标准规范下载简介
DB23/T 3279-2022 网络安全检查工作评估指南.pdfICS35.030 CCS L 80
DB23/T 32792022
黑龙江省市场监督管理局 发布
DB23/T32792022
前 范围 规范性引用文件 术语和定义 评估原则 评估方法 5. 1 文档查阅 5. 2 人员访谈 5. 3 现场抽查 5. 4 技术验证 评估流程, 6.1工作准备 6.2工作实施. 6.3结果反馈. 评估内容 7.1准备阶段评估某路道路改建工程及综合管线施工组织设计方案, 7.2实施阶段评估. 7.3结果反馈阶段评估 7. 4 检查效果评估. 评估报告....
别合 范围 规范性引用文件 术语和定义 评估原则 评估方法 5. 1 文档查阅 5. 2 人员访谈 5. 3 现场抽查 5. 4 技术验证 评估流程, 6.1工作准备 6.2工作实施. 6.3结果反馈. 评估内容 7.1准备阶段评估 7.2实施阶段评估. 7.3结果反馈阶段评估. 7. 4 检查效果评估. 评估报告....
DB23/T32792022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件由黑龙江省互联网信息办公室提出并归口。 本文件起草单位:国家计算机网络应急技术处理协调中心黑龙江分中心、黑龙江省智慧城市建设协 会、黑龙江省网络空间研究中心、黑龙江大学、安天科技集团股份有限公司、哈尔滨市标准化研究院。 本文件主要起草人:吴琼、树彬、于洪君、鲁子元、马遥、于佳华、于新海、彭加亮、李柏松、赵 玉明、刘勇。
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件由黑龙江省互联网信息办公室提出并归口。 本文件起草单位:国家计算机网络应急技术处理协调中心黑龙江分中心、黑龙江省智慧城市建设协 会、黑龙江省网络空间研究中心、黑龙江大学、安天科技集团股份有限公司、哈尔滨市标准化研究院。 本文件主要起草人:吴琼、树彬、于洪君、鲁子元、马遥、于佳华、于新海、彭加亮、李柏松、赵 玉明、刘勇。
DB23/T32792022
网络安全检查工作评估指南
评估原则、评估方法、评估流程、评估内容利 评估报告。 本文件适用于黑龙江省网信部门开展网络安全检查的评估工作。其他相关部门开展网络安全检查的 评估工作和网络运营者开展网络安全自查的设 工作可参照热行
又该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 《中华人民共和国网络安全法》
网络安全 通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络 定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 【来源:《中华人民共和国网络安全法》,第76条】
稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 【来源:《中华人民共和国网络安全法》,第76条] 3.2 网络安全检查 由上级主管机关或相关职能部门发起的,依据国家有关法律、法规和标准,对信息系统安全状况及 其管理情况进行检查的活动。 3.3 评估方 对网络安全检查工作实施评估的组织机构。 3.4 被评估方 开展网络安全检查工作后被评估的组织机构。 3.5 被检查方 网络安全检查工作中被检查的组织机构。
DB23/T32792022
评估方查阅被评估方实施网络安全检查的依据、管理制度、方案以及检查实施过程中产生的记录、 总结报告等全部文件资料,评估其合规性、合理性及完整性,
评估方应在评估实施之前准备好调查表或访谈表,通过人员访谈的方式补充文档查阅过程中未被发 现的细节,以进一步完善评估结果,
评估方结合被评估方网络安全检查结果,以现场抽查的方式选取部分被检查方,验证检查结果的准 确性
评估方通过远程技术检测, 授检 日志分析、协议分析、恶意代码检测、渗透 必要的技术手段对技术部分检查结果的准确性进行验证。
6.1.1确定评估目标
评估方根据评估工作的背景、依据和原则,在充分调研被评估方所属行业的政策文件及相关标 上,明确评估范围及内容,并制定评估工作计划
6. 1. 2 组建评估团队
评估工作组由评估方、技术支撑机构组成,评估工作组主要负责评估工作的具体实施,包括 完成评估前的表格、文档、评估工具等各项准备工作:
b)开展评估技术培训和保密教育; c) 制定评估过程管理相关制度; d)编制应急预案; e)实施评估。
DB23/T32792022
b)开展评估技术培训和保密教育; c)制定评估过程管理相关制度; d)编制应急预案; e)实施评估。
1.2.4 客询,工作内容包括但不限于: a)协助规划评估项目总体工作思路和方向; b) 对出现的关键性难点问题进行决策; c对评估结论进行确定。
6. 1.3召开启动会议
6. 1. 4 开展评估调研
评估方对被评估方现状进行调研,调研内容包括但不限于: a 网络安全检查开展依据; b) 网络安全检查工作负责部门及工作组的组织架构: C 网络安全检查管理制度; d 网络安全检查方案; e 网络安全检查实施过程中产生的文件化信息,包括但不限于检查记录、总结报告等全部文档 资料; f)形成调研结果报告。
6.1.5制定评估方案
评估方结合被评估方的具体情况和调研结果报告,依据本文件要求,编制评估方案,方案内容包括 旦不限于: a)评估目标、范围、依据、时间进度安排等; 评估内容、实施方法以及需使用的软硬件工具; C) 风险管理措施: d 人员安排、项目管理制度; e)被评估方需要配合的事项清单。
评估方和被评估方确认现场评估需要的各种资源,包括评估配合人员和需要提供的软硬件条 环境。 评估方通过现场抽查进行技术验证时,需要被评估方协调抽查对象,告知其技术验证过程中 的安全风险,并做好相应的应急和备份工作。
DB23/T32792022
6.2.2.1评估方依据评估方案,通过文档查阅、人员访谈、现场抽查和技术验证等方法,对被评估方 网络安全检查工作进行评估。评估内容包括: a)准备阶段评估; 实施阶段评估; 结果反馈阶段评估; d) 检查效果评估。 6.2.2.2评估方将评估过程中获得的信息进行详细、准确记录,并与被评估方进行现场确认。 6.2.2.3采用技术验证方法进行评估时,应充分考虑可能引入的安全风险,以选择合适的技术方法 尽量降低对且标系统造成的影响
d)检查效果评估。 6.2.2.2评估方将评估过程中获得的信息进行详细、准确记录,并与被评估方进行现场确认。 6.2.2.3采用技术验证方法进行评估时,应充分考虑可能引入的安全风险,以选择合适的技术方法 尽量降低对目标系统造成的影响
内墙涂料施工方案6. 2. 3汇总分析
评估方应及时对评估结果进行梳理、汇总,对遗漏和需进一步验证的内容加以补充,对发现的问题 进行分析,对被评估方的网络安全检查效果给予综合分析评价,
6. 2. 4 编制报告
评估方就评估结果给出评估结论,并编制评估报告
.1.1网络安全检查准
评估方查看被评估方网络安全检查准备阶段的相关材料并实施评估,评估内容包括但不限于: a. 网络安全检查开展依据,包括相关法律法规、政策文件和标准规范等; b) 网络安全检查工作管理制度的制定情况; C 网络安全检查工作组组建情况以及具体分工和职责: d 网络安全检查前期调研情况; 网络安全检查方案的制定情况,是否对检查范围、对象、时间进度安排、检查内容、实施方 法、需使用的软硬件工具、风险管理措施等内容进行明确说明; 与被检查方签署保密协议情况。如委托第三方开展检查,查看第三方是否具备相应资质,是 否与第三方签署保密协议: 前期通过远程检测查找网络安全漏洞和隐患情况广西勘察设计收费指导标准(2020版).pdf,开展远程检测前是否已告知被检查方。
7.2.1网络安全检查实施阶段的评估主要采用文档查阅、人员访谈等方法。
2.1网络安全检查实施阶段的评估主要采用文档查阅、人员访谈等方法。