标准规范下载简介
DB21/T 3661-2022 信息化项目全过程网络安全服务规范.pdfICS91.120.25 CCS L70
bersecurityservicespecificationforthewholeprocessofinformatization
辽宁省市场监督管理局发布
宁省市场监督管理局发布
范围.: 规范性引用文件 术语和定义 基本要求. 服务组织模式及人员职责 5.1组织模式 5.2人员职责 规划设计阶段网络安全服务内容 6.1网络安全投资决策咨询 6.2网络安全规划编制 6.3网络安全建设方案编制 6.4商用密码应用规划编制 6.5商用密码应用解决方案编制 招标采购阶段网络安全服务内容 部署实施阶段网络安全服务内容 8.1网络安全监理... 8.2网络安全项目管理. 8.3网络安全集成(或建设) 验收评估阶段网络安全服务内容 9.1信息安全风险评估 9.2网络安全等级保护测评 9.3商用密码应用安全性评估 9.4软件安全性测试 9.5源代码安全审计 9.6渗透测试. 10运行维护阶段网络安全服务内容. 10.1信息安全风险评估 10.2网络安全等级保护测评 10.3商用密码应用安全性评估DB43/T 1300-2017 智能检查井盖, 10.4软件安全性测试.. 10.5网络安全运维.. 10.6网络安全应急保障 10.7信息安全管理体系建设 10.8网络安全培训
DB21/T3661 2022
DB21/T 3661—2022
信息化项目全过程网络安全服务规范
本文件规定了信息化项目全过程网络安全服务的术语和定义、基本要求、服务组织模式及人员职责, 规划设计、招标采购、部署实施、验收评估、运行维护各阶段网络安全服务的要求。 本文件适用于辽宁省内信息化项目全过程网络安全服务的实施。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T18336.2信息技术安全技术信息技术安全评估准则第2部分:安全功能组件 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T25069信息安全技术术语 GB/T25070信息安全技术网络安全等级保护安全设计技术要求 GB/T28448信息安全技术网络安全等级保护测评要求 GB/T39786信息安全技术信息系统密码应用基本要求 IS0/IEC27001信息技术安全技术信息安全管理体系要求
GB/T18336.2、GB/T22239、GB/T25069、GB/T25070、GB/T28448、GB/T39786和1S0/1EC27001 界定的以及下列术语和定义适用于本文件。 3.1 信息化项目全过程thewholeprocessofinformatizationproject 完整的信息化项目管理流程,包括规划设计、招标采购、部署实施、验收评估和运行维护和共五个 阶段。 3.2 网络安全服务cybersecurityservice 面向组织或个人的各类网络安全保障需求,由服务提供方按照服务协议所执行的一个网络安全过程
GB/T 18336.2、GB/T 22239、GB/T 25069、GB/T 25070、GB/T 28448、GB/T 39786和IS 界定的以及下列术语和定义适用于本文件。
网络安全服务cybersecurityservice 面向组织或个人的各类网络安全保障需求,由服务提供方按照服务协议所执行的一个网络安全过程 或任务。
网络安全设计cybersecuritydesign 针对信息系统的安全保障需求,设计总体安全策略,形成安全架构、技术体系
DB21/T3661 202
3.5 信息安全管理体系informationsecuritymanagementsystem 在整体或特定范围内建立信息安全目标和策略,以及完成这些目标和策略所用方法的总集。 3.6 网络安全监理cybersecuritysupervision 具有相关资质的监理单位受网络安全工程建设单位的委托,依据国家有关法律法规、标准规范和监 理合同,对信息系统项目实施的监督管理。 3.7 信息安全风险评估Informationsecurityriskassessment 从风险管理角度,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属
网络安全等级保护测评testingandevaluationforgradedcybersecurityprotection 测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密 的网络安全等级保护状况进行检测评估的活动
4.1规划设计阶段提供网络安全投资决策咨询、网络安全规划编制、网络安全建设方案编制、商用密 码应用规划编制、商用密码解决方案编制服务。 4.2招标采购阶段提供招投标文件及合同咨询服务。 4.3部署实施阶段提供网络安全监理、网络安全项目管理服务。 4.4验收评估阶段提供信息安全风险评估、网络安全等级保护测评、商用密码应用安全性评估、软件 安全性测试、源代码安全审计、渗透测试服务。 4.5运行维护阶段提供信息安全风险评估、网络安全等级保护测评、商用密码应用安全性评估、软件 安全性测试、网络安全运维、网络安全应急保障、信息安全管理体系建设、网络安全培训服务。
5服务组织模式及人员职责
5.1.1服务过程分为规划设计、招标采购、部署实施、验收评估和运行维护五个阶段。 5.1.2每个阶段对应提供不同的安全服务项,为信息化项目全过程建设各个阶段的网络安全提供全方 位的服务和保障。
DB21/T 3661—2022
各岗位人员职责如表1所示。
图1信息化项目全过程网络安全服务框架
表1 人员职责划分表
DB21/T 3661—2022
d) 评价投资方案,主要是对投资风险与回报进行评价分析,由此来断定投资决策方案的可靠性; 2 反馈调整决策方案和投资后的评价,投资方案确定之后,还必须要根据环境和需要的不断变 化,对原先的决策进行适时地调整,从而使投资决策更科学合理。
6.2网络安全规划编制
网络安全规划应按以下几个方面进行规划: a) 2 通过风险评估等方式提取组织的安全需求,对相应的安全保障目标、任务、措施和步骤 规划; b) )从策略、组织、管理、技术、资源等多个层面进行规划
6.3网络安全建设方案编制
6.4商用密码应用规划编制
6.5商用密码应用解决方案编制
商用密码应用解决方案编制包括以下内容: 物理和环境安全的商用密码应用; ? b) 网络和通信安全的商用密码应用; c) 设备和计算安全的商用密码应用; d) 应用和数据安全的商用密码应用; e) 管理制度角度的商用密码应用; f) 人员管理角度的商用密码应用; g 建设运行角度的商用密码应用; h) 应急处置角度的商用密码应用
商用密码应用解决方案编制包括以下内容: a) 物理和环境安全的商用密码应用; b) 网络和通信安全的商用密码应用; c) 设备和计算安全的商用密码应用; d) 应用和数据安全的商用密码应用; # 管理制度角度的商用密码应用; C 人员管理角度的商用密码应用; D 建设运行角度的商用密码应用; 应急处置角度的商用密码应用。
招标采购阶段网络安全服务内容
网络安全招标采购咨询主要包括以下内容: a 提供网络安全领域项目招标文件编制和招标技术的咨询指导服务,协助完成详细的具体的技 术质量要求的技术性文书; D) 提供网络安全领域项目投标文件编制和投标技术的咨询指导服务,协助完成应招标文件要求 编制的技术响应性文件:
DB21/T3661 2022
提供网络安全领域项目招投标合同的咨询指导服务,协助完成招标合同中的技术内容。
网络安全监理主要包括以下内容: a 依据网络安全方面的标准和要求,在工程建设各阶段向建设单位提供相关咨询,并协助建设单 位对承建单位在工程建设中的网络安全实施服务进行监理; b) )对信息系统运维阶段的其他网络安全实施服务进行监理。
可提供的网络安全项目管理服务包括以下内容:范围管理、项目风险管理、项目集成管理、质量管 理、时间管理、项目人力资源管理、工程咨询服务、综合能力管理、采购管理、成本管理、沟通管理等,
8.3网络安全集成(或建设)
可提供的网络安全项目集成(或建设)服务包括以下内容:计算机应用系统工程和网络系统工程的 安全需求界定、安全设计、建设实施、安全保证,协助信息系统管理人员进行信息系统的安全运维工作, 及时整改并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性。
验收评估阶段网络安全服务内容
信息安全风险评估包括以下内容: a) 2 风险评估准备,制定评估工作计划,包括评估业务范围、评估标准内容等; b) 资产识别,确定资产的机密性、完整性和可用性,进行资产赋值,并对重要和关键资产进行 标注; C) 威胁识别,进行威胁识别、威胁分类和威胁赋值; d) 2 脆弱性识别,进行脆弱性识别和脆弱性赋值; e) 已有安全措施确认,应确认安全措施的有效性; f) 风险分析,风险分析及风险值计算,形成风险评估报告
9.2网络安全等级保护测评
网络安全等级保护测评包括以下内容: a 1 测评准备,信息收集和分析、工具和表单准备; b) 1 测评方案编制,确定测评对象、测评指标、测评内容、工具及测评方法; C) 现场测评,进行现场测评和结果记录、结果确认和资料归还; 形成测评报告,进行单项测评结果判定、单元测评结果判定、整体测评、系统安全评估、安 全问题风险分析,形成等级测评结论并编制测评报告。
商用密码应用安全性评估包括以下内容: ) 评估密码应用方案,编制测评方案,包括密码应用解决方案、实施方案和应急处置方案:
b 前期准备,搜集系统部署图等文档证据、人员访谈了解系统业务情况; C) 现场测评,进行工具测试和人工核查; d) 进行密码应用安全评估并根据系统的密码应用情况出具测评报告
DB21/T 3661—2022
源代码安全审计服务主要包括以下内容: a) 1 通过自动化代码安全扫描工具,对源代码进行非破坏性质的审计工作; b) 通过工具扫描、手工测试验证相结合的方法,对源代码进行非破坏性质的审计工作; C) 通过对业务系统模块的源代码进行审查,检查代码在程序编写上可能引起的安全性和脆弱性 问题; d) 通过对源代码进行安全审计,根据软件实际安全性和脆弱性问题出具测评报告。
渗透测试服务包括以下内容: 日a 信息收集:通过公开渠道、直接访问、扫描网站等方式获取目标信息; D) 2 漏洞探测:完成信息收集之后,对网站进行漏洞探测; C) 漏洞验证:将探测到的有可能成功利用的全部漏洞逐一进行验证,验证成功后再应用于目标 中; d) 权限提升:利用目标系统存在的弱点进行本地权限提升并直接控制目标系统; e) 内网渗透:通过模拟攻击外网服务器,获取外网服务器的权限,利用外网服务器作为跳板 攻击内网其他服务器,获取有用信息和数据:
2 信息整理:整理渗透工具、整理收集信息、整理漏洞信息; g) 2 痕迹清理:在渗透测试结束后清除渗透测试痕迹及相关影响内容: h) 报告输出:进行整理资料,对漏洞成因、验证过程和带来危害进行分析,并提出修补建议 对所有产生的问题提出合理高效安全的解决办法。完成渗透测试报告编写,
10.1信息安全风险评估
信息安全风险评估包括以下内容: a) 2 风险评估准备,制定评估工作计划,包括评估业务范围、评估标准内容等; b) 2 资产识别,确定资产的机密性、完整性和可用性,进行资产赋值,并对重要和关键资产进行 标注; 2 2 威胁识别,进行威胁识别、威胁分类和威胁赋值; d) 脆弱性识别,进行脆弱性识别和脆弱性赋值; e) 已有安全措施确认,应确认安全措施的有效性; f) )风险分析,风险分析及风险值计算,形成风险评估报告。
10.2网络安全等级保护测评
网络安全等级保护测评包括以下内容: a) 1 测评准备,信息收集和分析、工具和表单准备; D 测评方案编制,确定测评对象、测评指标、测评内容、工具及测评方法; C) 1 现场测评,进行现场测评和结果记录、结果确认和资料归还; d) 形成测评报告接地装置安装施工工艺标准,进行单项测评结果判定、单元测评结果判定、整体测评、系统安全评估、安 全问题风险分析,形成等级测评结论并编制测评报告。
10.3商用密码应用安全性评估
商用密码应用安全性评估包括以下内容: a) 评估密码应用方案,编制测评方案,包括密码应用解决方案、实施方案和应急处置方案; b) 前期准备,搜集系统部署图等文档证据、人员访谈了解系统业务情况; C 现场测评,进行工具测试和人工核查; d) 进行密码应用安全评估并根据系统的密码应用情况出具测评报告
10.4软件安全性测试
软件安全性测试包括程序、网络、数据库安全性测试内容。 a) 1 程序安全性测试: 1) 测试是否明确区分系统中不同用户权限; 2) 测试系统中会不会出现用户冲突; 3) 测试用户登陆密码是否是可见、可复制; 4) 测试是否可以通过绝对路径登陆系统; 5) 测试用户退出系统后是否删除了所有鉴权标记,是否可以使用后退键而不通过输入口令 进入系统。 b) 网络安全性测试:
DB21/T 3661—2022
10.6网络安全应急保障
DB21/T3661 2022
中铁仁禾广场11、12#楼 直螺纹施工方案10.7信息安全管理体系建设