、关键信息基础设施检测评估、网络安全应急处置等费用纳入部门 年度预算。 b) 应严格落实网络安全经费预算,保证网络安全经费投入。 6.6.2 检查方法:
6.6.3检查内容包括
a) 查验上一年度和本年度预算文件,检查年度预算中是否明确有网络安全相关费用; b 查验相关财务文档和经费使用账目,检查上一年度网络安全经费实际投入情况、网络安全 费是否专款专用
知名地产装修施工材料鉴别指引,56页PDF下载.pdf6.7人员安全管理情况检查
6.7.1检查要求包括
a 应定期开展网络安全管理人员和技术人员专业技能培训; b 应与重点岗位的维护和管理人员签订网络安全与保密协议,明确网络安全与保密责任; 应制定并严格执行人员离岗离职网络安全管理规定并严格执行: d 应建立外部人员访问机房等重要区域审批制度,应认真执行并对访问活动进行记录留存 e) 应建立网络安全责任事故追查机制,对违反网络安全管理规定的人员给予严肃处理,对造成 网络安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。 .7.2检查方法:
6.7.3检查内容包括:
6.8外包服务安全情况检查
某广场酒店及写字楼项目脚手架施工方案6.8.1检查要求包括:
a 应建立并严格执行信息技术外包服务安全管理制度: 6) 应与信息技术服务外包服务商签订网络安全与保密协议,明确网络安全与保密责任; C 关键信息基础设施使用了第三方外包服务过程中应安排专人陪同并提供详细记录; d 外包开发的关键信息基础设施软件系统上线应用前应进行了等级测评、关键信息基础设施风 险评估,应要求开发方及时提供系统软件的升级、漏洞修复等相应的服务: e) 关键信息基础设施运维外包应严格执行非远程在线运维服务方式。 6.8.2检查方法:
6.8.3检查内容包括